Hébergement des données de santé (HDS) : les référentiels d’accréditation et de certification sont publiés au Journal Officiel le vendredi 29 juin 2018


L’arrêté portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel vient de paraître au JORF le vendredi 29 juin 2018. Les organismes certificateurs peuvent déposer leur demande d’accréditation au Cofrac en vue d’obtenir l’autorisation de réaliser les audits et de délivrer des certificats HDS.

L’arrêté JORF n°0148 du 29 juin 2018
texte n° 19

Les organismes certificateurs peuvent déposer leur demande d’accréditation au Cofrac en vue d’obtenir l’autorisation de réaliser les audits et de délivrer des certificats HDS.

Cette publication fait suite au décret JORF n°0049 du 28 février 2018
texte n° 16
relatif à la certification HDS, et s’inscrit dans la nécessaire évolution des procédures et contrôles qui encadrent l’hébergement des données de santé.

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) pourront donc prochainement entamer leur démarche de certification auprès d’organismes certificateurs.

Pour en savoir plus sur l’hébergement des données de santé et la procédure de certification

La donnée de santé et ses enjeux pour les hébergeurs

Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes.

L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet »

L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016

La certification des hébergeurs de données de santé

Une nouvelle législation* fait évoluer les procédures et conditions requises à l’hébergement des données de santé.

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.

Cette certification remplace l’agrément aujourd’hui délivré par le ministère de la Santé dans les conditions définies par le décret n°2006-6 du 4 janvier 2006.

Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. L’arrêté portant approbation des référentiels d’accréditation et de certification publié le 29 juin 2018 permet l’ouverture du schéma d’accréditation HDS. Les hébergeurs pourront déposer une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC

* cf. Article L.1111-8 du code de la santé publique, dans sa rédaction issue de l’ordonnance n° 2017-27 du 12 janvier

Pour accéder directement aux référentiels d’accréditation et de certification

Les référentiels issues de la concertation et des arbitrages ministériels sont disponibles.

Le référentiel de certification des hébergeurs

L’évaluation des hébergeurs candidats résulte d’un audit en deux phases par l’organisme certificateur selon les modalités prévues dans les normes de certification. L’audit vérifie le respect des normes :

– ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
– ISO 20000 « système de gestion de la qualité des services » ;

L’audit inclus également quelques exigences spécifiques à l’hébergement de données de santé.

Le référentiel d’accréditation pour les organismes souhaitant délivrer une certification

Les organismes délivrant la certification aux hébergeurs sont accrédités par le COFRAC - comité français d’accréditation - ou tout organisme équivalent au niveau européen.

Le référentiel d’accréditation s’appuie sur les bonnes pratiques en vigueur pour l’audit et la certification de systèmes de management de la sécurité de l’information et la norme ISO 17021 « Certification de systèmes de management ».

Publié le 29 juin 2018 dans esante.gouv.fr


Pour en savoir plus :

- Santé et numérique : un marché "en plein essor" au sein du pôle Cap Digital
- Hébergement des données de santé (HDS) : les référentiels d’accréditation et de certification sont publiés au Journal Officiel le vendredi 29 juin 2018