HDS : De l’agrément à la certification

1

Évolution de la procédure d’agrément des hébergeurs de données de santé

Un dispositif prévu par la loi

Les modalités d’hébergement de données de santé à caractère personnel sont encadrées par l’article L.1111-8 du code de la santé publique :

L’évolution de l’article L.1111-8

L’ordonnance n° 2017-27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel a modifié l’article L.1111-8 du code de la santé publique en distinguant explicitement trois grandes catégories de services d’hébergement de données de santé :

La procédure d’agrément

Le décret n° 2006-6 du 4 janvier 2006 définit la procédure d’agrément pour l’hébergement de données de santé à caractère personnel sur support informatique et les exigences à respecter :

L’évolution de la procédure (Mise en œuvre début 2018)

Le nouveau dispositif pour l’hébergement de données de santé sur support numérique est défini par la DSSIS et l’ASIP Santé et validé par un comité de pilotage qui réunit des représentants institutionnels (Ministère de la Santé, ANSSI, CNIL, Fédérations hospitalières, Ordres, etc.) et des représentants d’industriels (AFHADS, ASINHPA, FEIMA, LESSIS, SNITEM et SYNTEC numérique). Ce nouveau dispositif est une évaluation de conformité à un référentiel de certification, délivrée par un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen) et choisi par l’hébergeur. Deux certificats Deux types de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :

– Étape 1 : audit documentaire.

L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.

– Étape 2 : audit sur site.

Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation basé sur les normes ISO 17021 et ISO 27006. L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer les corrections par l’organisme certificateur.

Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être recommencé.

Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur, lorsqu’aucune nonconformité n’est constatée.

Un audit de surveillance annuel est effectué par l’organisme certificateur

Point de situation (mai 2017)

Le référentiel de certification a été validé par le comité de pilotage. Il sera approuvé par arrêté du ministre chargé de la Santé. Dans l’attente de cette approbation une version provisoire sera publiée sur le site e.sante.gouv.fr en juin 2017. Le décret qui doit définir la procédure de certification sera publié au JOFR au second semestre 2017. Il définira les modalités de mise en œuvre de la certification et de transition entre la procédure d’agrément et de certification :