Publication imminente du décret sur la certification des hébergeurs de données de santé

Publication imminente du décret sur la certification des hébergeurs de données de santé

Le décret relatif aux modalités de certification des hébergeurs de données de santé a été validé par le Conseil d’Etat et doit être publié “d’un jour à l’autre” au Journal officiel, a indiqué le délégué à la stratégie des systèmes d’information de santé (DSSIS) par intérim, Philippe Cirre, dans un entretien accordé le 19 février à TICsanté.

 

Le décret est passé devant la section sociale du Conseil d’Etat le 6 février, et a été validé le lendemain par le secrétariat général du gouvernement, a précisé Philippe Cirre.

Ce texte est pris en application de la loi du 26 janvier 2016 de modernisation de notre système de santé et de l’ordonnance du 12 janvier 2017 relative à l’hébergement des données de santé à caractère personnel.

La loi prévoit le transfert de la procédure d’agrément “Hébergeur de données de santé à caractère personnel” (HDS), actuellement assuré par un comité placé auprès de l’Agence des systèmes d’information partagés de santé (Asip santé), à une certification.

“Nous passons d’un dispositif d’agrément franco-français assuré par l’Etat à une certification ‘européen-compatible’ confiée à des organismes certificateurs agréés”, a souligné Philippe Cirre.

Il s’agit par ce biais d'”améliorer les délais et la transparence sur les modalités de délivrance des autorisations” et d'”ouvrir le marché à la concurrence” en faisant reposer la certification sur des normes internationales, et de “faciliter le changement de prestataire pour les professionnels de santé”, a expliqué Jean-Christophe Dayet, ingénieur à la DSSIS chargé des services de confiance et de la dématérialisation des données personnelles.

“La demande d’agrément contenait jusqu’ici à la fois la prestation d’hébergement et l’application informatique qui nécessitait cet hébergement. Si l’acteur de santé voulait changer de prestataire, il devait repasser par une demande d’autorisation pour son application”, a-t-il précisé.

Le dispositif de certification doit entrer en vigueur au 1er avril 2018.

A compter de cette date, toute personne qui héberge des données de santé à caractère personnel recueillies dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil des données, ou pour le patient, devra être certifiée HDS.

Professionnels, hôpitaux et industriels concernés

Cela vaut notamment pour un hôpital qui héberge les données générées par un autre établissement de santé, par exemple dans le cadre d’un groupement hospitalier de territoire (GHT), ou pour un industriel qui propose un dispositif médical connecté s’inscrivant dans un parcours de soins ou dans une action de prévention.

Les structures qui disposent déjà d’un agrément en disposeront jusqu’à la fin de sa durée de validité, à savoir trois ans, et sera ensuite obligée d’être certifiée.

“Toutes les demandes d’agrément qui auront été déposées avant le 1er avril seront instruites selon l’ancien dispositif”, a précisé Jean-Christophe Dayet. Par ailleurs, les agréments qui arriveront à échéance d’ici mars 2019 seront prorogés de six mois, afin de “laisser le temps aux acteurs de se préparer à la certification”, a-t-il poursuivi.

La nouvelle réglementation comprend aussi l’obligation, pour l’acteur de santé, de vérifier si son prestataire hébergeur est certifié. “Sinon, sa responsabilité sera engagée”, a appuyé Jean-Christophe Dayet.

En cas de fuite de données, et si l’hébergeur était bien certifié HDS, “on recherchera la faute sur la façon dont l’hébergement a été fait”, a-t-il ajouté.

Elever le niveau de sécurité de données de santé

“Notre objectif est d’élever le niveau de sécurité des données de santé, qu’elles soient hébergées à l’hôpital ou chez un prestataire”, a expliqué Philippe Cirre.

Dans le cas où un établissement de santé souhaiterait “découper” la prestation d’hébergement, à savoir par exemple conserver un data center en interne, mais faire assurer son infogérance par un prestataire, il faudra qu’il soit certifié pour la partie du service d’hébergement qui le concerne (ici l’infrastructure physique) et qu’il choisisse des prestataires certifiés pour ce qu’il externalise.

“On peut aussi choisir un schéma où l’offreur principal est certifié avec des sous-traitants qui ne le sont pas. Concrètement, ces derniers n’auront le droit d’héberger que dans le cadre du contrat du principal offreur certifié”, a complété Jean-Christophe Dayet.

La certification interviendra sur la base d’un référentiel élaboré par l’Asip santé s’appuyant sur les exigences des normes internationales ISO 27001 (système de gestion de la sécurité des systèmes d’information), ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel).

 

D’après ticsante.com (http://www.ticsante.com/story.php?story=3940)