« Hébergeur de Données de Santé » : la Santé dynamise le marché français des certifications ISO 27001

Cybersécurité et confiance numérique Identité, Fraude & Services de Confiance Stratégie & Conformité

Publié le

Le 1er avril 2018, la procédure d’agrément Hébergeur de Données de Santé, en vigueur depuis janvier 2006, a disparu au profit d’une procédure de certification Hébergeur de Données de Santé. Cette dernière inclut notamment une certification ISO 27001:2013. Alors que le nombre de certificats ISO 27001 semble stagner en France, cette évolution permet d’anticiper une forte croissance pour les années à venir.

 

Un nouveau cadre juridique en 2018 pour l’hébergement de données de santé

Le décret Hébergeur de Données de Santé a été publié au Journal Officiel le 28 février 2018. Ce décret vient entériner l’évolution annoncée dans l’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel, elle-même permise par la Loi de modernisation de notre système de santé du 26 janvier 2016.

Ce nouveau décret rend obligatoire la certification Hébergeur de Données de Santé pour toute organisation publique ou privée hébergeant des « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même ».

La certification Hébergeur de Données de Santé sera délivrée par un organisme indépendant, lui-même préalablement accrédité par le Comité Français d’Accréditation (COFRAC) ou l’un de ses équivalents européens. Cette certification viendra sanctionner le caractère conforme du service à l’ensemble des exigences. Comme pour l’agrément, le certificat Hébergeur de Données de Santé restera valable trois ans, mais fera en revanche l’objet d’une surveillance annuelle.

 

Agrément ou certification, quelles différences ?

Dans le cadre de la procédure d’agrément, le candidat devait constituer un dossier (volumineux !) composé d’un ensemble de formulaires à remplir et de justificatifs à produire, incluant un rapport d’audit de conformité réalisé par une société de son choix.

Plutôt que de définir un énième référentiel, la certification Hébergeur de Données de Santé se base désormais presque exclusivement sur des normes internationales reconnues : la norme ISO 27001 dans son intégralité et des règles issues des normes ISO 27017, ISO 27018 et ISO 20000-1. Quelques exigences spécifiques y sont également ajoutées, portant principalement sur deux aspects :

  • La protection des données de santé : protection des sauvegardes externalisées, interdiction d’utiliser les données de santé à d’autres fins que l’exécution de la prestation d’hébergement, traçabilité nominative de l’utilisation des comptes génériques… ;
  • La transparence du service : possibilité pour le client de réaliser des audits, rédaction obligatoire d’une procédure de réversibilité incluant les modalités de restitution des données, communication du rapport d’audit de certification à la demande du client…

Passés les gains « habituels » d’une certification ISO 27001, déjà largement évoqués dans nos articles précédents, les exigences ajoutées visent à professionnaliser l’offre de services d’hébergement, à améliorer la transparence de l’hébergeur vis-à-vis de ses clients, à renforcer la sécurité des données de santé et à réaffirmer les droits des personnes concernées par les données traitées, dans la lignée du Règlement Général sur la Protection des Données (RGPD).

 

Une certification Hébergeur de Données de Santé qui en cache deux

La certification Hébergeur de Données de Santé inclut dorénavant deux certificats distincts, chacun adapté à un type d’activités pouvant être proposées par l’hébergeur :

  • Un certificat « Hébergeur infogéreur » ;
  • Un certificat « Hébergeur d’Infrastructure physique ».

Le schéma suivant, issu du référentiel d’accréditation Hébergeur de Données de Santé, précise le certificat attendu en fonction des activités d’hébergement de données de santé réalisées.

 

Activités devant donner lieu à une certification Hébergeur de Données de Santé (schéma issu du référentiel d’accréditation v1.0, consulté le 04/04/2018)

 

Chaque certificat est requis si au moins une activité du périmètre du certificat est réalisée. Par exemple, un hébergeur proposant la sauvegarde externalisée de données de santé (activité 6) devra disposer du certificat « Hébergeur Infogéreur » : il devra donc respecter les exigences du référentiel de certification Hébergeur de Données de Santé applicables à ce certificat. De manière similaire, un fournisseur assurant la mise à disposition de locaux (activité 1) devra disposer du certificat « Hébergeur d’Infrastructure physique » : il devra de même respecter les exigences applicables à ce certificat.

Chaque hébergeur devra ainsi acquérir un seul ou les deux certificats en fonction des services d’hébergement de données de santé qu’il offrira à ses clients.

 

Une certification à venir des Hébergeurs de Données de Santé agréés…

Tout agrément Hébergeur de Données Santé délivré demeure valide jusqu’à son échéance (hors retrait ou suspension, comme précédemment). Cette durée sera prolongée de 6 mois en cas d’échéance avant le 31 mars 2019. Passée cette date, tout hébergeur de données de santé devra obtenir la certification Hébergeur de Données de Santé.

Le caractère obligatoire de la certification relancera ainsi le marché français des certifications ISO 27001, aujourd’hui en berne d’après la dernière étude publiée par l’International Standard Organisation (ISO) : en 2016, seuls 209 certificats ISO 27001 valides étaient comptabilisés, contre 227 en 2015.

120 hébergeurs sont aujourd’hui agréés et référencés sur le site de l’ASIP Santé. Bien que certains soient déjà certifiés ISO 27001 (et en supposant que le domaine d’application du Système de Management de la Sécurité de l’Information inclue l’hébergement de données de santé), un complément de certification leur sera nécessaire pour devenir certifiés Hébergeur de Données de Santé. Pour les autres, une certification sur l’ensemble des exigences sera nécessaire : cette évolution devrait à elle-seule entrainer une croissance du marché des certifications ISO 27001 sur les années à venir.

 

… et de certains établissements des Groupements Hospitaliers de Territoire

Autre conséquence de la loi de Modernisation de notre système de santé, les établissements publics de santé se rassemblent actuellement sous la forme de Groupements Hospitaliers de Territoire (GHT) pour travailler sur un projet médical partagé. Chacun des 135 GHT est organisé autour d’un établissement support, qui assure différentes fonctions pour le GHT, incluant « La stratégie, l’optimisation et la gestion commune d’un système d’information hospitalier convergent » (article 107). Cette exigence impose notamment la mise en place d’applications uniques pour l’ensemble des établissements d’un GHT, et ce pour chaque domaine fonctionnel (dossier patient informatisé, circuit du médicament, biologie, imagerie, etc.).

Deux solutions principales (mais non exclusives) s’offrent par conséquent aux GHT :

  • Faire héberger leurs données de santé auprès d’un hébergeur tiers certifié Hébergeur de Données de Santé ;
  • Héberger leurs données au sein d’un des établissements du GHT (par exemple l’établissement support).

Dans ce second cas, l’établissement hébergeur devra être certifié Hébergeur de Données de Santé. Alors que la majorité des GHT se posent la question d’aller ou non vers une externalisation de tout ou partie de leur Système d’Information convergent, 57% d’entre eux envisageaient encore fin 2017 d’externaliser l’hébergement. Il est néanmoins probable que de très nombreux GHT choisissent à terme de maintenir leur Système d’Information de Santé au sein du GHT et de certifier l’établissement hébergeur, ce afin de conserver la pleine maîtrise du Système d’Information et des données de santé. Cette orientation devrait s’observer majoritairement parmi les GHT organisés autour d’un établissement support de taille importante (CHU par exemple). Elle induira alors, elle-aussi, une forte croissance du nombre de certificats ISO 27001 délivrés en France.

 

Un appui financier pour accompagner la transformation des SI des GHT

Afin d’accompagner la construction de leur SI convergent, les GHT peuvent bénéficier de divers soutiens financiers. 20 millions d’euros ont d’ores-et-déjà été investis au travers des Agences Régionales de Santé (ARS), et un appel à projets doté d’une enveloppe de 25 millions d’euros a été annoncé fin 2017 par la Direction Générale de l’Offre de Soin (DGOS). Le programme e-Hôp 2.0, successeur du programme Hôpital Numérique 2012-2017, devait disposer de son côté d’une enveloppe de 400 millions d’euros pour accompagner le développement des SI des établissements de santé jusqu’en 2021. Récemment remplacé par le nouveau programme Hop’EN, l’enveloppe qui sera in fine allouée reste inconnue.

Une partie de ces financements pourra être mise à profit par les GHT pour structurer leur SI convergent, par exemple en finançant le programme d’externalisation auprès d’un hébergeur certifié, ou en finançant la certification Hébergeur de Données de Santé d’un des établissements du GHT.

En faisant évoluer la réglementation liée à l’Hébergement de Données de Santé au moment même où les Groupements Hospitaliers de Territoire structurent leur SI convergent, l’État saisit l’opportunité de renforcer la sécurité des données des patients traitées par les établissements de santé publics. Indirectement, il insuffle une double dynamique de croissance au marché de la certification ISO 27001 en France, qui permettra de standardiser et disséminer les bonnes pratiques de gestion de la sécurité de l’information sur l’ensemble du secteur de la Santé.

Bien qu’issue d’une évolution attendue de longue date, cette croissance risque d’engendrer une explosion des demandes de certification ISO 27001 et Hébergeur de Données de Santé dans les années à venir : le COFRAC et les sociétés qui seront accréditées pour délivrer les certifications Hébergeur de Données de Santé pourront-elles suivre ? Un engorgement pourrait se profiler à l’horizon.