Logo Naitways
Contacter un expert
Portail Client

Qu’est-ce que la certification HDS (Hébergement de données de santé) ?

La certification réglementaire pour devenir Hébergeur de données de santé (HDS) remplace l’agrément HADS. En France, elle renvoie à un label obligatoire à tous prestataires de services hébergeant des données de santé.
Picture of Laurie Le Corre
Laurie Le Corre
Content Manager

4 minutes de lecture
Sommaire
Articles
Les exigences de la certification HDS
L’audit informatique pour assurer la cybersécurité de votre entreprise
Données de santé : sécurisation et confidentialité

Depuis l’avènement de la technologie, tout ce qui peut l’être se fait numériser. Et les données de santé n’y échappent pas. Si leur digitalisation s’avère pratique pour les établissements de santé, elle expose malgré tout à certaines menaces. Pour préserver l’intégrité de ces informations, l’État a créé la « certification HDS » pour les hébergeurs de données médicales. Dès lors, quelle signification pour la certification HDS ?

Certification HDS : définition

La certification HDS en France répond à un ensemble d’exigences de sécurité et de confidentialité. Ces critères sont imposés aux prestataires hébergeant des données de santé à caractère personnel pour garantir la sécurité, la confidentialité, la traçabilité et la souveraineté de ces informations sensibles.

Définition de la certification HDS

La certification réglementaire pour devenir Hébergeur de données de santé (HDS) remplace l’agrément HADS. En France, elle renvoie à un label obligatoire à tous prestataires de services hébergeant des données de santé.

De base, elle repose sur les exigences de la certification ISO 27001, mais inclut en plus des exigences du Règlement Général sur la Protection des Données (RGPD) et du secteur de la santé (ISO 27018).

Objectif de la certification HDS

La norme HDS permet de reconnaître les fournisseurs de services Cloud répondant aux exigences réglementaires pour l’hébergement de données de santé.

Elle garantit leur conformité aux lois françaises (comme la loi HPST et le RGPD) en imposant des mesures strictes pour protéger ces informations contre les accès non autorisés et les divulgations.

Importance de la certification HDS

Pour les institutions de santé, faire appel à un hébergeur certifié HDS donne l’assurance de se conformer aux normes strictes de sécurité des données de santé. Ce partenariat renforce de part et d’autre la confiance des patients et des partenaires. Dès lors, l’hébergement HDS améliore la réputation de l’organisation, la distinguant sur le marché. Enfin, cela réduit les risques de cyberattaques et de fuites de données.

Quels types de certification HDS existent ?

La certification HDS (Hébergeur de Données de Santé) est unique mais comporte différents périmètres d’application selon les activités d’un hébergeur :

  • Infogérance et exploitation des infrastructures physiques.
  • Mise à disposition ou exploitation de plateformes logicielles.
  • Externalisation et sauvegarde des données.

Un hébergeur peut choisir d’être certifié pour tout ou partie de ces périmètres en fonction de ses services.

Qu’est-ce que la loi RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est une legislation européenne entrée en vigueur en mai 2018. Elle vise à :

  • Protéger les données personnelles des citoyens européens, y compris les données de santé.
  • Renforcer les droits des individus sur leurs données (accès, rectification, suppression).
  • Harmoniser les pratiques de protection des données au sein de l’UE.

Les entreprises doivent démontrer leur conformité via des mesures techniques, organisationnelles et juridiques.

Norme ISO 27001 : définition

ISO 27001 est une norme internationale qui établit les bonnes pratiques pour la gestion de la sécurité des informations. Elle définit un Système de Management de la Sécurité de l’Information (SMSI), permettant d’assurer la confidentialité, l’intégrité et la disponibilité des données. Elle est essentielle pour obtenir la certification HDS car celle-ci inclut les exigences de l’ISO 27 001 adaptées aux données de santé.

Qui peut traiter des données de santé ?

Avec la digitalisation des données de santé, la certification HDS se présente comme un gage de sécurité et de confiance pour les patients et les professionnels de santé. Elle leur donne l’assurance que leurs données de santé sont hébergées dans un environnement conforme aux réglementations en vigueur. Seules les entités ayant un intérêt légitime et une base légale peuvent traiter des données de santé.

Cela inclut :

  • Les professionnels de santé (hôpitaux, cliniques, médecins).
  • Les entreprises technologiques spécialisées, sous contrat avec ces professionnels.
  • Toute autre organisation, si elle a le consentement explicite du patient ou une autorisation légale.

Pour assurer la sécurité des données de santé, l’hébergeur devra répondre à de nombreuses exigences, à savoir :

  • La disposition du maintien de l’infrastructure et du système de management conformément à la certification ISO 27 0001.
  • La désignation d’un responsable de la sécurité des informations (RSI).
  • L’évaluation des risques.
  • La sensibilisation du personnel.
  • L’établissement d’un contrôle strict des accès, d’une protection contre les malwares et des sauvegardes regulières.
  • La sécurisation et la surveillance des échanges.
  • La mise en place de procédures avancées d’authentification et de chiffrement.

Qui peut héberger les données de santé ?

Seuls les hébergeurs certifiés HDS peuvent héberger légalement des données de santé en France. Cette certification garantit le respect des normes de sécurité, de confidentialité et de traçabilité spécifiquement adaptées aux données de santé sensibles.

En somme, le certificat HDS renvoie à un label attribué aux hébergeurs de données sensibles collaborant avec des établissements de santé. Il garantit la sécurité, la confidentialité et l’intégrité des informations médicales et personnelles stockées sur leurs serveurs HDS.

La certification HDS est-elle obligatoire ?

La certification HDS est obligatoire en France pour tout prestataire qui héberge des données de santé pour le compte d’un tiers. Cela inclut les hôpitaux, les laboratoires, les applications santé ou tout service traitant ces données.

Existe-t-il une liste d’hébergeurs certifiés HDS ?

L’agence du Numérique en Santé (ANS) publie une liste officielle des hébergeurs certifiés HDS. Cette liste est régulièrement mise à jour et accessible en ligne pour garantir la transparence.

Comment obtenir la certification HDS ?

La certification HDS impose des normes strictes pour l’hébergement des données de santé en France. Ses exigences se basent sur le référentiel de l’ANS.

Les exigences HDS incluent un plan détaillé de sauvegarde et de restauration de données. Cela s’accompagne de méthodes sécurisées de stockage des sauvegardes.

La certification implique aussi des tests réguliers vérifiant l’intégrité des sauvegardes et la capacité de restauration rapide en cas de sinistre. Un plan de gestion des incidents s’y ajoute, incluant un système de signalement en cas de violation.

Pour obtenir la certification HDS, une organisation doit suivre ces étapes :

  • Se conformer aux exigences de l’ISO 27 001 et mettre en place un SMSI.
  • Identifier le périmètre HDS visé (infrastructures, logiciels, etc.)
  • Passer un audit par un organisme accrédité (comme l’Afnor ou le LNE).
  • Obtenir la certification délivrée par cet organisme, valable pour une durée de trois ans, avec des audits de surveillance annuels.

En se faisant labelliser HDS, les entreprises du secteur de la santé maximisent leurs chances de gagner la confiance des patients et des partenaires, tout en améliorant la qualité de leurs services. De plus, une gestion optimisée de leurs données représente pour elles un sérieux avantage concurrentiel.

Les avantages de la certification HDS pour les entreprises

En plus d’assurer la conformité à la réglementation en vigueur en matière de protection de données de santé, la certification HDS présente d’autres atouts pour les entreprises faisant appel aux services d’un hébergeur certifié.

Renforcement de la confiance des patients

Cette certification témoigne de l’engagement d’une entreprise envers la sécurité et la gestion confidentielle des données de santé. Ce souci du détail renforce, entre autres, la confiance des patients, des professionnels de santé et des partenaires.

 

Respect des réglementations en vigueur

Collaborer avec un hébergeur HDS permet à une entreprise de la santé de se conformer aux réglementations en vigueur concernant la protection des données de santé (notamment la loi HPST et le RGPD). Cela la met à l’abri d’éventuelles sanctions financières et protège sa réputation.

 

Amélioration de la sécurité des données sensibles

La certification HDS renforce la sécurité des données de santé au sein des établissements de santé en imposant des mesures strictes contre les accès non autorisés, les divulgations et les pertes. Elle réduit ainsi les risques de piratage, de fuites et de pertes de données sensibles. De plus, elle améliore la qualité des services en augmentant la disponibilité des données, en réduisant les incidents et en augmentant la satisfaction client.

Vous avez un besoin spécifique ?

Je contacte un expert Naitways
Qu’est-ce qu’un serveur HDS ?

 

Un serveur HDS est une infrastructure de stockage numérique répondant aux exigences de la certification HDS. C’est un serveur standard configuré et sécurisé pour répondre à ces exigences strictes en matière de sécurité et de confidentialité des données de santé hébergées.

Quelle est la durée de validité de la certification HDS ?

 

La certification HDS est valable pour une durée de 3 ans. Cependant, pendant cette période, des audits de surveillance annuels doivent être réalisés par l’organisme certificateur pour vérifier que l’entreprise continue de respecter les exigences de la certification. Au terme des trois ans, un audit de renouvellement est nécessaire pour prolonger la certification.

Quels changements sont à prévoir pour le nouveau référentiel HDS ?

 

Le référentiel HDS (Hébergement des Données de Santé) de 2024 introduit plusieurs changements majeurs pour renforcer la sécurité et la transparence des pratiques des hébergeurs :

  • Alignement avec la norme ISO 27001 : Le référentiel s’intègre pleinement à cette norme, renforçant la gestion des risques liés à la sécurité des données.
  • Souveraineté et transparence : Des exigences spécifiques ont été ajoutées pour les transferts de données en dehors de l’Espace Économique Européen, avec une obligation de transparence sur les pratiques des sous-traitants via des informations publiées en ligne.
  • Simplification et regroupement des activités : Les distinctions entre « hébergeurs d’infrastructures physiques » et « infogéreurs » sont supprimées pour une plus grande clarté dans les certifications.
  • Audits renforcés : Les hébergeurs devront améliorer leur gestion des accès, des sous-traitants et des interventions, avec des audits internes et externes plus approfondis.
  • Meilleure lisibilité des obligations contractuelles : les exigences contractuelles et les périmètres d’activité sont clarifiés, notamment pour les activités d’administration et de sauvegarde des données.

Ces évolutions visent à renforcer la sécurité des données de santé et à répondre aux défis actuels, comme l’utilisation accrue des solutions cloud et les exigences européennes de souveraineté numérique.

Articles
Les exigences de la certification HDS
L’audit informatique pour assurer la cybersécurité de votre entreprise
Données de santé : sécurisation et confidentialité

ARTICLES BLOG

Voir les autres guides

Besoin d’une solution sur-mesure pour votre entreprise ?

Discutons de votre projet et de vos objectifs. Notre équipe d’experts est prête à écouter vos besoins, à apporter des solutions innovantes et à vous accompagner dans la continuité de vos activités ou encore dans l’externalisation de votre SI.

Ensemble, élaborons une stratégie sur mesure pour concrétiser votre projet avec succès.

Je prends rendez-vous
Naitways
Logo Naitways
Naitways, engagés tout simplement !

Faites confiance à Naitways et bénéficiez d’un partenaire fiable qui vous accompagne avec  des solutions sur mesure.

Naitways

Qui sommes-nous ?

Nos guides

Rejoignez-nous

Nos engagements RSE

Nos solutions

Cloud

Cybersécurité

Sauvegardes et PRA

Smartbuilding

Nous trouver

+33 1 83 64 00 00 

[email protected]

131 bis Rue de Billancourt
92100 Boulogne-Billancourt

19 place Tolozan
69001 Lyon

©Naitways 2023. Développé avec par Bulle Studio

Tous droits réservés. Mentions légales | Politique de confidentialité | Cookies

Twitter Linkedin-in Instagram Youtube