Skip to content

Certification HDS : éclaircissement et précisions

La certification Hébergeur de Données de Santé (HDS) est parfois ambigüe et peu lisible. Dans quel cas faut-il avoir recours à un hébergeur de données de santé ? Comment choisir un hébergeur de données de santé et quel est le risque en cas de manquement à cette obligation règlementaire ? Cet article va tenter de répondre à ces questions et également de clarifier un peu les choses.

Dans quel cas faut-il avoir recours à un hébergeur de données de santé ?

Si vous êtes un professionnel de santé et que vous utilisez un progiciel local contenant des données de santé à caractère personnel, pas de panique, vous êtes en règle.

La nécessité de vous appuyer sur un prestataire certifié est obligatoire dès qu’un traitement externe est appliqué aux données personnelles de santé.

Le traitement désigne un processus appliqué aux données. La sauvegarde ou le simple stockage sont considérés comme des traitements, au même titre que l’analyse des données. La raison en est simple : quel que soit le traitement visé, cela permet de garantir la confidentialité et la disponibilité des données au travers de la certification. Les données de santé à caractère personnel étant extrêmement sensibles, le simple fait de stocker nécessite de garantir confidentialité, intégrité et disponibilité.

C’est précisément la raison d’être de cette certification HDS.

La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), établie par l’Agence Nationale de la Santé, est très claire sur le sujet :

« Le fournisseur qui héberge des données de santé à caractère personnel autre que d’archivage électronique, recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte du professionnel de santé est titulaire d’un certificat de conformité d’hébergeur de données de santé « hébergeur d’infrastructure physique » et/ou « hébergeur infogéreur » selon le cas, délivré par un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen).

Comment choisir un hébergeur de données de santé ?

Fournir un service certifié HDS nécessite d’être certifié sur l’ensemble de la chaîne, qui se décompose en 6 niveaux :

  1. Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
  4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
  5. Administration et exploitation du système d’information contenant les données de santé ;
  6. Sauvegarde de données de santé.

Un service peut n’être certifié que sur une partie de ces niveaux s’il s’appuie sur des fournisseurs certifiés sur le reste des niveaux. Par exemple, vous pouvez être certifié pour une application de gestion de cabinet hébergée. Si vous vous appuyez sur un hébergeur certifié sur les niveaux 1, 2 et 3, il vous faudra vous certifier sur les niveaux 4 à 6.

Vous pouvez vérifier quelles sont les sociétés certifiées et sur quels niveaux directement sur le site e-santé : https://esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies

Périmètre de certification

Le fait d’être certifié ne permet pas de faire ce que l’on veut pour autant.

Par exemple, une entreprise certifiée HDS sur du logiciel de gestion hébergé, ne pourra pas vous fournir d’autres services s’ils ne sont pas dans son périmètre de certification.

Il faut absolument considérer la question du périmètre de certification : le périmètre définit quelle partie du SMSI est considérée dans la certification. Toute activité exclue du périmètre ne sera pas certifiée, même si l’entreprise est officiellement certifiée.

Arx One est certifiée HDS sur le périmètre de la sauvegarde et nous ne pourrions donc pas vous fournir des VMs certifiées… même en étant très poli, inutile de nous le demander 😊

Quelles offres de sauvegarde externalisées sont certifiées HDS ?

Une offre de backup certifié HDS doit l’être sur le périmètre complet de la sauvegarde. C’est-à-dire que le service de sauvegarde doit être opéré dans sa globalité par le fournisseur certifié.

Un prestataire non certifié qui opère un service de sauvegarde externalisée et qui s’appuie sur un hébergeur certifié n’est absolument pas en règle… même si son hébergeur est certifié sur le niveau 6. Ça n’est pas l’hébergeur qui opère le service de sauvegarde externalisée et le niveau de sauvegarde de l’hébergeur peut ne s’appliquer que sur son SMSI interne.

Il est donc essentiel de travailler avec un prestataire certifié et dont le périmètre inclut bien la sauvegarde. Dans une phase d’échange commerciaux, demander des informations sur le périmètre de la certification peut s’avérer une bonne idée !

Quel est le risque en cas de manquement ?

La loi est dure mais c’est la loi.

Voici les textes de loi :

  1. L’article L1115-1 du code de la santé publique nous dit que le non-respect de la règlementation est puni de trois ans d’emprisonnement et de 45 000 € d’amende pour les personnes physiques.
  2. L’article L1115-2 du code de la santé publique précise que dans le cadre d’une personne morale, les modalités de l’article 131-38 du code pénal s’appliquent.
  3. L’article 131-38 du code pénal explique que dans le cas d’une personne morale, le montant de l’amende peut aller jusqu’à 5 fois celui d’une personne physique.

Les risques encourus à ne pas utiliser un service de sauvegarde certifié HDS sont donc :

  • 3 ans d’emprisonnement et 45 000 € d’amende pour une personne physique
  • 3 ans d’emprisonnement et 225 000 € d’amende pour une entreprise (personne morale)

Conclusion

Il est très simple de vérifier qu’un prestataire dispose d’une certification HDS grâce au site e-santé mis en place par l’ANS.

En revanche, il n’est pas simple d’analyser le contenu des offres qui sont effectivement incluses dans le périmètre de la certification. Les échanges documentaires et les contrats avec vos prestataires devraient vous aider à y voir plus clair sur le sujet.

En ce qui concerne la sauvegarde, pensez simplement que le fournisseur doit être certifié sur le service dans son intégralité. Il peut travailler avec un fournisseur de stockage certifié, mais s’il n’est pas certifié lui-même pour opérer le service, la sanction peut être très lourde.

À propos d’Arx One

Arx One propose un service de sauvegarde externalisée certifié HDS, flexible, abordable et professionnel. N’hésitez pas à nous contacter !

Tester gratuitement

la solution Arx One Backup

Parcourez toutes nos dernières actualités

Pour tout savoir sur nos nouveautés, nos événements et l’actualité backup

Pour partager nos articles sur vos réseaux sociaux