Qu’est-ce que la certification HDS et qui est concerné ?

4 octobre 2022

5/5 - (1 vote)

De nombreux établissements de santé sont victimes de cyberattaque depuis plusieurs années. En effet, les données de santé sont très précieuses et convoitées par les cybercriminels. La certification Hébergeur de Données de Santé (HDS) existe depuis 2018 et a pour objectif de renforcer la protection des données de Santé. Dans cet article, Cyber Preventys vous explique ce que représente cette certification et qui est concerné.

Qu’est-ce que la certification HDS ?

Les données personnelles de santé sont des données très sensibles dont l’accès est encadré par la loi. Dans ce même but, la certification HDS a pour objectif de consolider la protection des données de Santé à caractère personnel dans le but de construire un environnement de confiance autour de l’eSanté et du suivi des patients.

Dans la continuité de la norme ISO 27001, HDS renforce les mesures de sécurité déjà mises en place afin de délivrer une certification émise par un organisme indépendant accrédité à toute structure hébergeant des données de santé. En l’absence de la certification HDS, il n’est pas possible d’héberger des données sanitaires.

Les objectifs de la certification HDS

La certification HDS vise donc plusieurs objectifs :

  • Se rendre conforme aux indications de l’ANSSI et des normes ISO ;
  • Mesurer l’incidence de l’activité de l’hébergeur de données de santé sur la protection des données ;
  • S’assurer du respect de la vie privée et du secret médical ;
  • Respecter les critères de sécurité, de disponibilité, de traçabilité, de confidentialité et d’intégrité des données personnelles de santé.

Les différents types de certifications

Tous les organismes qui hébergent, exploitent le SI de santé ou réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé doivent être certifiés HDS. Seuls les services d’archivages informatiques ne sont pas concernés par ces obligations. Il existe donc deux types de certifications HDS en fonction de l’activité :

  • Le label « hébergeur d’infrastructure physique » qui concerne tous les organismes dont l’objectif est de mettre à disposition et de maintenir en condition opérationnelle des sites physiques et l’infrastructure matérielle pour le traitement de données personnelles de santé.
  • Le label « hébergeurs infogéreurs » qui concerne tous les organismes dont l’objectif est de mettre à disposition et de maintenir en condition opérationnelle le cloud, l’infrastructure virtuelle ou la plateforme d’hébergement pour le traitement de données personnelles de santé.

Le premier label concerne donc le stockage et l’exploitation des données de santé dans une infrastructure physique et le second dans le cloud.

Obtention et exigences de la certification HDS

Pour obtenir la certification HDS, les hébergeurs de données de santé doivent se conformer à un certain nombre d’exigences. Il est également nécessaire de respecter au moins 80% des exigences de la norme ISO 27001 ou ISO 20000. L’hébergeur doit choisir un organisme certificateur accrédité par le COFRAC ou un équivalent européen. Un total de 45 exigences sont donc vérifiées au cours d’un audit complet se déroulant en plusieurs étapes :

  • Étude du dossier de la conformité documentaire du système par rapport aux exigences de la part de l’organisme certificateur
  • Pré-audit pour vérification de l’audibilité de l’entreprise
  • Audit de certification sur site
  • Étude du rapport en commission
  • Réponse de la certification avec un délai de trois mois pour corriger les éventuelles non-conformités et faire auditer les corrections. Une fois ce délai passé, toute la procédure d’audit est de nouveau réalisée
  • Délivrance de la certification HDS

En fonction du type de certification souhaité, les prérequis sont différents. Pour l’hébergeur infogéreur il est nécessaire de répondre aux 45 exigences liées à la certification alors que l’hébergeur d’infrastructure physique doit répondre à 40 exigences sur les 45.

Complémentarité entre RGPD et HDS

Ces deux dispositifs participent à construire un système consolidant la confiance sur le traitement des données personnelles. L’obtention d’une certification HDS va grandement aider à être conforme à la RGPD. En effet, un des critères de l’ISO 27001 se consacre au traitement des données à caractère personnel.

Pour en savoir plus sur le RGPD, consultez notre article dédié.

Besoin de solutions de stockage sécurisées ?

Contactez-nous pour être accompagné par nos experts qui sauront vous accompagner durant toute la durée de votre projet d’hébergement et la mise en conformité RGPD.
Nous contacter

5/5 - (1 vote)
5/5 - (1 vote)