Hébergement : projet de référentiel de certification HDS

Que peut-on apprendre du référentiel de certification HDS qui a été publié par l’ASIP Santé le 14 septembre 2016 ?

L’ASIP Santé avait soumis à la concertation publique son référentiel de certification HDS (hébergement agréé des données de santé) pour le 31 octobre 2016 (1).

Plusieurs points sont à retenir dans ce référentiel mais, au préalable, il y a lieu de rappeler le champ d’application du régime.

Champ d’application

La formulation de l’article L1111-8 du Code de la santé publique (2), issue de l’article 96 de la loi de modernisation de notre système de santé, avait vocation à clarifier le champ d’application de l’article.

Le statut du déposant (établissement de santé, professionnel du secteur médicosocial, etc.) n’importe plus, l’article s’applique uniquement aux « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médicosocial » et aux déposants « à l’origine du recueil ou de la production » de ces données.

En revanche, faut-il comprendre que seules les données directement recueillies par le déposant sont concernées ou, au contraire, considérer que le sont également les données indirectement recueillies, à l’instar de ce que l’ASIP Santé indiquait dans son FAQ du 30 octobre 2015, qui visait expressément les assurances et les mutuelles (précision supprimée de son FAQ depuis le 24 mai 2016).

En l’état, l’ASIP Santé considère que « l’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel « recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médicosocial » qui souhaiterait en confier la conservation à un tiers ».

Dans le référentiel de certification HDS, l’ASIP Santé indique :

• « Par conséquent, « demain » toute personne physique ou morale qui mettra à disposition de tout responsable de traitement de données de santé, un service d’hébergement de données de santé à caractère personnel aura l’obligation d’être certifiée pour l’hébergement des données de santé ».

S’agit-il là d’une simplification à visée pédagogique ou d’une véritable volonté d’étendre le périmètre visé par l’article L1111-8 du Code de la santé publique ?

• Types de certifications

Le principe est désormais celui de la certification et non plus de l’agrément. Deux types de certification sont prévus en l’état par l’ASIP Santé :

• une certification « hébergeur d’infrastructure » pour les activités d’hébergement physique, de mise en œuvre de matériels informatiques et de maintenance de matériels informatiques ;
• une certification « hébergeur infogérant » pour les activités d’hébergement physique mais aussi l’activité d’infogérance et de sauvegardes externalisées.

Conformité au référentiel

Quel que soit la certification d’hébergeur HDS visée, l’hébergeur devra :

• « exploiter un système de gestion de la sécurité des informations conforme à la norme ISO/CEI 27001 :2013 sur le périmètre du système de gestion de la sécurité des informations pour le métier « hébergeur d’infrastructure » ou le métier « hébergeur infogérant » ;
• être évalué pour la conformité vis-à-vis :
  • d’exigences relatives à la protection des données à caractère personnel qui s’appuient sur l’ISO 27018:2014 ;
  • d’exigences relatives à la gestion des services qui s’appuient sur l’ISO 20000:2011 ;
  •  d’exigences spécifiques au domaine de la santé ».

Dans ce référentiel, l’ASIP Santé livre une liste de 23 exigences issues des normes ISO susmentionnées et des exigences spécifiques Santé.

Processus de certification

L’un des changements principaux entre la procédure d’agrément existante et la procédure de certification à venir est la réalisation d’un audit sur site, tandis qu’actuellement les dossiers de demande sont déclaratifs avec une instruction uniquement sur pièces.

En effet, les exigences HDS reposant sur quatre sources distinctes, l’ASIP Santé prévoit trois cas de figure :

• le candidat possède les certifications ISO 27001 et 20000 :
  • une vérification sera opérée pour ces deux certifications ;
  • les exigences ISO 27018 et spécifiques santé seront auditées ;
• le candidat possède la certification ISO 27001 :
  • une vérification sera opérée sur cette certification ;
  • les exigences ISO 20000, ISO 27018 et spécifiques santé seront auditées ;
• le candidat ne possède aucune certification :
  • il devra obtenir la certification ISO 27001 auprès du certificateur HDS ou de tout autre certificateur habilité ;
  • les exigences ISO 20000, ISO 27018 et spécifiques santé seront auditées.

A la lumière de ce référentiel, les hébergeurs doivent anticiper et procéder aux certifications susvisées.

Annuellement un audit de surveillance aura lieu jusqu’au renouvellement de la certification à l’issue des trois ans.

Sanctions

Le référentiel détaille également le processus de suspension de la certification HDS pendant une durée de 3 mois renouvelable. L’hébergeur aura la possibilité de faire appel de la décision de suspension. Le certificat sera, à l’issue de cette procédure, soit rétabli, soit retiré définitivement.

L’organisme de certification est en charge de contrôler les hébergeurs et suspendre ou retirer les certificats en fonction.

Quel risque pénal en l’absence d’agrément / certification ?

Il n’existe pas de sanction spécifique pour les personnes confiant des données de santé à caractère personnel à un tiers non agréé. Cela constituerait en revanche :

• une violation des obligations de sécurité imposées par l’article 34 de la loi Informatique et libertés (4) à tout responsable de traitement, sanctionnée par 5 ans d’emprisonnement et 500.000 € d’amende (5) ou 2.500.000 € pour les personnes morales (6) ;
• une violation du secret professionnel punie d’un an d’emprisonnement et 15.000 € d’amende (7) ou 75.000 € pour les personnes morales (6).

L’article L1115-1 du Code de la santé publique sanctionne l’hébergement de données de santé à caractère personnel recueillies auprès de professionnels ou d’établissements de santé ou directement auprès des personnes concernées à défaut d’agrément ou sans respecter les conditions de l’agrément, par trois ans d’emprisonnement et 45.000 euros d’amende (8), ou par 225.000 euros pour les personnes morales (6), et par des peines complémentaires (9).

La formulation de l’article L1115-1 du Code de la santé publique n’ayant pas été alignée avec celle de l’article L1111-8 par la loi de modernisation de notre système de santé du 26 janvier 2016 (10), seules les données recueillies auprès de professionnels et établissements de santé et la personne concernée sont visées, à l’exclusion de tout autre professionnel, notamment du domaine médicosocial.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Référentiel de certification HDS – Vue d’ensemble, 9-2016, V.0.3.0 et Référentiel de certification HDS – Exigences et contrôles, 9-2016, V.0.3.0.
(2) CSP, art. L1111-8.
(3) FAQ ASIP Santé.
(4) loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, art. 34.
(5) C. pén., art. 226-17.
(6) C. pén., art. 131-38.
(7) C. pén., art. 226-13.
(8) CSP, art. L1115-1.
(9) CSP, art. L 1115-2 et C. pén., art. 132-39.
(10) Loi 2016-41 du 26-1-2016 de modernisation de notre système de santé.