Point d’actualité sur la certification hébergeur de données de santé

Marguerite Brac de La Perrière fait un point d’actualité pour l’Apssis (1) sur la certification hébergeur de données de santé.

L’hébergement des données de santé est encadré par l’article L. 1111-8 du Code de la santé publique qui distingue :

• les données hébergées sur support papier ou numérique dans le cadre d’un service d’archivage électronique agréé par le ministre chargé de la culture ; et
• les données hébergées sur support numérique (hors cas d’un service d’archivage électronique), pour lesquelles l’hébergeur doit être titulaire d’un certificat de conformité, délivré par des organismes de certification accrédités par l’instance française d’accréditation.

La procédure de certification repose sur une évaluation de conformité au référentiel de certification.

L’hébergeur choisit un organisme certificateur accrédité par le COFRAC (ou équivalent au niveau européen).

L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur.

Marguerite Brac de La Perrière rappelle le périmètre réglementaire initial des activités d’hébergement relevant de la certification (activités et certificats y afférents).

Après ce rappel, elle aborde les modifications apportées par les autorités aux activités d’hébergement relevant de la certification. Par exemple, la limitation aux secteurs sanitaire et médico-social et le retrait annoncé de l’activité n°5.