vous êtes ici :///2018, nouvel horizon pour les hébergeurs de données de santé

2018, nouvel horizon pour les hébergeurs de données de santé

Dans le cadre de la loi de modernisation de notre système de santé, une procédure d’agrément permet aux hébergeurs de conserver les données de santé à caractère personnel selon des exigences très strictes. En 2018, le cadre législatif change : ces hébergeurs doivent désormais obtenir une certification par un organisme accrédité.

En France, depuis les années 2000, l’hébergement des données de santé sur support numérique est soumis à un cadre réglementaire très strict. Toute structure qui héberge des données à caractère personnel obtenues dans le cadre d’activités médico-sociales et de prévention doit obtenir un agrément.

L’agrément est délivré pour une durée de 3 ans par le ministre chargé de la santé après avis de la CNIL et du comité d’agrément des hébergeurs, placé auprès de l’ASIP santé.

Passé ce délai, L’hébergeur doit renouveler sa demande d’agrément s’il souhaite poursuivre son activité.

L’hébergeur est évalué selon sa capacité financière, le type de prestation proposée, le niveau de sécurité et des conditions du respect des principes de la protection des données personnelles et des droits des personnes.

L’hébergement des données doit faire l’objet d’une information éclairée auprès de la personne concernée et d’un droit d’opposition pour un motif légitime.
 

Qui est concerné par l’ordonnance N°2017-27 du 12 janvier 2017 ?

Définit par l’article L.1111-8, il existe 3 grandes catégories d’hébergeurs de données de santé :

  • L’hébergeur de données de santé sur support papier agréé par le Ministre de la Culture
  • L’hébergeur de données de santé sur support numérique dans le cadre d’un service d’archivage électronique agréé par le Ministre de la Culture, respectant les conditions définies par décret en Conseil d’Etat après avis de la CNIL et des ordres des professionnels
  • L’hébergeur de données de santé sur support numérique (hors cas d’un archivage électronique certifié dans des conditions définies par décret en conseil d’Etat après avis de la CNIL et des conseils des ordres des professions de santé

 

Ce qui change en 2018 ?

La nouvelle législation impose aux hébergeurs de données de santé sur support numérique de se doter d’une certification par un organisme accrédité avant le 1er janvier 2019. Les modalités de cette procédure de certification ont été élaborées en concertation avec la DSSIS et l’ASIP Santé puis validées par une communauté d’institutionnels et d’industriels.

En plus d’un audit documentaire, une évaluation de conformité est réalisée sur site par un organisme certificateur,  lui même accrédité par le COFRAC. Ce dernier peut être choisi par l’hébergeur.

Les évaluations sont menées à partir de

  • référentiels d’accréditation de normes européennes telles que
    – Norme ISO 17021 « Certification de systèmes de management » ;
    – Norme ISO 27006 « Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management de la sécurité de l’information »
     
  • référentiels de certification de normes internationales telles que
    – Norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
    – Norme ISO 20000 « système de gestion de la qualité des services » ;
    – Norme ISO 27018 « protection des données à caractère personnel » ;
    – des exigences spécifiques à l’hébergement de données de santé.
     

L’ASIP Santé est chargé d’établir et de participer au développement de la nouvelle procédure de certification.

 

Quels sont les bénéfices attendus ?

2 types de certificats peuvent être attribués selon le métier d’hébergement :

  • un certificat « hébergeur d’infrastructure physique » si celui-ci met à disposition des locaux d’hébergement physique et d’infrastructure matérielle
  • un certificat « hébergeur infogéreur » quand l’hébergeur propose des solutions virtuelles de gestion, d’hébergement et de sécurisation des données de santé.

Le certificat est délivré pour une durée de 3 ans. S’il est constaté d’éventuelles non-conformités, l’hébergeur dispose de 3 mois pour les corriger. Un audit de surveillance est réalisé chaque année par l’organisme certificateur.

Pour les hébergeurs ayant obtenu un agrément avant l’’entrée en vigueur de la nouvelle procédure, un délai de mise en conformité de certification a été accordé en 2017. Les demandes d’agrément ou de renouvellement qui ont été déposées avant le 1er janvier 2018 resteront instruites selon l’ancienne procédure d’agrément.

L’ASIP Santé est chargé d’établir et de participer au développement de la nouvelle procédure de certification.