Les articles WELIOM

LE NOUVEAU REFERENTIEL HDS 2024 : CE QUE VOUS DEVEZ SAVOIR

LinkedIn

Il s’était fait attendre, le nouveau référentiel d’Hébergement des Données de Santé (HDS) est paru le 16 mai dernier au Journal Officiel. Les organisations concernées doivent désormais se conformer à ces nouvelles exigences dans les délais imposés.

Par la même occasion, le référentiel d’accréditation destiné aux organismes de certification a lui aussi été mis à jour.

Par Brice SIMON

Référentiel HDS : rappel du contexte et de son applicabilité

Pour rappel, la certification HDS s’applique à toutes les organisations qui réalisent une activité d’hébergement, pour le compte d’un tiers, des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social[1].

L’article R. 1111-9 du CSP définit l’activité d’hébergement de données de santé comme la réalisation de tout ou partie des activités suivantes :

  1. La mise à disposition et le maintien en condition opérationnelle (MCO) de sites physiques permettant d’héberger l’infrastructure matérielle du Système d’Information de Santé
  2. La mise à disposition et le MCO de l’infrastructure matérielle du SIS
  3. La mise à disposition et le MCO de l’infrastructure virtuelle du SIS
  4. La mise à disposition et le MCO de la plateforme d’hébergement d’applications du SIS
  5. L’administration et l’exploitation du SIS
  6. La sauvegarde des données de santé

Le nouveau référentiel apporte une précision sur l’activité 5 qui posait question jusqu’ici. Les organisations qui réalisent la définition du processus d’attribution, de sécurisation, de revue et de validation des accès ainsi que de collecte des traces associées sont soumises au référentiel HDS et notamment à cette activité 5. Il est inutile d’y candidater si vous réalisez cette activité dans le cadre des activités 1 à 4.

De même, le référentiel précise que l’activité 6 doit être interprétée comme comprenant uniquement les sauvegardes externalisées. Là non plus, il n’est pas nécessaire d’y candidater dans le cadre des sauvegardes intrinsèquement liées aux activités 1 à 5.

A ce jour, aucune annonce n’a été faite pour mettre fin à l’exemption de certification pour les Groupements Hospitaliers de Territoire (GHT) accordée par l’Agence du Numérique en Santé sous certaines conditions. Cependant, si le GHT réalise une activité d’hébergement pour un établissement qui n’entre pas dans le cadre de sa convention, il est soumis au référentiel de certification HDS.

Référentiel HDS 2024 : évolutions et impacts pour les organisations

Bien que le référentiel HDS 2024 ne soit pas une révolution, certaines de ses exigences évoluent dans le but de :

  • Renforcer les exigences de souveraineté et de protection des données personnelles dans le cadre des transferts de données hors de l’UE. L’hébergement physique des données de santé doit désormais être effectué dans l’Espace Economique Européen (EEE) ;
  • Renforcer la transparence des hébergeurs sur les types d’activités pour lesquelles ils sont certifiés ;
  • Clarifier les obligations contractuelles de l’Hébergeur avec ses clients ;
  • Faire le lien entre les exigences de la certification HDS et celles de la certification SecNumCloud de l’ANSSI ;
  • Prendre en considération les dernières norme et réglementation en vigueur, à savoir le RGPD et la norme ISO/IEC 27001:2022

On constate aussi le retrait des exigences de la norme ISO/IEC 20000-1:2011 présentes dans l’ancienne version du référentiel. Il devrait de nouveau faire l’objet d’une mise à jour d’ici 2027, notamment pour renforcer les exigences de souveraineté en cohérence avec les référentiels européens à venir.

Les exigences de certification HDS sont désormais organisées comme suit :

Typologie d’exigencesExigences
ISO 27 001 :2022 ISO 27 002 :2022Mise en place d’un SMSI 93 mesures
Compléments relatifs au SMSI16 mesures
Relation contractuelle11 mesures
Souveraineté des données4 mesures

Concrètement, les organisations impactées par la certification HDS sont tenues de :

  • Déployer ou mettre à niveau un SMSI conforme à l’ISO/IEC 27001:2022 ;
  • Rédiger ou mettre à jour un modèle de contrat HDS conforme au code de la santé publique et aux exigences de « relation contractuelle » ;
  • Vérifier la conformité de son hébergement en lien avec la « souveraineté des données » et, le cas échéant, mettre en œuvre les actions correctives associées

Les hébergeurs de données de santé déjà certifiés disposent d’un délai de 24 mois pour se conformer, soit au plus tard le 16/05/2026. Quant aux nouveaux candidats, ils seront audités avec cette nouvelle version à partir du 16/11/2024.

En conclusion

Quelle que soit votre situation, la priorité doit être portée sur la conformité ISO/IEC 27001:2022 puisqu’elle constitue plus de 80% de l’effort à fournir pour être certifié. Cela confirme une nouvelle fois la position de ce référentiel au carrefour des exigences réglementaires SSI actuelles et futures et l’intérêt stratégique pour les établissements de santé, sans forcément parler de certification, de tendre vers la conformité.

Diagnostic de maturité HDS et ISO 27 001, mise à jour et déploiement d’un SMSI, de la préparation jusqu’à l’obtention de la certification, WELIOM vous accompagne dans vos projets de mise en conformité réglementaire de sécurité de l’information.

Contactez-nous !

[1] Article R1111-8-8 – Code de la santé publique – Légifrance

LinkedIn
les actualités weliom récentes

lire
DEPLOIEMENT D’UNE SOLUTION DE DOSSIER DE L’USAGER INFORMATISE (DUI) EN ADDICTOLOGIE – LA FONDATION BON SAUVEUR DE BEGARD10/07/2024
La Fondation Bon Sauveur de Bégard est un pôle de Santé Mentale qui a pour but d’accompagner, de soigner les personnes les plus démunies, porteuses de handicaps ou en [...]
Non classéRetours d'expérience