La procédure d’agrément par le ministère de la Santé pour l’hébergement de données de santé va laisser sa place à une procédure de certification[1]. L’objectif :  diminuer le risque de violation des données à caractère personnel en matière de santé en renforçant les conditions de leur hébergement.

Le règlement européen du 27 avril 2016 définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

  • Qui est visé par la nouvelle certification ?

La certification HDS concerne tout hébergeur (personne physique ou morale) :

–        mettant à disposition et maintenant en condition opérationnelle :

  • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  • l’infrastructure matérielle ou virtuelle du système d’information utilisé pour le traitement de données de santé ;
  • la plateforme d’hébergement d’applications du système d’information utilisé pour le traitement de données de santé.

–        administrant et exploitant un système d’informations contenant des données de santé ;

–        sauvegardant des données de santé.

  • Quels changements et pourquoi ?

L’objectif poursuivi est notamment d’accroître la sécurité des données de santé hébergées et de réduire le délai d’instruction. Le coût de la certification est à la charge des hébergeurs auprès des organismes de certification accrédités à cette fin par le Comité Français d’Accréditation (COFRAC).

Cette nouvelle procédure qui remplace la procédure d’agrément et apporte également des changements concernant le contenu du contrat d’hébergement, qui devra inclure de nouvelles clauses rendues obligatoires telles que :

  • la mention de l’interdiction d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • l’engagement l’hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.
  • Quand ?

Le régime actuel demeure applicable :

–        pour tous agrément délivré avant le 1er janvier 2018, jusqu’à leur échéance ;

–        aux agréments demandée au plus tard le 31 décembre 2017 et délivrés après le 1er Janvier 2018.

Les agréments expirant pendant l’année 2018 seront prolongés de 6 mois, l’objectif étant de permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

  • Nos recommandations :

Pour anticiper cette nouvelle certification et l’arrivée du nouveau règlement européen sur la protection des données personnelle (le RGPD), pour tout hébergeur concerné nous recommandons en particulier :

–        anticiper et préparer la certification ;

–        pour toute société traitant des données à caractère personnel, de réaliser un audit :

  • des différentes mesures de sécurité mises en place, afin d’identifier celles à modifier pour être en conformité, selon le type de données que vous traitez,
  • de vos contrats, pour intégrer les clauses nécessaires, si besoin dans le cadre d’un DPA.


[1] Ordonnance n°2017-27 publiée le 12 janvier dernier et le projet de décret pris en application de celle-ci

Nous contacter