Carrières

Tout savoir sur la certification HDS

Résumé

La certification HDS (Hébergeur de Données de Santé) est une exigence réglementaire pour les organisations hébergeant et exploitant des données de santé.

Ses objectifs : assurer la sécurité des données de santé, protéger la vie privée des patients, garantir la qualité des services d’hébergement des données et fournir un cadre de confiance pour les acteurs du secteur de la santé.

Elle concerne les établissements de santé, les pharmacies, les laboratoires d’analyse médicale, les organismes d’assurance, les éditeurs de logiciels et les prestataires informatiques qui traitent des données de santé. Elle distingue deux catégories d’activités : les hébergeurs d’infrastructure physique et les hébergeurs gérant des systèmes d’information.

Cinq ans après la mise en œuvre de cette certification, la Délégation du Numérique en Santé et l’Agence du Numérique en Santé ont lancé une démarche de révision du référentiel de certification HDS début 2022. La nouvelle version du référentiel devrait être entérinée courant du 1er trimestre 2024.

Une obligation pour les organisations
traitant des données de santé

La certification HDS (Hébergeur de Données de Santé) garantit la qualité, la sécurité et la fiabilité des services d’hébergement et de gestion des données de santé à caractère personnel.Elle est délivrée par des organismes indépendants accrédités par le Comité Français d’Accréditation (COFRAC) et obligatoire pour toute organisation publique ou privée traitant des données de santé.

Les établissements de santé (hôpitaux, cliniques, etc.)

Les organismes d’assurance et les mutuelles de santé

Les pharmacies et laboratoires d’analyse médicale

Les associations œuvrant dans le domaine de la santé

Les éditeurs de logiciels et les prestataires informatiques
qui traitent et stockent des données de santé

Les principes et objectifs
de la certification HDS

La certification HDS est basée sur la norme internationale de sécurité des systèmes d’information ISO 27001 et comporte des exigences supplémentaires liées au domaine de la santé et à la protection des données personnelles (ISO 27018), en conformité avec le Règlement Général sur la Protection des Données (RGPD).

Elle poursuit ainsi plusieurs objectifs :

Assurer la sécurité des données de santé à caractère personnel

Protéger la vie privée des patients et le secret médical

Garantir la qualité et la fiabilité des services d’hébergement et de gestion des données de santé

Fournir un cadre de confiance pour les structures et les professionnels du secteur de la santé qui confient leurs données de santé à des tiers

Les activités soumises
à la certification HDS

La certification HDS examine deux catégories d’activités :

Les hébergeurs d’infrastructure physique

Ces hébergeurs sont responsables de la mise à disposition et du maintien en condition opérationnelle :

Des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé

De l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé

Les hébergeurs gérant des systèmes d’information

Ces hébergeurs sont en charge de la mise à disposition et du maintien en condition opérationnelle :

De l’infrastructure virtuelle du système d’information de santé

De la plateforme d’hébergement d’applications du système d’information

De l’administration et l’exploitation du système d’information contenant les données de santé

 

De la sauvegarde externalisée des données de santé

La procédure d’obtention de la certification HDS

Pour obtenir la certification HDS, une organisation doit se conformer à des exigences spécifiques en suivant plusieurs étapes obligatoires :

1


Dépôt d’un dossier auprès d’un organisme certificateur accrédité par le COFRAC

2


Réalisation d’un pré-audit documentaire pour vérifier la conformité du système d’information avec la norme ISO 27001 et les exigences de la certification HDS

3


Audit de certification sur site, portant sur les aspects techniques et organisationnels

4


Examen du rapport d’audit en commission et prise de décision quant à la certification

5


Délivrance de la certification HDS pour une durée de 3 ans, avec un audit de surveillance annuel

Ce qu’il faut retenir des modifications et ajouts qui seront apportés au nouveau référentiel HDS

Renforcement de la notion de souveraineté avec de nouvelles exigences pour renforcer les garanties en termes de protection 

L’hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace Économique Européen – EEE – (Union Européenne – UE avec la Norvège, l’Islande et le Liechtenstein). Ceci permet de renforcer la confiance des patients et professionnels dans le numérique en santé.

En cas d’accès distant aux données depuis un pays tiers à l’UE, par l’hébergeur ou l’un de ses sous-traitants, ou en cas de soumission de ces derniers à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD, obligation pour l’hébergeur d’informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter.

Obligation pour l’hébergeur à rendre public, sur son site internet, une cartographie des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE. 

Clarification du périmètre des types d’activité d’hébergement – notamment l’activité dite “5” concernant « l’administration et l’exploitation du système d’informations concernant les données de santé » et renforcement de l’exigence de transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés.


L’activité 5 consiste à effectuer les actions suivantes :

La définition d’un processus d’attribution des droits nominatifs et sa révision annuelle

La sécurisation de la procédure d’accès

La collecte et la conservation des traces des accès effectués et de leurs motifs

La validation préalable des interventions

Précision sur l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI

Intégration dans le référentiel de certification HDS des nouvelles dispositions de la norme ISO 27001 de 2023

La complémentarité
entre la certification HDS et RGPD

 

La certification HDS et le RGPD sont complémentaires dans leur objectif de renforcer la protection des données personnelles de santé. L’obtention d’une certification HDS facilite donc la mise en conformité des responsables de traitement et des sous-traitants avec les exigences du RGPD.

La certification HDS est essentielle pour garantir la sécurité et la confidentialité des données de santé à caractère personnel et les organisations de santé concernées par celles-ci doivent se conformer à la norme ISO 27001 et à des exigences spécifiques  pour l’obtenir. Il est donc crucial qu’elles mettent en place les mesures adéquates pour protéger les données de santé des utilisateurs en respectant toutes les exigences évaluées.

NumSpot est spécialisé dans la fourniture de services de cloud performants et sécurisés pour les agences gouvernementales et le secteur privé, notamment dans le domaine des services de santé, banque et assurance.

Si vous souhaitez explorer les avantages d’un cloud souverain pour votre organisation, nous vous encourageons à nous contacter pour en savoir plus sur la façon dont nous pouvons vous accompagner dans votre transition. Grâce à nos experts et à notre expérience, nous pouvons vous aider à tirer pleinement parti des avantages d’un cloud souverain pour vos besoins.

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

Dans un contexte de développement massif de l’informatique en nuage dominé par une poignée d’acteurs hégémoniques proposant des offres de grande qualité, la question de...

5 min de lecture

Résumé Un cloud de confiance est un service cloud garantissant confidentialité, intégrité et disponibilité des données gérées par le prestataire, conformément aux réglementations françaises et...

3 min de lecture

Le RGPD,qu’est-ce c’est ? Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui encadre le traitement des données sur...

5 min de lecture

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

SCC
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers
Container registry
Service proposant un référentiel ou des collections de dépôts pour stocker les images des conteneurs.
CI/CD (Gitlab)
Service de CI (Continuous Integration) et CD (Continuous Delivery) permet aux développeurs de construire et dé...
Blueprints
Scripts et patterns disponibles pour déployer, assembler et utiliser de manière productive les services de Num...
WAF
Service de WAF (Web Application Firewall) disponible sur la marketplace de NumSpot. Ce service protège les app...
Région SecNumCloud
Fait référence à un centre de données ou un ensemble de centres de données situés géographiquement ensemble et...
Portail
Interface web qui vous permet de créer et gérer des ressources cloud de votre compte. Il orchestre les requête...
Automatisation (IaC)
Interfaces standardisées permettant l’automatisation des actions sur le cloud avec une approche « Infrasctruct...
Kubernetes
Kubernetes est une plate-forme open-source extensible et portable pour la gestion de charges de travail (workl...
OpenShift
Plateforme de service qui repose sur la technologie Red Hat OpenShift, basée sur le système d’orchestration de...
IP publiques
Fonctionnalité qui fait référence à une adresse IP unique attribuée à une ressource informatique (comme un ser...
Catalogue d’images (VM)
Catalogue d’images préconfigurées d’une machine virtuelle utilisée pour créer une instance.
PostgreSQL
Service proposant des bases de données Une base de données PostgreSQL utilisant le langage standardisé SQL (St...
Identité management (IAM)
Service gérant au travers d’une plateforme unifiée l'authentification, la gestion des comptes d'utilisateurs, ...
VPN
VPN (Virtual Private Network), service qui offre une connexion Internet sécurisée et privée en utilisant les i...
Streaming et Messaging
Services de streaming de données et de broker de messages (messagerie) hébergés dans le cloud. Service entière...
Redis
Fonctionnalité qui stocke temporairement des données dans un emplacement proche de l'utilisateur pour accélére...
MongoDB
Bases de données conçues pour être flexibles, scalables et capables de gérer de grands volumes de données stru...
Metrics
Service proposant une collection d’indicateurs sur les performances et l'utilisation de services cloud.
Logging
Service qui collecte, stocke, analyse et surveille des journaux de données générés par les applications, les s...
Infrastructure As Code
Interfaces standardisées permettant l’automatisation des actions sur le cloud avec une approche « Infrasctruct...
BYOK
Service de stockage de données et de chiffrement de ces données pour une sécurité accrue. Service particulière...
Block Storage
Type de stockage de données où les données sont sauvegardées en blocs distincts, chacun ayant un identifiant u...
Object Storage (S3)
Service de stockage d’objets pour stocker n’importe quel type de données et les récupérer quand et où vous le ...
Snapshots
« Photographie » instantanée d'un volume de disque, d'une machine virtuelle, d'un système de fichiers, le serv...
Key Management Service
Service qui gère la création, le stockage, la distribution et la rotation des clés de chiffrement utilisées po...
Load Balancer
Service qui distribue le trafic réseau ou les demandes d'applications sur plusieurs serveurs dans un groupe.
VPC
VPC (Virtual Private Cloud) est un service qui fournit une infrastructure réseau virtuelle privée dans un envi...
DirectLink
Direct Link dans le cloud fait référence à une connexion dédiée et privée entre votre réseau local, comme un d...
Kubernetes managé (K8S)
Service Kubernetes managé permettant le déploiement d'applications containerisées. Possibilité dès à présent d...
OpenShift managé
Plateforme de service (PaaS) managée qui repose sur la technologie Red Hat OpenShift, basée sur le système d’o...
VM Autoscaling
Un service qui ajuste automatiquement le nombre de VM actives en fonction des besoins actuels en ressources de...
GPU NVIDIA
Exclusif: nos GPU sont les seules disponibles au choix à la demande ou en réservation d’instance en cloud publ...
Virtual Machine (VM)
Exclusif: nos VM sont les seules disponibles au choix à la demande ou en réservation d’instance en cloud publi...