En France, les données de santé à caractère personnel peuvent être hébergées à l’extérieur des établissements de santé sous réserve que les personnes qui hébergent ces données se conforment aux exigences réglementaires en vigueur. Le code de la santé publique a consacré un article (L.1111-8) pour encadrer les bonnes pratiques en la matière. Cet article a subi plusieurs évolutions de 2002 à 2017. La dernière version du texte est en vigueur depuis le 1er avril 2018 suite à l’ordonnance n°2017-27 du 12 janvier 2017.
Initialement, l’article L1111-8 avait mis en place un système d’agrément des hébergeurs dont le détail était fixé par décret en Conseil d’Etat. Dès la première version du texte réglementaire, la sécurité des données et des systèmes qui les hébergent était un sujet de premier rang comme le montre cet extrait du texte dans sa version en vigueur du 5 mars 2002:
«Les conditions d'agrément des hébergeurs sont fixées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés et des conseils de l'ordre des professions de santé ainsi que du conseil des professions paramédicales. Ce décret mentionne les informations qui doivent être fournies à l'appui de la demande d'agrément, notamment les modèles de contrats prévus au deuxième alinéa et les dispositions prises pour garantir la sécurité des données traitées en application de l'article 29 de la loi n° 78-17 du 6 janvier 1978 précitée, en particulier les mécanismes de contrôle et de sécurité dans le domaine informatique ainsi que les procédures de contrôle interne. Les dispositions de l'article L. 4113-6 s'appliquent aux contrats prévus à l'alinéa précédent. »
Agrément et certification
L’ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel modifie en profondeur le principe d’agrément jusque-là en vigueur et met en place un principe d’obtention d’un certificat de conformité permettant d’héberger des données de santé à caractère personnel. Elle stipule que les principes d’hébergement agréé restent en vigueur jusqu’au 1er janvier 2019 et que les hébergeurs agréés dont l’agrément arrive à échéance dans les douze mois qui suivent l’entrée en vigueur de la nouvelle mouture de l’article L1111-8 doivent se conformer aux nouvelles obligations dans un délai fixé.
Le décret n° 2018-137 du 26 février 2018 pris pour application de l’ordonnance du 12 janvier 2017 relatif à l'hébergement de données de santé à caractère personnel définit le périmètre des activités d'hébergement de données de santé relevant de la certification etfixe les conditions d'obtention du certificat de conformité et les clauses minimales que doit comporter le contrat d'hébergement de données de santé. Il modifie en profondeur l'article L1111-8 du code de la santé publique.
La nouvelle mouture de L’article L1111-8 en vigueur depuis le 1er avril 2018 modifie profondément les principes qui s’appliquent aux hébergeurs à compter du 1er janvier 2019.
L’agrément des hébergeurs de données de santé change en profondeur. La nouvelle version de l’article L1111-8 fixe une évolution majeure de la procédure. L’agrément se transforme en une certification pour l’hébergement des données de santé à caractère personnel. Le nouveau texte stipule :
« L'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité. S'il conserve des données dans le cadre d'un service d'archivage électronique, il est soumis aux dispositions du III.
Ce certificat est délivré par des organismes de certification accrédités par l'instance française d'accréditation ou l'instance nationale d'accréditation d'un autre Etat membre de l'Union européenne mentionnée à l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie. »
Ainsi, les hébergeurs doivent être désormais certifiés par des organismes d’évaluation de la conformité accréditée par le COFRAC pour la France ou par d’autres organismes équivalents d’un autre état membre de l’UE. Cependant, pour avoir la capacité à conserver des archives comportant des données de santé à caractère personnel, le certificat n’est pas suffisant. Il faut également que l’hébergeur soit agréé par le SIAF :
« III.-L'hébergeur de données mentionnées au premier alinéa du I est agréé par le ministre chargé de la culture pour la conservation de ces données sur support papier ou sur support numérique dans le cadre d'un service d'archivage électronique. »
Arrêté du 11 juin 2018
Le 11 juin 2018, un arrêté est pris par le ministère des solidarités et de la santé portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel.
L’arrêté comporte en annexe la version 1.1 datée de juin 2018 du référentiel de certification HDS de 44 pages qui permet de définir les exigences et les contrôles associés permettant d’obtenir et de faire vivre le certificat de conformité HDS. Le référentiel est disponible librement sur le site de l’ASIP.
Les exigences sont essentiellement basées sur :
- la norme ISO 27001 : 2003
- la norme ISO 20000-1 : 2012
- la norme ISO 27018 : 2014
Nouveau Référentiel HDS
Le référentiel HDS permettant d’être certifié comprend ainsi :
- les exigences de la norme NF ISO 27001 reprise dans son intégralité ;
- une partie des exigences énumérées dans la norme NF ISO 20000-1 ;
- des exigences complémentaires aux normes NF ISO 27001 et NF ISO 20000-1 ;
- des exigences relatives à la protection des données de santé à caractère personnel, identifiées comme exigences principales dans le chapitre 4, pour lesquelles un respect des exigences de la norme ISO 27018 pourra conférer une présomption de conformité ;
- des exigences relatives à la protection des données de santé à caractère personnel, identifiées comme exigences complémentaires dans le chapitre 4 ;
- des exigences spécifiques au domaine de la santé..
Alors que la norme AFNOR NF Z42-013:2009 sur l’archivage numérique est en cours de révision, il est intéressant de voir que le référentiel HDS comporte de nombreuses similarités. Par exemple, l’exigence consistant à assurer la traçabilité des actions des utilisateurs, des défaillances et des événements liés à la sécurité de l’information est bien présente. Le texte précise que les journaux contenant les traces doivent être conservés et revus régulièrement. L’hébergeur doit assurer l’intégrité des journaux et les protéger des accès illicites. Le journal des événements de la norme NF Z42-013 a donc encore de beaux jours devant lui alors que certains acteurs souhaitaient l’enterrer…
Christian Dubourg
Directeur Marketin produit Spark Archives - Klee Group
Sources
- Ordonnance n° 2017-27 du 12 janvier 2017 relative à l'hébergement de données de santé à caractère personnel
- Décret n° 2018-137 du 26 février 2018 relatif à l'hébergement de données de santé à caractère personnel
- Article L1111-8 en vigueur au 1e avril 2018
- Arrêté du 11 juin 2018 paru au JO N° 148 du 29 juin 2018
- REFERENTIEL DE CERTIFICATION HDS Exigences et contrôles