Les hébergeurs de données de santé déjà certifiés HDS devront obtenir la certification HDS conformément à ce nouveau référentiel HDS dans un délai de 24 mois, soit au plus tard le 16/05/2026. Les nouveaux candidats à la certification HDS à partir du 16/11/2024 seront évalués par rapport à cette nouvelle version du référentiel HDS.

La nouvelle version du référentiel HDS sera présentée aux acteurs de l’écosystème par la Délégation au Numérique en Santé et l’Agence du Numérique en Santé lors d’une conférence organisée à SantExpo le mercredi 22 mai à 16h00, en présence de représentants de l’éco-système et du Député Philippe Latombe (inscription).

La certification des hébergeurs de données de santé permet de garantir la sécurité de l’hébergement des données de santé. En vigueur depuis novembre 2017, c’est un des premiers piliers de la régulation du numérique en santé en France. Tout l’enjeu est de certifier que les hébergeurs de données de santé mettent en œuvre des systèmes de gestion de la sécurité des systèmes d’information à l’état de l’art des normes internationales.

C’est un acquis majeur pour la confiance des patients et des professionnels.

À ce jour, 302 acteurs ont été certifiés. Neuf organismes sont accrédités par le comité français d’accréditation (COFRAC) pour procéder à ces certifications.

Suite aux différents retours des acteurs du secteur et cinq ans après la mise en œuvre de cette certification, la Délégation du Numérique en Santé et l’Agence du Numérique en Santé ont lancé une démarche de révision du référentiel de certification HDS début 2022.

Cette démarche a associé la Commission nationale de l’informatique et des libertés (CNIL), le Haut fonctionnaire de Défense et de Sécurité du ministère de la Santé (HFDS), ainsi que les fédérations d’industriels de l’écosystème et les organismes certificateurs. Cette nouvelle version du référentiel a fait l’objet d’une concertation publique fin 2022. L’ANS a reçu plus de 250 contributions qui ont été analysées et traitées début 2023. A l’issue de plusieurs échanges avec la CNIL, celle-ci a rendu un avis favorable au projet de référentiel de certification révisé le 13 juillet 2023.

Le travail autour du référentiel s’est notamment nourri des différents débats qui ont eu lieu dans le cadre du projet de loi visant à sécuriser et à réguler l’espace numérique. La récente adoption de l’article 32 du projet de loi visant à sécuriser et à réguler l’espace numérique (SREN), qui modifie les dispositions relatives à l’hébergement des données de santé, conforte les orientations du référentiel en leur donnant une accroche législative.

En tenant compte des contributions des acteurs, cette nouvelle version du référentiel de certification HDS permet de :

• Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ;
• Clarifier le périmètre des types d’activité d’hébergement - notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ;
• Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI.
• Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

Focus sur l’ajout d’exigences relatives à la souveraineté des données

La version révisée du référentiel HDS prévoit quatre exigences nouvelles relatives à la souveraineté des données (exigences 28 à 31) :
Il est à noter que le référentiel révisé ne prévoit pas, à date, un alignement sur les exigences en termes d’immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2 (notamment celles du paragraphe 19.6). Ce point sera notamment réévalué à la lumière des discussions sur les futurs référentiels européens (European Cybersecurity Certification Scheme for Cloud services - EUCS) et au plus tard en 2027. La prochaine révision de référentiel suivra également l’évolution de la maturité des acteurs du marché.

Corollaire du référentiel HDS, le référentiel d’accréditation, rédigé en collaboration avec le COFRAC, décrit le processus d’accréditation des organismes de certification. Il intègre notamment les retours d’expériences des auditeurs qui ont été recueillis lors d’ateliers dédiés.

Les principales évolutions, concernent les mises à jour en lien avec l’évolution de la norme ISO 27001, l’harmonisation des points en miroir du référentiel HDS (définition, références normatives, chapitre…) et la mise à jour des durées des audits.

Les organismes certificateurs ont ainsi un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS. 

> Pour en savoir plus : Consulter l’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel, paru au JO du 16 mai 2024

GPLExpert est notamment en mesure d’évaluer l’opportunité d’une externalisation. Pourriez-vous nous en parler ?

Sébastien Suard (responsable Ingénierie de projet, Pôle ISMI) : Cela fait en effet de nombreuses années que les établissements de santé font appel à nous pour de l’ingénierie de projet, afin de bénéficier d’un accompagnement expert sur un projet technique donné. Bien souvent, ils délèguent ensuite son exploitation quotidienne à nos équipes d’infogérance. Mais nous pouvons aussi être dès le départ sollicités pour mener un audit technique ciblé, pour évaluer la sécurité et la qualité du SI et définir les préconisations les plus adéquates. Parfaitement rodé aux spécificités du monde de la santé, notre regard est ici exhaustif et parfaitement objectif. Les Pôles GPLExpert concernés prennent ensuite la main pour mettre en œuvre des prestations retenues.

En quoi consiste, plus concrètement, l’infogérance externalisée justement évoquée plus haut ?

Elhaouari Chanhih (responsable du Pôle ISMI - Infogérance, Services Managés et Ingénierie) : Nous offrons ici un service sur-mesure, alliant support, Maintien en condition opérationnelle (MCO) et Maintien en condition de sécurité (MCS). Il s’agit donc à la fois d’assister un établissement dans la gestion quotidienne de son SI, mais aussi de garantir le maintien à l’état de l’art des infrastructures existantes. Cette exploitation au jour le jour bénéficie pleinement de l’expertise technique de plusieurs niveaux de compétences au sein des équipes du Pôle ISMI – équipes récemment restructurées pour justement améliorer la lisibilité de nos prestations et mieux exploiter nos ressources internes –, tout en se nourrissant des compétences complémentaires disponibles au sein de nos autres pôles pour apporter une vision à 360°.

La gouvernance et le pilotage du SI peuvent eux aussi être délégués à GPLExpert. Que pourriez-vous nous en dire ?

Damien Ribeiro (responsable du Pôle GCSSI – Gouvernance, Conformité et Sécurité des Systèmes d’Information) : Un établissement de santé ne dispose pas toujours des ressources adéquates pour relever ce défi en interne. Nos experts peuvent donc lui apporter une assistance stratégique pour l’élaboration et la mise en œuvre d’un schéma directeur, y compris dans le cadre d’une prestation de DSI externalisée. Nous intervenons également beaucoup sur les enjeux de cybersécurité, pour accompagner la formalisation de la politique SSI, ou proposer des prestations de RSSI externalisées (sensibilisations aux bonnes pratiques ou exercices de cyber crise, par exemple). Nos équipes sont totalement flexibles car nous savons qu’il existe autant de besoins que d’établissements de santé !

Pour aller toujours plus loin, un établissement de santé peut également vous confier l’hébergement de ses infrastructures… 

Nicolas de Brou (responsable du Pôle Hébergement) : Avec ses deux data-centers certifiés HDS et IS0 27001, GPLExpert est en effet en capacité de délivrer des prestations d’hébergement souveraines et transparentes. Chaque offre est co-construite avec l’établissement concerné et tient pleinement compte de ses besoins, y compris en matière d’évolutivité. Nous sommes naturellement engagés sur la haute disponibilité du service opéré. Les sauvegardes externalisées sont par exemple sécurisées selon un schéma 3-2-1-1-0 – pour 3 copies, sur 2 supports différents, pour 1 externalisation et 1 immutabilité des données, et 0 erreur. Pour résumer, faire le choix de l’externalisation avec GPLExpert, c’est passer d’une obligation de moyens à une obligation de résultat.

> Plus d'informations sur le site de GPLExpert

> Article paru dans Hospitalia #63, édition de décembre 2023, à lire ici
 

C’est un acquis majeur pour la confiance des patients et des professionnels.

A ce jour, 284 acteurs ont été certifiés. Neuf organismes accrédités par le comité français d’accréditation (COFRAC) ont procédé à ces certifications.

Cinq ans après la mise en œuvre de cette certification, la Délégation du Numérique en Santé et l’Agence du Numérique en Santé ont lancé une démarche de révision du référentiel de certification HDS début 2022.

Cette démarche a associé la Commission nationale de l’informatique et des libertés (CNIL), le Haut Fonctionnaire de Défense et de Sécurité du ministère de la santé (HFDS), ainsi que les fédérations d’industriels de l’écosystème et les organismes certificateurs. Cette nouvelle version du référentiel a fait l’objet d’une concertation publique fin 2022. L’ANS a reçu plus de 250 contributions qui ont été analysées et traitées.

A l’issue de plusieurs échanges avec la CNIL, celle-ci a rendu un avis favorable au projet de référentiel de certification révisé le 13 juillet 2023.

En intégrant les principales contributions, cette nouvelle version du référentiel de certification HDS permet de :

• Renforcer de manière progressive la souveraineté des données avec de nouvelles exigences pour renforcer les garanties en termes de protection (voir focus ci-après) ; 
• Clarifier le périmètre des types d’activité d’hébergement - notamment l’activité dite “5” concernant l’administration et l’exploitation, qui faisait l’objet d’interrogations, et sur laquelle un consensus général a été trouvé – et renforcer la transparence des hébergeurs sur les types d’activités sur lesquelles ils sont certifiés ; 
• Préciser l’articulation entre les exigences de la certification HDS et celles de la certification SecNumCloud proposée par l’ANSSI. 
• Intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.

La version révisée du référentiel HDS ajoute quatre exigences relatives à la souveraineté des données (exigences 28 à 31) :

• (Exigence 28) L’hébergement physique des données de santé doit être réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace Economique Européen – EEE - (Union Européenne – UE avec la Norvège, l’Islande et le Liechtenstein), ce qui n’était pas une exigence requise jusqu’alors dans HDS. Sans être suffisante pour garantir totalement leur sécurité, cette exigence de localisation apporte néanmoins des garanties importantes en termes de protection des données et permet de renforcer la confiance des patients et professionnels dans le numérique en santé ; 
• (Exigences 29 et 30) En cas d’accès distant aux données depuis un pays tiers à l’UE, par l’hébergeur ou l’un de ses sous-traitants, ou en cas de soumission de ces derniers à une législation extra-européenne n’assurant pas un niveau de protection adéquat au sens de l’article 45 du RGPD (voir la carte  de la CNIL), alors l’hébergeur doit en informer ses clients dans le contrat et lui préciser les risques associés, ainsi que les mesures techniques et juridiques mises en œuvre pour les limiter ;
• (Exigence 31) Obliger l’hébergeur à rendre public, sur son site internet, une cartographie des éventuels transferts des données qu’il héberge vers un pays n’appartenant pas à l’EEE. 

Il est à noter que le référentiel révisé ne prévoit pas, à date, un alignement sur les exigences en termes d’immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2 (notamment celles du paragraphe 19.6). Ce point sera notamment revu à l’issue des discussions sur les futurs référentiels européens (European Cybersecurity Certification Scheme for Cloud services - EUCS) et au plus tard en 2027.  La prochaine révision de référentiel suivra également l’évolution de la maturité des acteurs du marché.  

Corollaire du référentiel HDS, le référentiel d’accréditation, rédigé en collaboration avec le COFRAC, décrit le processus d’accréditation des organismes de certification. Il intègre notamment les retours d’expériences des auditeurs qui ont été recueillis lors d’ateliers dédiés. 

Les principales évolutions, concernent les mises à jour en lien avec l’évolution de la norme ISO 27001, l’harmonisation des points en miroir du référentiel HDS (définition, références normatives, chapitre…) et la mise à jour des durées des audits. 

Le projet d’arrêté approuvant la version révisée des deux référentiels vient d’être notifié à la Commission européenne : à l’issue d’une période de statu quo de 3 mois, il sera publié au Journal officiel.

A compter de la publication de l’arrêté approuvant les référentiels qui devrait intervenir au cours du premier trimestre 2024, les organismes certificateurs bénéficieront d’un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS. 

Ce nouveau référentiel sera applicable aux demandes de certificat de conformité et aux demandes de renouvellement présentées aux organismes certificateur 6 mois à partir de la publication de l'arrêté, soit au début du deuxième semestre 2024. A l’issue de ce délai de six mois, les organismes certificateurs ne pourront donc plus délivrer que des certificats de conformité au nouveau référentiel.

Source ANS - Agence du numérique en santé

« Tout commence début 2020, lorsque le GHU Paris a souhaité renforcer son écosystème de recherche médicale afin d’initier de nouvelles collaborations scientifiques à l’échelle nationale et internationale. Un enjeu inscrit dans notre projet d’établissement, et qui impose la mise en œuvre d’un outil dédié, en l’occurrence un entrepôt de données de santé. Ce projet, initié et porté par Stéphane Pierrefitte, alors directeur du système d’information et de l’innovation – désormais adjoint au directeur général du GHU –, a été construit en lien étroit avec la Commission médicale d’établissement (CME) et le directoire », explique le Dr Sophie Sébille, data scientist et cheffe du projet EDS. 

Une démarche loin d’être aisée, eu égard à l’histoire même du GHU Paris, né de la fusion de trois établissements. Chacun a donc ses propres applications métiers, ce qui multipliait automatiquement par trois le volume d’applications à intégrer à l’EDS. « Nous avons donc commencé par recueillir les besoins des chercheurs, des équipes médicales et paramédicales, et des utilisateurs, afin d’identifier la nature et le format des données à déverser dans l’EDS. Cette étape était particulièrement longue mais elle est aussi fondamentale, car elle permet de poser les bases de l’entrepôt et d’assurer sa pertinence », poursuit-elle. En parallèle, le directoire du GHU sélectionne un prestataire chargé de développer les couches applicatives qui permettront ensuite aux utilisateurs de fouiller et d’extraire les données de l’EDS en toute autonomie.

À l’automne 2021, tout est prêt pour la mise en production. Mais, dans les derniers jours du mois d’octobre, la Commission nationale de l’informatique et des libertés (CNIL) adopte un nouveau référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé. « Le mois de novembre 2021 a été pour nous un moment charnière, car nous avions alors constaté l’inadéquation, sur certains aspects, de notre projet d’EDS avec le nouveau référentiel de la CNIL. Une refonte complète était nécessaire pour redévelopper l’ensemble des applicatifs », note la cheffe de projet. Des ajustements qui durent dix-huit mois. Le GHU Paris avait par exemple mis en place la pseudo-anonymisation des données dans la couche applicative permettant leur exploitation, et non dans la base de données elle-même. Or c’est cette dernière modalité qui est privilégiée dans le référentiel de la CNIL. 

« Bien que nous ayons déjà élaboré le cadre éthique, déontologique et juridique qui permettra de garantir la confidentialité des données recueillies dans l’entrepôt, nous avons également créé un Comité éthique de la recherche », ajoute Sophie Sébille. La gouvernance de l’EDS dans sa nouvelle version est ainsi assurée par trois comités : le Comité stratégique, qui définit et oriente la stratégie générale et assure les arbitrages nécessaires à la réalisation des objectifs ; le Comité technique, chargé du bon fonctionnement de la plateforme mais aussi de la prise en compte des retours d’expérience et des demandes d’évolution des outils ; et le Comité éthique de la recherche, qui évalue les propositions de projets de recherche liés à l’EDS et est, à ce titre, le garant de la conformité et de la légalité de ces études. 

Au printemps 2023, l’entrepôt est enfin mis en production dans une première version. « Nous avions bien préparé le terrain en amont, engageant une importante campagne de communication auprès des chercheurs, des cliniciens et des chefs de pôles afin de leur présenter l’EDS. Nous avions ici choisi une approche très concrète, avec un POC, ou preuve de concept, qui leur permettait de rapidement percevoir l’intérêt de l’EDS. L’accueil a été très favorable, beaucoup d’utilisateurs potentiels admettant n’avoir pas imaginé que l’entrepôt permettrait de gagner autant de temps dans l’extraction de données. Les perspectives offertes leur ont donc rapidement semblé considérables », sourit la cheffe de projet. Les premiers chiffres témoignent d’ailleurs de cette dynamique positive. « Dès le mois de juin, donc trois mois seulement après la mise en production de l’EDS, nous comptions déjà 25 utilisateurs sur 30 jours glissants. L’engouement des chercheurs est bien réel, tous établissements confondus. Plusieurs projets de recherche sont d’ailleurs désormais en cours de construction et devraient se concrétiser progressivement », indique Anne-Lise Lemoine, directrice de l’innovation technologique et du système d’information du GHU Paris depuis février 2023.

Et l’établissement ne compte pas en rester là. « Nous finalisons actuellement la convergence de nos systèmes d’information afin de mettre en œuvre un dossier patient informatisé (DPI) unique, dont les données seront déversées dans l’EDS. À terme, l’entrepôt disposera donc de données plus exhaustives, mieux structurées et à la typologie plus étendue, ce qui enrichira d’autant son potentiel applicatif », poursuit-elle en évoquant également une éventuelle mise en réseau de l’entrepôt de données de santé du GHU Paris avec ceux de ses interlocuteurs territoriaux – une réflexion qui reste néanmoins « peu avancée ».

En tout état de cause, l’expérience du GHU Paris psychiatrie & neurosciences est riche d’enseignements pour les établissements souhaitant constituer leur propre EDS. « Il faut être attentif à associer toutes les parties prenantes dès l’idéation. Nous avons surtout évoqué ici l’implication de la direction des systèmes d’information, mais il nous faut aussi préciser que nous avions travaillé de concert avec la direction de l’information médicale (DIM) et la direction de la recherche clinique et de l’innovation (DRCI) », souligne Sophie Sébille. Elle ajoute : « Un autre point de vigilance a trait à la phase de cadrage préalable, pour savoir quelles données intégrer dans l’entrepôt – car celles utiles aux soins ne le sont pas forcément pour la recherche – et sous quel format. Il s’agit comme nous l’avons vu d’un processus long mais crucial. La tentation peut être forte de brûler les étapes, mais j’insiste sur la nécessité de véritablement prendre le temps de mener ce travail à bien ». Le GHU Paris a, lui, visiblement relevé le défi, ses équipes médicales disposant désormais de tout le nécessaire pour accélérer la recherche et l’innovation dans le domaine de la santé et contribuer à la construction de la médecine du futur.

> Article publié dans l'édition de septembre d'Hospitalia à lire ici.