Atelier N°7 Certification Hébergement des données de santé (HDS) par Kahina HADDAD et Frédéric LAW-DUNE, ASIP Santé

1. Evolution de la procédure d’agrément
des hébergeurs de données de santé
Kahina HADDAD
Frédéric LAW-DUNE

2. 2
L’encadrement de l’activité d’hébergement de données de
santé, modifié par l’ordonnance du 12 janvier 2017
Définition de la procédure de certification pour l’hébergement
de données de santé sur support numérique
Deux certificats pour deux métiers d’hébergement distincts
Le choix du périmètre de la certification
La procédure de certification et son référentiel
La procédure de certification et les équivalences
L’entrée en vigueur de la procédure de certification et la
transition avec la procédure d’agrément
Sommaire

3. L’encadrement des activités d’hébergement de données de santé
modifié par l’ordonnance du 12 janvier 2017
3
Ordonnance n° 2017-27 du 12 janvier relative à l’hébergement de
données de santé
Le champ d’application
Toute personne qui héberge pour le compte d’un tiers des données de santé à caractère
personnel collectées à l’occasion d’activités de prévention, de diagnostic ou de soins
La prise en compte des droits des personnes
Nécessité d’informer la personne concernée :
• de l’hébergement de ses données de santé par un hébergeur;
• de son droit de s’y opposer pour motif légitime;
L’encadrement de la prestation d’hébergement par un contrat
Contrat qui doit définir le service d’hébergement de données de santé objet du contrat,
les modalités de fournitures du services, l’encadrement des accès aux données de santé,
les droits des personnes concernées, etc.

4. L’encadrement des activités d’hébergement de données de santé
modifié par l’ordonnance du 12 janvier 2017
4
Les trois grandes catégories de services
d’hébergement de données de santé
L’hébergement de données de
santé sur support numérique
L’hébergement de données
de santé sur support papier
L’hébergement de données de
santé dans le cadre d’un service
d’archivage électronique
Procédure de certification
définie par un décret … à
venir
Elle remplace la procédure
d’agrément
Procédure d’agrément
définie par le décret
2011-246
 Compétence ministre de la
culture
Procédure d’agrément,
définie par un décret … à venir
Agrément qui pourra s’appuyer
sur un certificat de conformité
déjà délivré
 Compétence ministre de la
culture

5. Définition de la procédure de certification pour l’hébergement de
données de santé sur support numérique
5
• Un décret en Conseil d’Etat pris après avis de la CNIL et des
ordres des professions de santé …
…définit:
• Le périmètre des activités d’hébergement soumises à certification;
• Les modalités de délivrance du certificat de conformité :
• le certificat de conformité est délivré par un organisme de certification
accrédité par le COFRAC ( ou équivalent au niveau européen);
• les référentiels de certification et d’accréditation seront pris par arrêté du
ministre chargé de la Santé;
• Les clauses obligatoires que devra comporter tout contrat
d’hébergement de données de santé;
…désigne :
• L’ASIP Santé comme organisme chargé d’assurer le suivi de la
procédure de certification;
… organise:
• La phase transitoire entre l’agrément et la certification

6. Définition de la procédure de certification des hébergeurs de
données de santé sur support numérique
DSSIS (Délégation à la
stratégie des systèmes
d’information de santé)
Définition du nouveau
dispositif
Validation du nouveau dispositif par
un comité de pilotage
• Représentants institutionnels : directions
du ministère de la Santé, ANSSI, CNIL,
fédérations hospitalières, Ordres, etc.
• Représentants d’industriels AFHADS,
ASINHPA, FEIMA, LESSIS, SNITEM et
SYNTEC numérique
ASIP Santé
6

7. Deux certificats pour deux métiers d’hébergement distincts
7
2. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure
matérielle du système d’information de santé
1. Mise à disposition ou maintien en condition opérationnelle de locaux permettant
d’héberger l’infrastructure matérielle du système d’information de santé
Hébergeur d’infrastructure physique
3. Mise à disposition ou maintien en condition opérationnelle de la plateforme
logicielle (système d’exploitation, middleware, base de données, etc.) du système
d’information de santé
4. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure
virtuelle du système d’information de santé
5. Infogérance d’exploitation du système d’information de santé
6. Sauvegardes externalisées des données de santé
Hébergeur infogéreur

8. Le choix du périmètre de la certification
8
 Lorsque le périmètre d’activités comprend exclusivement une ou
plusieurs activités parmi les activités numérotées de 1 à 2, il est
évalué pour la conformité aux exigences s’appliquant aux hébergeurs
d’infrastructure physique. La certification obtenue est dénommée
certification « hébergeur d’infrastructure physique ».
 Lorsque le périmètre d’activités comprend exclusivement une ou
plusieurs activités parmi les activités numérotées de 3 à 6, il est
évalué pour la conformité aux exigences s’appliquant aux hébergeurs
infogéreurs. La certification obtenue est dénommée certification «
hébergeur infogéreur ».
 Lorsque le périmètre comprend au moins une activité de chacun
de ces périmètres, il est évalué pour la conformité à toutes les
exigences et obtient les deux certifications.
Un hébergeur souhaitant obtenir une certification pour l’hébergement de
données de santé doit identifier les activités concernées par sa demande

9. La procédure de certification et son référentiel
9
 La procédure de certification se fonde sur le
processus standard de type système de management
décrit dans la norme ISO 17021 et précisé dans la
norme ISO 27006 :
 l’hébergeur choisit un organisme certificateur accrédité par le COFRAC (ou
équivalent au niveau européen) ;
 l’organisme certificateur vérifie l’équivalence des éventuelles certifications ISO
27001 ou ISO 20000 déjà obtenues par l’hébergeur ;
 un audit en deux étapes conformes aux normes en vigueur est alors effectué :
L’organisme certificateur réalise une revue documentaire du système
d’information du candidat afin de déterminer la conformité documentaire
du système par rapport aux exigences du référentiel de certification.
Audit
documentaire
Etape 1
Les preuves d’audit sont recueillies dans les conditions définies dans le
référentiel d’accréditation basé sur les normes l’ISO 17021 et ISO 27006.
L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les
éventuelles non-conformités et faire auditer les corrections par l’organisme
certificateur.
Passé ce délai et sans action de l’hébergeur, l’audit sur site devra être
recommencé.
Audit sur siteEtape 2

10. La procédure de certification et son référentiel
10
 Le référentiel de certification est composé de
 la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information »,
 d’exigences de la norme ISO 20000 « système de gestion de la qualité des services»,
 d’exigences de la norme ISO 27018 « protection des données à caractère personnel »
 d’une exigence de la norme ISO 27017 « Code de pratique pour les contrôles de
sécurité de l’information fondés sur l’ISO/IEC 27002 pour les services du nuage »
 et d’exigences spécifiques à l’hébergement de données de santé.
 Une dimension internationale
 La certification HDS pourra être délivrée par tout organisme certificateur accrédité par
un organisme d’accréditation européen signataire des accords de reconnaissance
EA/IAF.
Le détail des exigences pour les certifications d’hébergeur d’infrastructure physique et
d’hébergeur infogéreur seront prochainement mis à disposition sur le site de l’ASIP
Santé, esante.gouv.fr

11. La procédure de certification et son référentiel
11
• Pour obtenir une certification HDS, un candidat doit :
Être certifié ISO 27001
Être évalué sur sa conformité aux exigences issues des normes (20000,
27017, 27018) et des exigences spécifiques
• Validité du certificat
Le certificat est délivré pour une durée de trois ans, par
l’organisme certificateur
Un audit de surveillance annuel est effectué par
l’organisme certificateur
3 ans
1 an

12. La procédure de certification et les équivalences
12
 Des certifications ISO 27001 et ISO 20000 déjà
obtenues par un hébergeur peuvent être
reconnues équivalentes lorsque :
le périmètre de la certification dont dispose l’hébergeur inclut le périmètre
pour lequel le candidat demande une certification HDS ;
les certifications sont en cours de validité (ne font pas l’objet de
suspension, transfert ou rectification) et ont été délivrées par des
organismes certificateurs accrédités par le COFRAC ou équivalent
européen ;
De plus, les rapports d’audits (audit initial et audits de surveillance) doivent
être remis, à sa demande, à l’organisme de certification.
 Les certifications ISO 27017 et ISO 27018
déjà obtenues par un hébergeur ne peuvent
pas être reconnues équivalentes car elles
sont émises hors accréditation.

13. L’entrée en vigueur de la procédure de certification et la transition
avec la procédure d’agrément
13
S2 2017
S1 2018 1er janvier 2019
Entrée en vigueur
de la certification
HDS
Décret
HDS
Toute nouvelle demande est traitée
selon la procédure d’agrément
actuelle
Toute nouvelle demande est traitée selon la procédure de
certification HDSNouvel hébergeur
Hébergeur
souhaitant
renouveler son
agrémentation
Agrément valide pendant 3 ans
Certification HDS
Période pendant laquelle
l’hébergeur peut continuer
à fournir ses services
Agrément arrivant à
échéance moins d’un an
après la date d’entrée en
vigueur
Agrément délivré
avant la date
d’entrée en vigueur
Agrément arrivant à
échéance

14. 14
http://esante.gouv.fr
Des questions ?