Logo ANAP
Ce site requiert l'activation de javascript pour être utilisé, merci de l'activer.
S'abonner

Ressources associées

Pour plus de détail, le lecteur se réfèrera au site de l’ASIP Santé : https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante

Agrément Hébergeur de données de santé

Les modalités d’hébergement de données de santé à caractère personnel sont encadrées par :

Article L.1111-8 du code de la santé publique

Toute personne physique, ou morale, qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico — social pour le compte d’un tiers, doit être agréée à cet effet.

L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime.

La procédure d’agrément est décrite par :

Décret n° 2006-6 du 4 janvier 2006

Le dossier d’agrément comprend notamment : capacité financière, type de prestation, niveau de sécurité et conditions du respect des principes de la protection des données personnelles et des droits des personnes.

La durée de l’agrément : l’agrément est délivré pour une durée de trois ans par le ministre chargé de la Santé après avis de la CNIL et du comité d’agrément des hébergeurs.

Cette procédure était déclarative et soumise à révision tous les 3 ans.

Certification Hébergeur de données de santé

L’article L.1111-8 a été modifié par l’ordonnance n° 2017-27 du 12 janvier 2017 et explicite trois services différents d’hébergement à considérer :

  1. l’hébergement de données de santé sur support papier : à réaliser par un hébergeur agréé par le ministre de la Culture (cf. décret 2011-246) ;

  2. l’hébergement de données de santé sur support numérique pour l’archivage électronique : à réaliser aussi par un hébergeur agréé par le ministre de la Culture (décret en attente) ;

  3. l’hébergement de données de santé sur support numérique (hors archivage électronique) : à réaliser par un hébergeur certifié accrédité par le COFRAC.

Dans le cadre de ce dernier service HDS sur support numérique, hors archivage électronique, et s’agissant d’une certification, la procédure évolue donc complètement pour devenir une évaluation de conformité à un référentiel de certification par un organisme certificateur.

Le cycle de contrôle de la certification est détaillé dans le schéma suivant :

Schéma 1 – Le cycle de contrôle de la certification HDS

Le référentiel de certification s’appuie sur plusieurs normes et exigences :

  • La norme ISO 27 001 « système de gestion de la sécurité des systèmes d’information » ;

  • Des exigences de la norme ISO 20 000 « système de gestion de la qualité des services » ;

  • Des exigences spécifiques à l’hébergement de données de santé.

Ainsi, outre le fait de passer ainsi d’une procédure déclarative à une procédure d’audit de certification, il s’agit aussi de faire évoluer la DSI à un mode « services ». Si la DSI n’est pas déjà dans une trajectoire d’évolution vers ce mode « services », la marche est d’autant plus haute à gravir et absolument pas triviale.

Le décret sur la certification des hébergeurs de données de santé est paru le 28 février 2018 et est entré en vigueur le 31 mars 2018.

Les hébergeurs dont l’agrément arrive à échéance avant le 30 mars 2019 disposent d’un délai supplémentaire de 6 mois pour passer la certification. Le décret précise en effet que : « Lorsque l'agrément pour l'hébergement de données de santé sur support informatique arrive à échéance avant le 31 mars 2019, la durée de l'agrément est prolongée pour une durée de six mois ». Les autres auront une validité de leur agrément jusqu’à l’échéance de celui-ci.

Cette ressource vous paraît-elle utile ?

Commentaires - Soyez le premier à déposer un commentaire

Pour ajouter un commentaire vous devez vous identifier

Vous êtes actuellement sur la page consacrée à Partager les enseignements concernant l'hébergement du SI de GHT (Enseignements).

Vous êtes perdu ?

Haut de page

Vous êtes actuellement sur la page consacrée à Partager les enseignements concernant l'hébergement du SI de GHT (Enseignements).

Vous êtes perdu ?