Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La certification définit les modalités et les conditions attendues. C’est pourquoi Hisi est fier d’avoir tout mis en oeuvre pour obtenir sa certification HDS:2018 en tant que hébergeur d’infrastructure physique et hébergeur infogéreur.
Qu’est-ce que la certification HDS ?
L’Hébergement de Données de Santé (HDS) est particulièrement encadrée en France. Cette activité touche à des Données Personnelles Identifiables (DPI) qui plus est couvertes par le secret médical. L’autorisation préalable à cet hébergement se matérialisait depuis 2006 par un agrément reposant sur l’instruction par l’Agence des Systèmes d’Information Partagé en Santé (ASIP) d’un dossier à caractère déclaratif, puis la délivrance d’un agrément par le ministère de la Santé.
Depuis la mi 2018, la procédure d’agrément est remplacée par une certification délivrée par des organismes eux-mêmes accrédités par le COmité Français d’ACréditation (COFRAC). Cette évolution formalise les critères d’acceptation des candidatures en les fondant sur certaines normes ISO auxquelles s’ajoutent des exigences complémentaires. Elle substitue à un système déclaratif basé sur la bonne foi et l’auto-contrôle une approche factuelle reposant sur des audits annuels indépendants de vérification du respect des engagements.
Les agréments encore en vigueur à ce jour expireront en 2019. Leurs détenteurs devront d’ici là obtenir une certification ou renoncer à leurs activités dans ce domaine.
Quel est l’avantage pour une entreprise d’obtenir cette certification ?
Obtenir la certification est un gage supplémentaire de Qualité pour les clients, l’assurance d’une gestion de la données personnelles avec les bonnes pratiques (RGPD, ISO, HDS).
C’est un avantage concurrentiel, car il y a peu d’hébergeurs certifiés ISO 27001 et HDS (moins de 10 % des hébergeurs/fournisseurs de cloud).
Quelles sont les difficultés pour obtenir cette certification ?
Détenir une certification ISO 27001:2013 constitue un préalable de la certification HDS. Il ne s’agissait pas d’une difficulté pour HISI qui possède cette certification depuis plusieurs années. Il pourrait en aller bien autrement pour des organismes aujourd’hui agréés et qui n’ont pas encore effectué cette démarche.
Nos efforts ont porté sur les exigences complémentaires tirées de la norme ISO 20000-1:2012 qui traite de la gestion de la qualité des services et de la norme ISO 27018:2014 pour la protection des données à caractère personnel. Dans le premier cas, ceci a été l’occasion d’améliorer la définition, la mise en œuvre et le suivi de nos offres de services en renforçant l’approche ITIL que nous avions déjà adopté. Dans le second cas, nous avons su tirer parti d’un travail important effectué en amont dans le cadre de la mise en conformité au RGPD que nous avions entrepris ces deux dernières années.
Le travail important nécessité par cette certification n’aurait sans doute pas été possible sans l’appui de notre Système de Management de la Sécurité de l’Information (SMSI) et notre pratique depuis plusieurs années des systèmes normatifs au travers de nos certification ISO 9001:2015 et ISO 27001:2013.
Pourquoi était-ce important pour Hisi d’obtenir cette certification ?
Cette certification est l’aboutissement de 18 mois de travail et d’attente. Une récompense pour les équipes internes, notre service Qualité et notre RSSI.
C’est important pour nos partenaires intégrateurs et éditeurs de progiciels ; car cela va également les aider à développer de nouveaux business.
Quels étaient les enjeux de cette certification dans vos rapport à vos clients ?
C’est important pour certains de nos clients, pour qui nous devions sous-traiter les serveurs HDS à des hébergeurs concurrents, et qui vont pouvoir centraliser chez hisi l’ensemble de leurs serveurs (HDS ou non).
