Hébergement HDS et RGPD : comment garantir la sécurité des données médicales ?

Les données médicales sont particulièrement sensibles et la responsabilité des professionnels de santé est de contribuer à les protéger des altérations, fraudes et autres fuites. Pour cela, les médecins doivent dans leurs usages et au travers de leurs logiciels, respecter les normes de traitement avec le RGPD et d’hébergement des données de santé avec la certification HDS. Ci-dessous tout ce qu’il faut comprendre pour agir. 

Comprendre l’hébergement des données de santé

Un hébergeur de données – santé ou pas – est un organisme chargé de stocker, gérer et protéger les données pour le tiers qui lui confie les dites données. Si l’hébergeur de données de santé répond à cette définition, il a, plus que d’autres, des obligations spécifiques liées à la sensibilité de ces informations.

Distinction entre données personnelles et données de santé

La donnée personnelle selon la Commission Nationale Informatique et Liberté (CNIL) est une donnée permettant d’identifier une personne physique. Cette identification peut être directe, par exemple par le nom ou le prénom, ou bien indirecte par le numéro de téléphone, l’adresse IP, etc. Les données de santé concernent tout ce qui touche à l’état physique ou mental d’une personne, à ses soins ou à son parcours médical, précise la CNIL, qui classe ces informations dans la catégorie données sensibles. 

Pourquoi les données médicales sont particulièrement sensibles ?

Parce qu’elles concernent l’état de santé général d’un patient par exemple ses antécédents médicaux, ses prescriptions, les données médicales peuvent être utilisées à mauvais escient. Par exemple, elles peuvent être employées pour discriminer une personne. Elles peuvent aussi être détournées pour générer une fraude ou bien être exploitées pour des attaques informatiques avec demande de rançon. C’est pourquoi le législateur a jugé qu’elles étaient plus sensibles encore que les données personnelles et qu’elles nécessitent une protection spécifique.

Enjeux de confiance et continuité des soins

Cette précaution est d’autant plus légitime que, d’après l’enquête Les Français et le numérique en santé publiée par l’Agence du numérique en santé en 2024,  86% des Français considèrent leurs données de santé comme particulièrement sensibles. Et 78% redoutent qu’elles soient utilisées à des fins commerciales ou qu’elles fassent l’objet de piratage. Pour autant, ils sont également 74% à estimer que le développement du numérique en santé va faciliter la coordination entre professionnels de santé. Ils attendent donc beaucoup des praticiens en la matière. Et à raison, des données bien traitées et bien protégées font partie des éléments clés pour assurer la fluidité et l’efficacité du parcours de soins.

Certification HDS : cadre, exigences et obligations

Ces enjeux en matière de sécurité de données expliquent qu’un cadre clair a été donné aux hébergeurs de données de santé.

Qu’est-ce que la certification HDS et à qui s’adresse-t-elle ?

La certification Hébergeur de données de santé (HDS) est faite pour protéger de façon forte les données de santé, de s’assurer qu’elles sont gérées de façon sécurisées et conformes dans l’intérêt du patient. Elle repose sur le respect de différents critères notamment des normes ISO et en particulier ISO27001. L’ensemble de la démarche est régi par la loi. Et les hébergeurs de ce type de données doivent être accrédités par le Comité́ français d’accréditation (Cofrac), instance unique d’accréditation au niveau national. Cette certification peut être délivrée à toute entreprise ou organisme hébergeant des données médicales. La définition de l’organisme hébergeur est large puisqu’elle inclut toute personne physique ou morale manipulant une donnée de ce type. 

Que contient le référentiel de certification HDS ?

Le référentiel comporte 31 exigences qui doivent être respectées par l’hébergeur. Elles portent sur l’organisation, la gouvernance, la planification, les supports, le fonctionnement, l’évaluation de la performance et les logiques d’amélioration de l’hébergeur. Ces exigences concernent également la relation contractuelle avec la personne physique ou morale confiant les données à l’hébergeur et les engagements de ce dernier en matière de confidentialité, de conformité, de respect des normes, etc. Le système d’information et l’organisation du candidat hébergeur sont donc vérifiés selon ces exigences avant que soit accordée la certification. Au final, ces exigences sont faites afin que des mesures strictes de sécurité soient appliquées par l’hébergeur, lors du chiffrement des données, pour sécuriser la confidentialité des données de santé.

Comment un hébergeur maintient sa certification HDS ?

Le certificat est accordé pour trois ans. Durant cette période, tous les ans, l’hébergeur fait l’objet d’un audit de surveillance par l’organisme qui lui a accordé la certification. 

Choisir un hébergeur certifié HDS : critères et bonnes pratiques

Le choix d’un hébergeur est donc un enjeu important et doit se faire en prenant en compte l’intérêt supérieur du patient. Ce que font les éditeurs de logiciel conforme HDS comme Cegedim Santé pour les logiciels médicaux que vous utilisez.

Critères techniques et organisationnels pour sélectionner un prestataire fiable

On peut noter quatre critères à bien évaluer et prendre en compte avant de choisir l’hébergeur :

• Il bénéficie bien de la certification HDS d’une part et respecte bien les normes RGPD d’autre part. 
• Il a une réelle capacité organisationnelle, c’est-à-dire est en mesure de respecter un certain degré d’exigences en matière d’infrastructure, de processus de gestion, de formation du personnel et de gestion des risques. 
• Il assure la continuité de la protection, et donc peut prouver la robustesse de la prise en compte et la gestion des incidents
• Il réalise de façon fréquente et qualitative des mises à jour en fonction des évolutions techniques et du cadre réglementaire et législatif.

Les activités d’hébergement concernées par la certification

La certification porte sur 6 types d’activités :

• la mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
• la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
• la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé
• la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
• l’administration et l’exploitation du système d’information contenant les données de santé
• la sauvegarde des données de santé

Pourquoi il est essentiel de privilégier un hébergeur souverain et certifié

En tant que médecin vous êtes responsable de l’intégrité et de la sécurité des données de vos patients. C’est d’ailleurs le sens de l’article L1111-8 du code de la Santé publique. Celui-ci stipule que vous devez vous assurer que vous confiez vos données à un hébergeur certifié. Au-delà, le choix d’un hébergeur souverain est la certitude que vos données ne vont pas se perdre dans la nature.

Garantir la sécurité et la conformité des données médicales

Comme toute personne manipulant des données de santé, vous devez vous assurer de leur intégrité à chaque fois que vous les utilisez, directement ou indirectement.

Les mesures de sécurité et d’authentification recommandées

Les cabinets médicaux sont de plus en plus soumis à des risques cyber. C’est pourquoi vous devez prendre des précautions avec tout votre système informatique. En général, on pense toujours à protéger son lieu de travail d’intrusion. Il faut faire de même avec le système informatique et le poste de travail. 

• Verrouiller votre ordinateur dès que vous vous absentez 
• Choisissez un mot de passe solide et personnel
• Utilisez le plus souvent possible votre cps ou votre e-cps pour vous connecter au logiciel
• Réaliser les mises à jour de votre poste informatique et à sauvegarder à intervalles réguliers vos données
• Eviter les messageries grand public pour transmettre des informations de santé

Vous pouvez retrouver tous les conseils sur la fiche Cybersécurité de l’ANS.

Qui a accès aux données et dans quelles conditions ?

La donnée de santé est une donnée personnelle. Elle appartient au patient qui doit donc avoir accès à tout moment à ces informations. Mais vous pouvez les partager avec un autre professionnel de santé à condition que cela entre dans le cadre du parcours de soins du patient. Et dans ce cas, vous devez transmettre strictement les informations nécessaires et utiliser une messagerie sécurisée de santé (MSS). Si le professionnel de santé ne fait pas partie de l’équipe de soins, vous devez obtenir le consentement du patient pour ce transfert.

Sanctions en cas de non-conformité ou de failles

La responsabilité de tous les acteurs de la chaîne (hébergeur, éditeur, médecin) peut être engagée en cas de non-conformité ou de faille constatées. Elles peuvent donner lieu à des sanctions de la part de la CNIL, du tribunal pénal ou de l’Ordre selon la gravité et la qualification des atteintes aux données. Des amendes conséquentes sont en général prononcées à l’encontre des organismes ou praticiens reconnus comme fautifs.

Hébergement HDS et RGPD : un duo indispensable

Si la certification HDS est indispensable pour l’hébergement, le respect du Règlement Général sur la Protection des Données (RGPD) s’impose également aux professionnels de santé pour toutes leurs actions sur les données.

L’articulation entre certification HDS et obligations RGPD

Le RGPD constitue le premier niveau de traitement de la donnée. Il vous revient en tant que médecin de vous assurer que vous remplissez vos obligations en la matière en tant que responsable de traitement. Et l’ordre a édité un guide pour vous aider. En résumé, il vous revient de stocker et gérer uniquement les données dont vous avez besoin pour votre pratique et d’en informer votre patient (affiche CNIL). Cela revient à structurer vos dossiers patients en prenant en compte cette logique. Ensuite, la certification HDS vient protéger le lieu où la donnée ainsi structurée va être conservée. Les deux normes sont complémentaires et sécurisent les accès aux informations personnelles à deux niveaux.

Droits des patients : consentement, transparence, opposition

La donnée appartient au patient, aussi, celui-ci doit pouvoir agir sur celle-ci. C’est pourquoi la loi lui accorde un droit à l’accès à ses données, par exemple à son dossier patient. Il a également le droit de s’opposer à un partage ou un traitement de ses données. Il peut tout aussi bien accorder son consentement ou le refuser. Et bien évidemment, il conserve la possibilité de demander à la CNIL de vérifier l’usage qui est fait de ses informations personnelles.

Rôle de la CNIL et conformité quotidienne pour les médecins

La commission nationale informatique et liberté (CNIL) est en quelque sorte le gendarme des données. Elle est habilitée à mener des enquêtes sur demande des patients et à prononcer des sanctions financières à l’encontre du responsable de traitement RGPD. Elle peut se contenter d’un avertissement ou d’une mise en demeure selon la gravité des faits constatés.
En tant que médecin, vous devez pouvoir prouver que vous avez mis tout en œuvre pour éviter tout risque et démontrer à tout moment votre conformité aux exigences du RGPD dans la santé. Il vous revient donc de conserver trace de toutes vos démarches : mise en place d’un registre de traitement des données, modalités de l’information délivrée au patient, actions menées pour garantir la sécurité des données de santé, etc.

Focus sur Cegedim.Cloud : une solution certifiée et sécurisée

Cegedim.Cloud héberge l’ensemble des solutions Cegedim Santé avec un niveau élevé de sécurité conforme à la certification HDS.

Une infrastructure certifiée HDS et conforme au RGPD

Cegedim.Cloud est un hébergeur souverain avec des data centers tous situés dans l’hexagone. Il compte plus de 200 collaborateurs, experts dans les systèmes d’information. Son infrastructure est certifiée HDS et répond aux normes ISO 27001. Tout le système répond aux normes RGPD.

Avec la certification Cegedim.Cloud, les médecins bénéficient d’un hébergement HDS médecin et d’un hébergement cloud santé entièrement conforme aux normes les plus strictes. 

Sécurité renforcée et accompagnement dédié pour les praticiens

Cegedim.Cloud est également certifié SecNumCloud. Cette norme garantit un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique. Être qualifié SecNumCloud signifie que Cegedim.Cloud bénéficie d’une sécurité robuste de son Système d’Information tout en assurant la conformité aux réglementations européennes en matière de protection des données médicales.

Un gage de confiance pour les médecins et leurs patients

Ce niveau élevé de certification et de sécurité de l’hébergement des données et des logiciels médicaux de Cegedim Santé vous permet d’utiliser en toute confiance nos solutions. Vous pouvez également rassurer vos patients sur le soin apporté à la préservation de leurs informations. En résumé, un logiciel médical conforme RGPD et HDS, contribue également à l’entretien du lien de confiance médecin-patient.

Les enjeux stratégiques de l’hébergement des données de santé en e-santé

Une donnée de santé bien protégée est une clé d’un parcours de soins réussi.

Impact sur la continuité des soins et la relation patient-soignant

L’hébergement sécurisé permet un accès tout aussi sécurisé aux données tout au long du parcours de soins. Il participe donc à favoriser celui-ci et à renforcer la relation patient-soignant. Le fait de pouvoir les transférer aux autres professionnels de santé sans risque est également un atout considérable. Le patient, lorsqu’il est informé du soin pris par le médecin via le choix de sa solution numérique et son hébergement, peut s’inscrire plus facilement dans une relation confiante avec son médecin.

Le rôle des logiciels médicaux comme Maiia Médecin

Les hébergements de données sont directement liés aux solutions logicielles. C’est pourquoi choisir un logiciel comme Maiia Médecin qui peut s’appuyer sur Cegedim. Cloud est un avantage pour sécuriser les données patients. Ajouté à l’accès rapide aux dossiers patients numériques que permet Maiia Médecin, cela permet une prise en charge confortable et sécurisée pour le médecin comme pour le patient.

Évolutions du référentiel et tendances réglementaires à anticiper

Les attaques cyber se faisant plus nombreuses, la CNIL et les pouvoirs publics font évoluer régulièrement le référentiel HDS afin qu’il puisse prendre en compte les nouveaux risques. Ainsi la dernière évolution majeure, datant de 2023, a permis de rajouter une activité visée par le HDS, de renforcer la nécessité d’une implantation européenne et, d’une manière générale, d’accroître le niveau de sécurité requis pour obtenir la certification. Le prochain changement aura vraisemblablement lieu en 2027 en lien avec l’évolution du référentiel SecNumCloud.

Conclusion

Les normes RGPD s’imposent à toutes les données, et sont particulièrement importantes pour les données de santé, classées comme sensibles. Pour assurer une sécurité optimale, il est prévu que leur hébergement réponde aux règles les plus strictes de protection et de sécurité. C’est ce que vise le référentiel HDS. Ainsi, c’est l’alliance RGP /HDS qui fait de l’exercice de la e-santé, un lieu de sécurité et de confort pour vous et votre patient.