RGPD et HDS : vers une meilleure sécurisation des données ?


10 octobre 2018

RGPD et évolution de la certification Hébergeur de Données de Santé (HDS) :
deux règlementations complémentaires

Quelques chiffres clefs

- 20 millions d’euros ou 4% du chiffre d’affaire : c’est ce que risquent de payer en amendes les entreprises qui ne respecteront pas le RGPD.
- 67 % des entreprises ne s’estimaient en mars pas prêtes pour le RGPD, selon un sondage de la société américaine Net App effectué auprès d’entreprises allemandes, françaises, britanniques et américaines.
- 5 107 CIL étaient désignés dans 18 802 organismes de santé en 2017.

Orange Healthcare vers la certification

Orange est un hébergeur de données de santé à caractère personnel. C’est le premier opérateur de télécommunications à avoir obtenu l’agrément. Expert en hébergement, stockage et archivage des données de santé à caractère personnel, Orange Healthcare propose depuis quelques années une solution de santé hautement sécurisée et agréée. Aujourd’hui, il se met à la page de la certification. Le long processus de vérification déjà en œuvre au temps de l’agrément sera maintenant controlé au travers d’audits mis en œuvre par un organisme tiers. Health Data Solutions d’Orange Healthcare permet ainsi à tout organisme de santé de transposer l’ensemble de ses applicatifs contenant des données de santé au sein d’un espace entièrement sécurisé et conforme aux nouvelles obligations légales.

En savoir plus sur notre solution HDS

Avec le RGPD, une nouvelle réglementation générale européenne pour la protection des données personnelles voit le jour

Dans tous les domaines, pour toute entreprise, l’informatisation croissante des données personnelles pose question. La sécurité des données est devenue un enjeu majeur. Une perte, une modification, une compromission de données à caractère personnel peuvent entraîner de graves conséquences pour un individu. Surtout dans le domaine de la santé, les données sont précieuses.

Au niveau européen, ces questions aboutissent aujourd’hui à une nouvelle législation. Un nouveau cadre de protection est entré en vigueur le 25 mai 2018 : le RGPD. Ce Règlement Général sur la Protection des Données doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique, quel que soit le domaine d’activité, en changeant de paradigme.

Avec le RGPD, on passe d’une logique de formalités préalables à une logique de conformité continue. Pour chaque donnée, c’est maintenant tout au long de son cycle de vie que la conformité à la règlementation la concernant doit être documentée, prouvée. La responsabilisation des acteurs est ainsi accrue.

Le RGPD met en place des obligations. Et ce, pour une grosse entreprise, comme pour la plus petite organisation. L’organisme de santé a pour obligation d’assurer la transparence du traitement. Il doit informer préalablement les personnes de l’utilisation de leurs données, leur dire quelles sont les données qui sont concernées, ce qui en est fait, avec qui elles sont partagées, combien de temps elles sont conservées, quelles sont les mesures mises en place en terme de sécurité.

Dans le domaine de la santé, ce nouveau cadre se superpose à une réglementation déjà existante mais en évolution, le HDS

Particulièrement sensible, l’hébergement des données de santé est encadré par la loi française depuis plus de dix ans. La loi du 4 mars 2002 et le décret du 4 janvier 2006 ont posé les fondations d’une réglementation structurant l’hébergement des données de santé. Cette législation prévoit l’obtention d’un agrément délivré par le ministère des Solidarités et de la Santé comme préalable à l’hébergement des données de santé à caractère personnel.

Comme la réglementation européenne, l’HDS lui aussi évolue. Avec l’adoption de la loi de modernisation du système de santé le 26 janvier 2016 puis l’ordonnance du 12 janvier 2017 et le décret du 26 février 2018 relative à l’hébergement des données de santé à caractère personnel, le principe d’agrément est abandonné au profit de celui de certification. Le champ d’application de la réglementation est lui aussi très élargi.

Depuis le 1er avril 2018, toute personne hébergeant des données de santé à caractère personnel recueillies dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil des données, ou pour le patient, a pour obligation d’être certifié HDS. Cette certification n’est plus délivrée par le ministère des solidarités et de la santé comme l’était l’agrément, la procédure est confiée à des organismes certificateurs accrédités.

Une complémentarité au service de la sécurité numérique dans le domaine de la santé

Les réglementations HDS et RGPD, distinctes mais compatibles, semblent se renforcer sur bien des points.
Le RGPD définit au niveau européen des obligations générales quant au traitement de données à caractère personnel.
La réglementation HDS, elle, précise et renforce les mesures de sécurité à mettre en œuvre, et surtout, impose leur contrôle via un audit documentaire et sur site par un organisme tiers accrédité avant toute opération d’hébergement.

Du fait de ce recoupement, la mise en œuvre d’une certification HDS pourra ainsi servir, pour les acteurs de la santé, d’outil de conformité à la réglementation RGPD. Les deux éléments doivent contribuer à bâtir un écosystème de confiance autour de la santé numérique.

Les avantages de la certification

Hébergeurs de données, entreprises clientes : tout le monde y trouve son compte, avec des nuances.

Pour une entreprise qui fait appel à un hébergeur de données, le principal bénéfice du passage à la certification est celui de la transparence. Auparavant, l’entreprise cliente n’avait pas accès au dossier d’agrément de l’hébergeur, celui-ci était confidentiel. Avec la certification, le client connaît immédiatement l’activité pour laquelle l’hébergeur est certifié, il sait immédiatement les éléments que l’hébergeur respecte.

Pour cette même entreprise, le RGPD impose aujourd’hui d’auditer ses sous-traitants. Une tâche qui peut s’avérer peu aisée quand l’établissement sous-traitant est une grosse structure. Un petit établissement n’aura pas les moyens financiers et humains pour auditer un géant de l’internet. L’avantage de la certification, c’est qu’il revient maintenant à un tiers externe (dont l’impartialité et la neutralité sont garanties) de faire des contrôles, périodiquement, pour vérifier que tout ce qui est prévu dans le référentiel de certification est respecté. En s’appuyant sur un sous-traitant hébergeur certifié, et en mettant en œuvre les exigences complémentaires sur le périmètre restant sous sa responsabilité, un responsable de traitement pourra constituer un ensemble cohérent et complémentaire lui facilitant ainsi la démonstration de sa conformité aux exigences du RGPD.

Pour l’hébergeur de données, lui-même certifié, la transparence est aussi un avantage. […] De même, le recours à des normes international peut accroitre la lisibilité des exigences mises en œuvre sur le marché international. Mais à cela, il y a un prix. Quand, pour l’agrément, l’hébergeur n’avait que les frais de mise en conformité à dépenser, la certification lui impute la nécessité de rémunérer, en outre, l’organisme certificateur.