Un établissement de santé, dès lors qu’il cherche un interlocuteur pour gérer son SI de santé, l’héberger ou même en faire des sauvegardes, doit obligatoirement faire appel à un prestataire certifié HDS (Hébergement de Données de Santé).

Alors même qu’un hébergeur traditionnel valorise surtout des arguments de disponibilité et d’intégrité, un hébergeur certifié HDS doit également tenir des engagements forts en termes de confidentialité et de traçabilité. Puisque le choix d’un hébergeur HDS se révèle généralement plus complexe que celui d’un hébergeur traditionnel, nous vous présentons les principaux critères qui peuvent vous aider à sélectionner votre prestataire en toute confiance.

Hébergement de données de santé : que dit la loi ?

L’article L.1111-8 du Code de la santé publique, modifié par la loi n°2016-41 du 26 janvier 2016 précise les circonstances dans lesquelles le recours à un hébergeur certifié HDS est obligatoire.

Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.

La certification HDS repose sur un agrément délivré par le ministère de la Santé. Tout hébergeur qui souhaite obtenir la certification doit se faire auditer par un organisme accrédité par le COFRAC (ou un organisme équivalent au niveau européen). L’hébergeur doit à la fois se plier aux exigences de la certification 27001 et de la certification HDS.

L’audit effectué peut aboutir à deux certifications différentes :

Hébergeur d’infrastructure physique ;
Hébergeur infogéreur.

Il s’appuie sur une première revue documentaire du SI et sur un audit sur site. Délivrés pour une durée de trois ans, les certificats doivent être renouvelés avant échéance. De plus, les hébergeurs certifiés se soumettent chaque année à un audit de surveillance.

La certification HDS : au-delà de la conformité réglementaire, de vrais bénéfices

Bien que le recours à un hébergeur / infogéreur certifié HDS soit une obligation pour tous les établissements de santé qui doivent externaliser tout ou partie de leur SI, cette certification leur apporte une vraie valeur ajoutée.

En effet, la certification HDS ne se cantonne pas aux enjeux de protection des données personnelles et sensibles. Elle vient aussi garantir aux établissements un haut niveau de disponibilité et une excellente qualité de service.

De plus, les entreprises informatiques qui proposent des prestations d’hébergement de données de santé assorties d’une certification HDS associent qualité de l’accompagnement et capacité de conseil. Elles sont par exemple capables de fournir des prestations sur-mesure pour accompagner les établissements dans leurs projets de transition, dans le déploiement d’une politique de sécurité complète ou encore dans le lancement de nouveaux services.

Bien choisir son hébergement HDS : les critères importants

La compatibilité de l’agrément avec les besoins concrets

Tous les hébergeurs certifiés HDS ne garantissent pas nécessairement le même niveau de prise en charge et les mêmes engagements.

Très concrètement, la certification HDS s’établit sur 6 niveaux différents :

Les niveaux 1 et 2 pour l’hébergement d’une infrastructure physique ;
Les niveaux 3 à 6 pour l’hébergement et l’infogérance.

Les niveaux 1 et 2 peuvent être suffisants pour un établissement qui possède déjà des serveurs et en assure l’encadrement. Dans ce cas, le prestataire sera en mesure de mettre à disposition et de maintenir en condition opérationnelle l’infrastructure matérielle ainsi que les sites physiques qui permettent d’héberger le matériel.

Les niveaux 3 à 6, quant à eux, s’attachent aux environnements applicatifs (infrastructure virtuelle, plateforme d’hébergement, administration et exploitation du SI de santé et sauvegarde externalisée).

Le respect de critères essentiels de sécurité de l’information

Un hébergeur de cloud HDS doit être en mesure de garantir la confidentialité, l’intégralité et la disponibilité des données.

Pour cela, il va par exemple déployer différentes mesures de protection contre les cyberattaques (pare-feu, détection d’intrusion, anti DDoS, etc.), mais également mettre en place le chiffrement des données.

Entreprise engagée dans le numérique à impact, Sigma offre un accompagnement complet à ses clients. En plus d’être certifiés HDS et de détenir toutes les habilitations légalement exigées en matière d’hébergement d’un SI de santé, nous proposons un accompagnement cybersécurité complet.

Appuyez-vous sur les meilleurs SIEM du marché pour détecter les signaux faibles ainsi qu’un EDR pour automatiser un maximum d’actions, sans oublier un SOC disponible 24/7/365 en présentiel et basé en France.

Contacter un conseiller

La localisation des données

Par définition, un cloud HDS est un cloud souverain, dans la mesure où les données doivent obligatoirement être localisées en Union Européenne. Il faut bien évidemment s’en assurer au moment de choisir un prestataire, car les professionnels de santé ne peuvent pas confier la gestion de leur SI ou de leurs sauvegardes à une entreprise qui héberge les données hors du territoire national. En effet, il faut absolument éviter tous les risques liés à des lois extraterritoriales, sachant que ces lois qui s’appliquent hors de l’UE peuvent directement ou indirectement menacer l’intégrité des données personnelles.

Les engagements en termes de disponibilité

Afin de départager plusieurs interlocuteurs en mesure de vous proposer un cloud HDS, vous pouvez comparer les engagements formulés en termes de disponibilité. Le plus souvent, ceux-ci sont exprimés par l’intermédiaire des SLA (Service Level Agreements).

Sigma vous accompagne dans le déploiement de PRA et PCA (plans de reprise et de continuité d’activité) sur-mesure. Ses équipes expertes, assurant une couverture 24/7/365, s’appuient sur un SLA soigneusement optimisé.

Le respect des standards d’interopérabilité et de réversibilité

Les solutions proposées par votre hébergeur cloud HDS doivent vous offrir toutes les garanties nécessaires en termes d’interopérabilité, de réversibilité ou encore d’évolutivité.

Par exemple, assurez-vous que votre hébergeur pourra adapter ses services si vos besoins évoluent (capacité de stockage, puissance de calcul). En parallèle, l’interopérabilité fait partie des critères essentiels, car elle garantit une connexion plus simple avec les autres systèmes.

Enfin, la réversibilité fait écho aux solutions existantes pour récupérer les données à tout moment. C’est une garantie essentielle pour faciliter toutes les transitions ultérieures.

Le support et la capacité à conseiller

Un hébergeur cloud HDS doit être en mesure de vous accompagner sur tous vos enjeux techniques et métier liés à votre SI. La qualité du support technique reste un critère de choix : on parle évidemment de disponibilité et de réactivité, mais aussi de capacité à vous accompagner sur des sujets pointus.

Un bon hébergeur cloud HDS doit par exemple pouvoir vous conseiller et vous proposer des audits de sécurité, mais aussi vous aider dans la rédaction et la révision d’un cahier des charges, entre autres. Il peut également vous apporter de la valeur lorsque vous envisagez le déploiement de nouveaux services.

Les tarifs et la valeur ajoutée

Bien que le budget soit naturellement un critère important pour choisir son hébergeur HDS, il ne faut pas oublier que ce prix doit s’accompagner d’une réelle valeur ajoutée. Choisissez un prestataire qui vous propose des solutions flexibles, vous permettant de payer uniquement pour les ressources dont vous avez besoin.

La valeur ajoutée de Sigma ? Vous garantir une prestation sur-mesure assortie d’une maîtrise des coûts optimale, tout en vous accompagnant sur un large panel de sujets sur la base de nos expertises plurielles.

Cybersécurité, data, intelligence artificielle : bien au-delà des certifications obligatoires pour accompagner les professionnels de santé et héberger leur système d’information dans le respect de toutes les réglementations, nous nous attachons à accompagner nos clients dans toutes leurs évolutions, de manière transverse et approfondie.