D’ici le 1er janvier 2019, de nouvelles exigences vont venir compléter l’agrément des hébergeurs de données de santé à caractère personnel. L’agrément est aujourd’hui délivré par le comité d’agrément des hébergeurs (CAH) placé auprès de l’Agence des systèmes d’information partagés de santé (Asip santé), mais devra bientôt passer par un processus de certification.
L’ordonnance n° 2017-27 publiée le 12 janvier 2017 impose aux hébergeurs de données de santé d’obtenir une certification délivrée par un organisme accrédité avant le 1er janvier 2019. L’audit aujourd’hui réalisé par l’Asip Santé et la CNIL, sera ainsi complété par une évaluation de conformité technique et organisationnelle réalisée dans les locaux du demandeur. « L’hébergeur de données (…) sur support numérique est titulaire d’un certificat de conformité. S’il conserve des données dans le cadre d’un service d’archivage électronique, il est soumis aux dispositions du III », explique l’alinéa II. Le III précise que « Ce certificat est délivré par des organismes de certification accrédités par l’instance française d’accréditation, ou l’instance nationale d’accréditation d’un autre État membre de l’Union européenne mentionnée à l’article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie. » Ce texte est pris en application de la loi de santé du 26 janvier 2016 qui prévoit le transfert de la procédure d’agrément « Hébergeur de données de santé à caractère personnel » (HDS), à un certificat délivré par un organisme certificateur accrédité par le Comité français d’accréditation (Cofrac), ou un organisme européen équivalent. L’ordonnance de janvier dernier renforce la protection des données sensibles « en complétant les audits documentaires par des audits sur site », précise le ministère des affaires sociales et de la santé dans son rapport au président de la République relatif à cette ordonnance. Cela doit permettre de « réduire les délais d’instruction des demandes des hébergeurs, aujourd’hui trop importants
Quelles dispositions prendre ?
Ces changements seront à prendre en compte avant le 1er janvier 2019. Toutefois l’article 3 du texte explique que les hébergeurs ayant déjà obtenu l’agrément HDS conservent cet agrément jusqu’à son échéance : « Les agréments pour l’hébergement de données de santé sur support électronique pris sur le fondement de l’article L. 1111-8 avant l’entrée en vigueur de la présente ordonnance, continuent à produire leurs effets jusqu’à leur terme. »
Pour les demandes en cours, le processus est celui en vigueur à la date du dépôt de la demande et lorsqu’il sera délivré, l’agrément est régi par les dispositions applicables à la date de la demande. Pour obtenir une certification HDS, les candidats auront la possibilité de faire valoir une certification ISO 27001 préexistante dont le périmètre inclut l’hébergement de données de santé.
Econocom, hébergeur agréé de données de santé à caractère personnel
Depuis un an, Econocom détient l’agrément d’hébergeur de données de santé à caractère personnel délivré par le ministère de la santé, après avis de la CNIL et de l’ASIP Santé. Econocom répond ainsi aux exigences demandées pour assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données de santé qui lui sont confiées.
« Cet agrément atteste de notre savoir-faire, et démontre la capacité d’Econocom à répondre aux standards les plus élevés en matière d’hébergement et de sécurité dans le domaine de la santé, et plus largement la qualité de ses services d’infogérance pour l’ensemble de ses clients», souligne le Groupe.
Sources : DSIH, TicPharma, Rapport au Président de la République