Hébergement de données de santé (HDS)

Vous dites HDS ? qu’est-ce que c’est ? L’Hôpital Des Soucis ? Hébergement De Saltimbanques ? Non, non, non, nous parlons ici de l’Hébergement des Données de Santé bien sûr ! Les vacances sont terminées et c’est la rentrée avec son cortège de dossiers à gérer. Avec l’ordonnance n° 2017-27 publiée le 12 janvier 2017, puis le décret d’application de février 18 pour entrée en vigueur depuis avril, la fin de la procédure d’agrément par le ministère de la Santé pour l’hébergement de données de santé prend forme.
Suivez le guide, dans cet article, petit tour d’horizon des nouveautés réglementaires et quelques conseils.

C’est l’ensemble des hébergeurs de données de santé qui devront désormais obtenir le précieux sésame : une certification délivrée par un organisme accrédité.
La France, qui était l’un des pays à réglementer le plus strictement l’HDS assouplit ses règles en la matière.

L’HDS c’est quoi ?

C’est  le traitement de données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social confiée à un tiers.
Les enjeux juridiques, financiers, techniques et assurantiels du statut d’hébergeur de données de santé font de cette profession particulière, un domaine spécifique et rigide qui ne laisse pas la place au hasard.

En pratique, quels changements pour les hébergeurs ?

Les changements sont profonds, principalement : la certification via une évaluation de conformité technique remplace l’agrément. L’hébergeur de données de santé sur support numérique devra, à partir du 1er avril 2018, non plus être agréé mais certifié par un organisme accrédité.
L’évaluation des hébergeurs candidats résulte d’un audit en deux phases par l’organisme certificateur.

Premièrement, l’audit vérifie le respect  des normes :

  • ISO 27001 « système de gestion de la sécurité des systèmes d’information »
    (confidentialité, intégrité et disponibilité des données de santé).
  • ISO 20000 « système de gestion de la qualité des services »

Pour obtenir une certification HDS, les candidats auront la possibilité de faire valoir une certification ISO 27001 préexistante dont le périmètre inclut l’hébergement de données de santé.
Deuxièmement, le référentiel d’accréditation s’appuie sur les bonnes pratiques en vigueur pour l’audit et la certification de systèmes de management de la sécurité de l’information et la norme ISO 17021 « Certification de systèmes de management ».
Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification.
Ce qui change par rapport à l’agrément, c’est entre autres la conception du dossier de demande de certification. Les exigences qui relèveront de la responsabilité des sous-traitants, devront être reportées contractuellement.
L’article L.1111-8 du CSP impose la conclusion d’un contrat entre l’hébergeur de données de santé et l’établissement de santé ou la personne concernée : « La prestation d’hébergement, quel qu’en soit le support, fait l’objet d’un contrat ».
Le contrat inclura les différentes parties prenantes, il n’est pas exclusif entre l’hébergeur, le responsable du traitement et l’établissement.

Et la relation tripartite Client-Éditeur-Hébergeur ?

Dans le cadre du déploiement d’une solution Esanté, il ne faut pas négliger la relation tripartite Client-Éditeur-Hébergeur. Bien souvent, cette relation tripartite n’est mise en lumière que lorsqu’il y a défaillance du système. Dans tout système d’information faisant appel à de multiples acteurs, quand ça ne va pas, le client final regarde les différentes parties se renvoyer la balle…

En cas de “divorce” d’une des parties ? A l’issue du contrat de la prestation d’hébergement, les données transmises à l’hébergeur doivent être restituées soit au patient soit au professionnel de santé. L’hébergeur doit restituer l’ensemble des données confiées sans pouvoir en garder trace dans ses fichiers. Lorsque c’est avec le patient directement que le contrat d’hébergement a été conclu, ce dernier peut décider de le rompre à tout moment (cf obligations de réversibilité).

Prenez en compte les modalités relatives aux éditeurs logiciels qui lorsqu’ils ne sont pas également hébergeurs, complètent cette boucle tripartite Hébergeur-Editeur-Client.
Afin d’éviter tout désagrément, assurez-vous, lors de la phase contractuelle que les éléments ci dessous soient clairement détaillés :

  • Les responsabilités de chaque acteur,
  • Les incidents, solutions et délais associés

Également, en cas de “divorce” d’une des parties, vérifiez que les actions associées au maintien du système d’information et sa pérennité soit assurées.
Anticipez l’éventualité du départ du client et les modalités de mise à disposition des informations (format, contenu, mode de transfert, stockage, etc.)

Qui a accès aux données des patients ?

N’oubliez pas cette question qui est au centre du secret professionnel et médical.
Souvent l’éditeur logiciel est en défaut, il laisse des accès complets aux dossiers patients à plusieurs membres de son équipe : formateurs, développeurs, hotliners, etc.
Sous couvert de simplification des démarches de déploiement, formation et maintenance, des informations sont accessibles alors qu’elles ne devraient pas.
Aimeriez-vous que le contenu de votre dossier médical ou celui d’un proche soit accessible à des personnes non habilités ?

Certes ces accès facilitent souvent bon nombre d’actions, cependant des solutions techniques d’anonymisation ou de gestion des affichages pourraient être mises en place, mais elles ne le sont pas nécessairement car coûteuses en temps et en ressources pour les éditeurs…
Veillez à ce que ce point soit bien respecté et exigez qu’il soit correctement traité par chaque acteur.
L’inspection générale des affaires sociales opère des contrôles qui peuvent conduire au retrait de l’agrément en cas de violation des prescriptions légales (non respect du secret professionnel, obligation de confidentialité enfreinte).

Par ailleurs, toute violation de ces dispositions expose l’hébergeur et son personnel à des peines pénales.
Ainsi la violation du secret professionnel est punie d’un 1 an d’emprisonnement et de 15 000€ d’amende (article 226-13 du Code pénal).

Les exceptions, contournements…et sanctions

La procédure de certification n’est pas applicable pour tous. En effet, l’ASIP (Agence des systèmes d’informations partagées de santé) rappelle ce point.
A titre d’exemple, pour l’ASIP santé, dans la mesure où l’établissement héberge lui-même les dossiers hospitaliers, il n’a pas besoin d’obtenir une certification.

En revanche, si l’établissement met son système d’hébergement au service d’autres établissements de santé, il est soumis à la procédure de certification (en effet, il deviendrait alors lui-même un hébergeur de données de santé tiers par rapport à l’autre établissement de santé). Cependant, nombreux sont les établissements et éditeurs à ne pas respecter ce point. Sont directement concernés les Groupements Hospitaliers Territoriaux et les GCS (groupement de coopération sanitaire).
Le GCS constitue le prolongement de ses membres et agit en conséquence pour leur compte, dans la limite des missions qui lui sont confiées. En tout état de cause, le GCS est une personne morale distincte de ses membres et a bien la qualité de tiers par rapport à ces derniers.

Attention également aux contournements bien connus, avec des montages contractuels et autres pratiques visant à se soustraire à l’obligation de certification. Par exemple, le fait de nommer le contrat d’hébergement « contrat de bail », peuvent conduire à mettre en jeu la responsabilité pénale de « l’hébergeur », l’hébergement de données de santé sans certification constituant notamment un délit, puni de trois ans d’emprisonnement et de 45 000€ d’amende (articles L.1115-1 et L.1115-2 du code de la santé publique).

Faites appel à des experts

La démarche est complexe, longue et nécessite une expertise à plusieurs niveaux (organisationnel, technique, réglementaire, etc.) et souvent les décisionnaires du système d’information n’ont pas nécessairement les compétences et/ou le temps.
Faites appel à des experts qui pourront vous guider pas à pas dans cette nouvelle démarche de certification.

Et pour ceux qui possédaient déjà un agrément ?

Pas de panique…Une période de transition est définie pour les agréments délivrés avant le 31 mars 2018.
Les agréments produisent leur effet jusqu’à leur terme. L’entrée en vigueur de la procédure de certification n’a pas d’incidence sur les agréments. Lorsque l’agrément arrive à échéance avant le 31 mars 2019, la durée de l’agrément est prolongée pour une durée de six mois afin de permettre à l’hébergeur d’effectuer les démarches de certification nécessaires à la poursuite de son activité d’hébergement de données de santé.
Pour poursuivre son activité HDS, l’hébergeur doit au plus tard, à la date d’échéance de son agrément, être certifié HDS.

 

 

Article paru dans le N2_011018_3 de SIH à télécharger en .pdf > ici <