Au MiPih, des données de santé sous bonne garde

© DR

Garantir la sécurité de données de santé : un impératif à l’heure de la dématérialisation et du big data. La réglementation se durcit… Toutes les structures tierces hébergeant des données de santé devront être certifiées sur la gestion de leur sécurité. Midi-Picardie Informatique hospitalière est la première à l’être par AFNOR Certification.

Hier, un agrément obtenu sur dossier ; aujourd’hui et demain, une certification délivrée après audit sur site… Les hébergeurs de données de santé voient leurs conditions d’exercice davantage encadrées. C’est logique : ils gèrent des informations sensibles (antécédents médicaux, résultats d’examens, données sanguines, etc.) ; or l’actualité nous rappelle sans cesse que des hackers s’engouffrent sans gêne dans les failles de sécurité des systèmes informatiques du monde entier.

Encore récemment, toutes ces informations étaient conservées chez les médecins, dans les hôpitaux ou dans les cliniques. Mais la révolution numérique transforme ces dossiers papiers en mégaoctets stockés sur des serveurs distants. Ces serveurs sont administrés par des sous-traitants, qui ont donc désormais l’obligation de démontrer que leur management de la sécurité est irréprochable. « Les autorités ont vite identifié le risque de fuite des données, accidentel ou intentionnel, avec des conséquences sur la vie privée des patients. En avril 2018, l’obligation d’agrément demandée depuis 2006 s’est muée en obligation de certification, rappelle Brice Gilbert, ingénieur confiance numérique chez AFNOR Certification, qui délivre ainsi la certification HDS.

Certification HDS : contraignant mais valorisant

Midi-Picardie Informatique hospitalière, structure publique spécialisée dans les systèmes d’information hospitaliers, situé à Toulouse et Amiens, est la première à arborer cette certification. « C’est un gage de crédibilité pour nos clients et un avantage concurrentiel », apprécie Christian Espiasse, responsable sécurité & SI (lire encadré ci-contre). Par rapport à l’ancien agrément, « les exigences sont renforcées, confirme Denis Havez, auditeur HDS pour AFNOR Certification, avec notamment un audit sur site de plusieurs jours. Nous étudions tout le parcours de la donnée dans les différents systèmes, pour nous assurer qu’elle est toujours correctement protégée. »

Le référentiel HDS s’appuie sur plusieurs textes existants, notamment les normes volontaires ISO 27001 (management de la sécurité et de l’information), ISO 20000 (technologies de l’information – management des services) ou encore ISO 27018, relative à la protection des données cloud. Le respect du règlement européen RGPD fait aussi partie des prérequis. Parmi les points passés en revue lors de l’audit : la gestion des fichiers temporaires créés par les systèmes d’exploitation, et dont la durée de vie, la documentation et la procédure doivent être rigoureusement consignées et respectées. Mais aussi la tenue d’un journal qui recense toutes les transmissions effectuées, à la demande du patient ou sur réquisition, par exemple. Autre impératif : ne pas stocker de données sur des périphériques amovibles non chiffrés. « Passer de l’agrément à la certification représente une vraie rupture pour les hébergeurs, poursuit Denis Havez. C’est plus contraignant, mais aussi beaucoup plus valorisant. »

Les entreprises concernées ont jusqu’à la fin de leur agrément pour se mettre en conformité, c’est-à-dire mi-2021 pour les plus tardives. Au-delà, sans ce sésame, elles ne pourront poursuivre leur activité. Comme le GIP MiPih, prenez une longueur d’avance sur le marché !

« Un gage de crédibilité »

« L’audit sur site a duré une dizaine de jours. La certification impose de profondes exigences supplémentaires, au final très positives : elle nous oblige à formaliser nos actions pour intégrer la sécurité au cœur de nos processus métier. Surtout, il s’agit d’une démarche collective, qui embarque l’ensemble de l’entreprise sur le long terme, dans une logique d’amélioration continue. Enfin, pour nos clients, c’est un gage de crédibilité et un avantage concurrentiel. Engagés depuis plusieurs mois, nous avons gagné en rigueur et en sérieux. C’est une fierté pour toute l’entreprise ! »

Christian Espiasse, responsable sécurité & SI de Midi-Picardie Informatique hospitalière

 

En savoir plus sur la certification « Hébergement de données de santé »