Hébergement des données de santé (HDS)
L’hébergement des données de santé (HDS) doit être réalisé dans des conditions de sécurité adaptées à leur criticité.
Pour bien commencer
Toute personne physique ou morale qui héberge des données de santé pour le compte de personnes à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit disposer des caractéristiques nécessaires et suffisantes pour en garantir la sécurité et notamment la confidentialité.
Les données de santé concernées sont les données de santé à caractère personnel, recueillies à l’occasion d’une prise en charge sanitaire ou médico-sociale.
Un certificat de conformité, certificat HDS, délivré par des organismes de certification atteste de la conformité des hébergeurs aux exigences de sécurité définies dans le référentiel HDS.
Ce contrôle se situe dans l’esprit RGPD.
En pratique
Consultez la liste des hébergeurs certifiés HDS, et sélectionnez-en un qui correspond à vos besoins
Quand ?
Quand vous allez traiter des données de santé à caractère personnel réel il sera nécessaire d'avoir un hébergeur certifié "HDS" opérationnel
Conformité
Code de la santé publique
Le cadre légal encadrant l’hébergement des données de santé à caractère personnel s’applique quelle que soit la nature de l’acteur, dès lors que cet acteur offre un service d’hébergement de données de santé à caractère personnel à des tiers.
12 mars 2020 - Article R1111-8-8
L’activité d’hébergement de données de santé à caractère personnel mentionnée au I de l’article L. 1111-8 consiste à héberger les données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social
12 mars 2020 - Article R1111-9
Est considérée comme une activité d’hébergement de données de santé à caractère personnel sur support numérique, le fait d’assurer pour le compte du responsable de traitement ,tout ou partie des activités suivantes :
1/ La mise à disposition et le maintien en condition opérationnelle des sites physiques ;
2/ La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle ;
3/ La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ;
4/ La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications ;
5/ L’administration et l’exploitation du système d’information contenant les données de santé ;
6/ La sauvegarde des données de santé.
RGPD
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)
Référentiel de certification HDS
Questions fréquentes
Je me forme
Documentation
Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. L’arrêté portant approbation des référentiels d’accréditation et de certification publié le 29 juin 2018 permet l’ouverture du schéma d’accréditation HDS. Les hébergeurs pourront déposer une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC (Comité Français d'Accréditation).
Nos experts sur le sujet
S'orienter dans la doctrine technique
La doctrine technique présente les actions de la feuille de route ministérielle du virage numérique.