Le point sur la nouvelle réglementation relative à l’hébergement de données de santé

Temps de lecture estimé : 6 minute(s)

OVH est hébergeur agréé de données de santé depuis le 24 octobre 2016. Cet agrément, portant sur le cloud privé d’OVH, nous a permis de lancer l’offre OVH Healthcare. Nous fournissons à nos clients des datacenters virtuels fonctionnant sur les outils VMware et disposant de toutes les fonctionnalités de gestion automatisée (Sofware Defined Datacenter).

Depuis le lancement commercial de l’offre début 2017, les marques d’intérêt se sont multipliées et de nombreux clients ont souscrit cette offre. Le pari est réussi pour OVH Healthcare, avec un rythme de souscriptions soutenu. Conformément à nos valeurs, nos clients sont libres de changer d’hébergeur chaque mois. Néanmoins, ils maintiennent, pour la grande majorité, leur confiance en nos infrastructures et nos équipes.

Une histoire de cœurs de métier

L’offre OVH Healthcare est basée sur un principe simple : fournir le meilleur des savoir-faire d’OVH aux clients hébergeant des données de santé à caractère personnel. Nous ne savons pas traiter les patients, mais nous soignons notre infrastructure ! De même, nous ne prétendons pas maîtriser toutes les subtilités des systèmes d’information de santé. Par contre, nous savons livrer des infrastructures informatiques, assurer leur sécurité et leur maintien en condition opérationnelle.

C’est pourquoi nous avons choisi de développer l’hébergement de données de santé sur les offres Private Cloud.

  • L’ensemble des mécanismes permettant l’installation, la sécurisation et le maintien en condition opérationnelle des hyperviseurs, du stockage et des briques de gestion de l’infrastructure sont gérés par nos équipes : c’est notre cœur de métier.
  • Notre client installe, sécurise et maintient en condition opérationnelle le système d’information de santé qu’il fournit à partir de nos infrastructures : c’est son cœur de métier.
  • Le professionnel de santé s’appuie sur le système d’information que notre client lui fournit pour soigner les patients.

La nouvelle certification HDS

Avec l’émergence du cloud, l’ancien agrément, dont les principes ont été définis en 2006, n’était plus en adéquation avec le marché et les nombreux types de prestation de services existants (IaaS, PaaS, Saas…). Les contraintes légales liées à l’hébergement de données de santé ne portent plus seulement sur l’hébergeur agréé qui, parfois, n’assurait que de l’hébergement physique. Elles portent désormais sur l’ensemble de la chaîne de valeur du système d’information de santé.

Le récent décret n°2018-137 définit ainsi six activités certifiables :

#Décret 2018-137 – CSP article R.1111-9Autrement dit
1La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.Le housing
2La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.Les serveurs, le réseau, le stockage
3La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.Le IaaS
4La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information.Le PaaS
5L’administration et l’exploitation du système d’information contenant les données de santé.Le SaaS
6La sauvegarde des données de santé.La sauvegarde

Le périmètre de l’offre OVH Healthcare comprend les activités 1 à 3.

Un « hébergeur de données de santé » sera donc certifié sur tout ou partie des activités listées ci-dessus. L’offre OVH Healthcare porte sur les activités 1 à 3. Avec notre option Veeam Backup, nous couvrons partiellement l’activité 6. Cependant, nos clients doivent s’assurer de la consistance des sauvegardes et de leur capacité à les restaurer. Par conséquent, ils portent donc également une partie de la responsabilité des sauvegardes. Les activités 4 à 6 devront être certifiées chez le client.

Un changement de réglementation attendu

La nouvelle certification pour l’hébergement des données de santé a été inscrite dans la loi avec le décret n°2018-137 et l’arrêté du 11 juin 2018 portant approbation du référentiel de certification.

Cette modification a fait l’objet de nombreuses concertations réalisées par l’ASIP Santé. Les débats ont été vifs avec l’État, qui souhaitait renforcer la sécurité des systèmes d’information. Avec la nouvelle réglementation, l’État fait d’une pierre deux coups :

  • il corrige les problèmes liés à l’agrément hébergeur de données de santé : ses délais d’obtention étaient longs, le dossier non adapté à toutes les situations des postulants ;
  • il transfère les activités de validation des futurs hébergeurs à des spécialistes : les organismes de certification.

Le coût de la certification est porté par les hébergeurs certifiés. Cependant, une activité certifiée est porteuse de plus de valeur qu’une activité qui ne l’est pas :  les facturations de prestations du domaine de l’informatique de santé évolueront donc aussi.

Les référentiels sont disponibles publiquement sur le site de l’ASIP Santé (voir encadré ci-dessous).

En attendant que tous les hébergeurs de données de santé soient certifiés, des mesures transitoires s’appliquent. Par exemple, les agréments continuent à s’appliquer jusqu’à leur expiration. Dans le cas d’OVH, nos clients continueront à bénéficier de notre agrément jusqu’au 23 octobre 2019. Tous nos clients Healthcare doivent se préparer dès maintenant à cette évolution.

Comment s’appliquera cette nouvelle réglementation

En tant que prestataire de services informatiques à des professionnels de santé, vous ne pourrez échapper à cette réglementation. C’est d’autant plus vrai que l’ASIP Santé a déjà commencé à sensibiliser vos clients sur la question.

Les professionnels de santé devront s’assurer que toute la chaîne de valeur IT est conforme à la loi. Pour ce faire, ils se reporteront au tableau des activités à certifier ci-dessus. Pendant la période de transition entre l’agrément et la certification, chaque entreprise devra pouvoir expliquer où elle en est de sa mise en conformité à la nouvelle réglementation.

OVH aide ses clients à s’adapter à la nouvelle réglementation

Le nouveau cadre législatif n’est pas évident à appréhender, et entraîne pour nos clients une implication plus forte en termes de conformité.

OVH Healthcare, basé sur le private cloud, comprendra la certification sur les activités 1 à 3.  En fonction des activités de nos clients, deux stratégies sont possibles pour la certification des activités 4 à 6 :

  • les fournisseurs de SaaS et intégrateurs se feront certifier pour les activités 4 à 6, ce qui sera un gage de leur expertise sur leur métier. OVH (certifié sur les activités 1 à 3) fournit une liste de prestataires capables de former, d’accompagner dans la démarche de certification et de faire passer la certification ;
  • les éditeurs de logiciel feront appel à des infogéreurs certifiés pour les activités 4 à 6. OVH (certifié sur les activités 1 à 3) fournit une liste de professionnels qui possèdent le savoir-faire nécessaire pour gérer les clouds OVH Healthcare.

Nos équipes restent disponibles pour aider nos clients à faire les bons choix dans l’objectif de conformité à la nouvelle réglementation.

LE CONTENU DU REFERENTIEL HDS

Le référentiel est basé sur :

  • toutes les exigences de la norme ISO 27001, quelques exigences de ISO 20000-1 et une quinzaine d’exigences spécifiques de l’ASIP Santé ;
  • l’ensemble des bonnes pratiques des normes ISO27002, ISO27017 et ISO27018.

 

 

Chef de projet conformité