La DSSIS a publié un FAQ le 2 avril 2019 par lequel elle annonce le retrait à venir de l’activité d’infogérance numéro cinq du périmètre de la certification HDS.
L’hébergement des données de santé est encadré par l’article L.1111-8 du Code de la santé publique.
Cet article, dans sa rédaction issue de l’Ordonnance n° 2017-27 du 12 janvier 2017, opère une distinction entre :
- les données hébergées sur support papier ou sur support numérique dans le cadre d’un service d’archivage électronique, pour lesquelles l’hébergeur doit être agréé par le ministre chargé de la culture ; et
- les données hébergées sur support numérique (hors cas d’un service d’archivage électronique), pour lesquelles l’hébergeur doit être titulaire d’un certificat de conformité, délivré par des organismes de certification accrédités par l’instance française d’accréditation.
Le périmètre règlementaire initial des activités d’hébergement relevant de la certification HDS
Le périmètre des activités d’hébergement de données de santé relevant de la certification est défini à l’article R.1111-9 du Code de la santé publique, issu du décret du 26 février 2018 :
- La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
- L’administration et l’exploitation du système d’information contenant les données de santé ;
- La sauvegarde des données de santé ».
Au moment de faire sa demande de certification, l’hébergeur doit préciser les activités concernées par sa candidature parmi celles listées à l’article susvisé.
Lorsque le périmètre d’activités comprend uniquement les activités numérotées 1 et/ou 2, l’hébergeur est évalué pour la conformité aux exigences s’appliquant aux hébergeurs d’infrastructure physique. La certification obtenue est dénommée certification « hébergeur d’infrastructure physique ».
Lorsque le périmètre d’activités comprend uniquement les activités numérotées de 3 à 6, l’hébergeur est évalué pour la conformité aux exigences s’appliquant aux hébergeurs infogéreurs. La certification obtenue est dénommée certification « hébergeur infogéreur ».
Lorsque le périmètre pour lequel l’hébergeur souhaite obtenir la certification comprend au moins une activité appartenant aux deux périmètres de certification, l’hébergeur est évalué pour la conformité à toutes les exigences et obtient les deux périmètres de certification.
La modification par les autorites du périmètre des activites d’hebergement relevant de la certification
Limitation aux secteurs sanitaire et médico-social
Sur la base des dispositions légales et règlementaires en vigueur, les autorités ont apporté des précisions relatives au champ d’application de la certification HDS.
Ainsi, l’Asip Santé a publié un FAQ sur l’hébergement des données de santé en juillet 2018, incluant celui de la DSSIS du 11 juillet 2018 circonscrivant le périmètre de la réglementation concernée aux seuls secteurs sanitaire et médico-social, et en excluant donc les assureurs, mutuelles et même fabricants de DM (sauf activités de télésurveillance médicale).
Retrait annoncé de l’activité 5
Le contexte. – Pour mémoire, dès le projet de nouveau décret relatif à l’hébergement de données de santé partagé, les acteurs du secteur ont interrogé l’Asip Santé sur le périmètre de l’activité 5 susvisée, laquelle faute de définition des terminologies pouvait recouvrir beaucoup de réalités techniques ne relevant pas du métier de l’hébergeur, y compris des prestations de maintenance (soumettant par là même potentiellement des acteurs comme les éditeurs à l’obligation de certification).
En l’absence de réponse, les hébergeurs ont intégré l’activité 5 à leur périmètre de certification HDS, tout en précisant dans le cadre de leurs DDA que les exigences concernées étaient reportées sur leurs clients, et reportant dans les contrats lesdites responsabilités afférentes.
Toutefois, dans la pratique, quelques hébergeurs ont refusé de demander la certification sur l’activité 5, et se sont vus certifiés sur l’ensemble des activités à l’exception de celle-ci.
Ainsi, des éditeurs proposant des solutions en mode SaaS et externalisant leur hébergement, se sont interrogés sur le point de savoir s’ils pouvaient recourir aux services de ces hébergeurs « audacieux », sans eux-mêmes être certifiés sur l’activité 5.
En effet, dans cette hypothèse, il y avait un « trou dans la raquette », ni l’hébergeur, ni le client éditeur ne portant l’activité 5 -dont on ne savait toujours pas ce qu’elle recouvrait-, étant rappelé que le client final dans le cadre d’un service SaaS n’est bien sûr pas en mesure de prendre ces responsabilités.
C’est dans ce contexte qu’un éditeur de poids a officiellement saisi les autorités, lesquelles ont ainsi répondu favorablement à l’interrogation, et ont décidé de remanier les textes.
L’annonce. – La DSSIS a ensuite publié un nouveau FAQ le 2 avril 2019, par lequel elle modifie le contenu de son FAQ de 2018 et introduit une question nouvelle portant sur l’activité numéro 5 de l’article R.1111-9 du Code de la santé publique.
La DSSIS indique que l’activité d’hébergement numéro 5, relevant de la certification HDS, sera retirée du décret du 26 février 2018 ayant introduit l’article R 1111-9 du CSP.
Selon les termes du FAQ : « cette activité, relative à l’application métier, a conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. Conscient que cette activité est effectivement à la limite de ce qu’on qualifie normalement d’hébergement, mais que cette activité est néanmoins importante dans la chaîne de sécurité des données de santé à caractère personnel, le ministère chargé de la Santé va engager des travaux pour étudier l’opportunité et les modalités d’encadrement de l’activité d’administration et d’exploitation d’applications. Ces travaux pourront déboucher sur la mise en place d’un dispositif spécifique pour la gestion des applications ».
Le FAQ ajoute : « une modification du décret HDS est en tout état de cause prévue pour retirer l’activité 5 administration et exploitation. La réflexion sera conduite dans une approche globale du sujet de sécurité et de qualité des applications, du point de vue de la confidentialité des données de santé à caractère personnel comme de celui du bon fonctionnement des applications ».
Dès lors, cette activité numéro 5 fera l’objet d’un encadrement spécifique, faisant actuellement l’objet d’une réflexion par l’Asip santé, enfin…, dorénavant, par ses successeurs dont on attend beaucoup, la DNS (Délégation ministérielle du Numérique en Santé) et son bras armé, l’ANS (Agence du Numérique en Santé).
Il est à espérer que cette activité commencera par être définie, à tout le moins techniquement circonscrite.
En tout état de cause, dans l’attente, le respect des référentiels de la PGSSI-S, notamment celui portant sur l’encadrement des interventions à distance, devrait circonscrire les risques relatifs aux activités des éditeurs.
Marguerite Brac de la Perrière
Lexing Santé numérique