Une certification accréditée pour remplacer l’agrément.
Le contexte :
Depuis le 1eravril 2018, la législation encadrant l’hébergement des données de santé à caractère personnel sur support numérique impose aux hébergeurs tiers* d’être titulaire d’une certification, délivrée par un organisme accrédité, en remplacement de l’ancienne procédure d’agrément. Un nouveau dispositif de certification qui était prévu par la loi du 26 janvier 2016 sur la modernisation du système de santé.
Ce changement de procédure a pour objectif d’instaurer une meilleure évaluation de la conformité, sur la base d’un référentiel, et d’accroître la fiabilité du contrôle grâce à des audits menés sur site.
La demande :
la mise en place du dispositif de certification des hébergeurs de données de santé à caractère personnel a nécessité le développement d’un nouveau schéma d’accréditation. Les échanges entre le Cofrac, le ministère de la Santé et l’ASIP Santé, l’agence française de la santé numérique, ont débuté en 2015 et se sont poursuivis de façon régulière jusqu’à la publication des textes d’application en 2018.
Rapidement consulté dans le cadre de la rédaction des textes réglementaires, le Cofrac a été l’un des partenaires clés de l’ASIP Santé dans la définition du nouveau dispositif de certification qui est constitué de deux documents centraux : le référentiel d’accréditation et le référentiel de certification.
Notre approche :
Le nouveau dispositif de certification concerne le système de management de la sécurité des systèmes d’information des hébergeurs de données de santé à caractère personnel. Pour obtenir leur accréditation, les organismes certificateurs doivent par conséquent être conformes aux exigences des normes ISO/CEI 17021-1, qui précise les exigences pour les organismes procédant à l'audit et à la certification des systèmes de management, et ISO/CEI 27006, qui concerne les organismes procédant à l'audit et à la certification des systèmes de management de la sécurité de l'information. Ces normes, sur lesquelles s’appuie le référentiel d’accréditation, ont été proposées par le Cofrac et choisies par l’ASIP Santé et le ministère de la Santé, en concertation avec les hébergeurs de données de santé et les autres parties prenantes.
Le bilan :
Suite à une phase de concertation publique, l’ASIP Santé a publié en novembre 2017 les versions provisoires de ces deux référentiels sur son site internet. Ces documents ont également fait l’objet d’une notification à la Commission européenne.
Après la publication au Journal Officiel le 28 février 2018 du décret précisant les grands principes de la certification « hébergeur de données de santé » et les modalités de transition entre agrément et certification, puis celle de l’arrêté consacré aux référentiels applicables, le schéma d’accréditation a été officiellement ouvert le 15 juillet 2018.
En compléments, l’ASIP a publié sur son site internet une série de FAQ afin d’apporter des clarifications, notamment sur le domaine d’application de la certification HDS.
* Qui hébergent des données de santé pour le compte d’un autre organisme.
« La certification accréditée des hébergeurs de données de santé permet une meilleure évaluation de la conformité, notamment grâce aux audits sur sites, là où elle se limitait auparavant à une analyse documentaire du dossier de demande d’agrément.»
Christelle Rebillet, Responsable du pôle Management, Produits, Qualification, Personnes - section Certifications.