HDS signifie « Hébergeur de Données de Santé ». La certification « HDS » concerne ainsi l’hébergement de données de santé à caractère personnel tel que défini par la CNIL.
Si vous hébergez tous vos fichiers dans votre cabinet, vous n’êtes pas concernés par la certification HDS. Une telle démarche ne vous protège cependant pas en cas d'avarie de matériel : une sauvegarde a minima à distance est fortement conseillée afin de vous prémunir de ce type d'imprévu. Vous restez toutefois responsable de la sécurisation de ces fichiers stockés dans vos locaux. Nous vous conseillons à ce propos la lecture du guide de la sécurité des données personnelles publié par la CNIL.
A contrario, si vous hébergez vos fichiers à distance, vous êtes responsable de vérifier que votre prestataire est bien certifié HDS (appelé agrément HDS avant juin 2018), ou qu'il travaille avec un partenaire hébergeur certifié HDS. Les prestataires concernés peuvent être aussi variés que ceux pour la télétransmission (si tout ou partie des données sont stockées en ligne), ceux pour la prise des RDV médicaux, ceux pour la sauvegarde ou synchronisation de vos fichiers patients (s'ils contiennent des informations de santé) ou même les solutions en ligne SaaS dédiées à votre spécialité médicale.
L’hébergement de données de santé à caractère personnel est soumis à une certification HDS prévue par le décret n°2018-137 du 26 février 2018. Toute entreprise souhaitant obtenir la certification HDS doit remplir les conditions du référentiel de certification publié par l’ANS. Ce référentiel s’appuie sur des normes internationales très strictes que sont ISO 27001 « système de gestion de la sécurité des systèmes d’information » et ISO 20000 « système de gestion de la qualité des services » auxquelles viennent s’ajouter des exigences spécifiques à l’hébergement de données de santé (comme la redondance d'infrastructures sur des lieux géographiquement éloignés).
Pour obtenir la certification HDS, l’entreprise doit se soumettre à un audit auprès d’un organisme agréé par la COFRAC comprenant une étude documentaire et une visite sur site. Le certificat est délivré pour une durée de 3 ans. La liste des hébergeurs certifiés HDS est disponible ici.
Medical Cloud répond bien sûr à cette exigence du fait de son hébergement chez AZNetwork, partenaire certifié HDS.
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) et le FISA (Foreign Intelligence Surveillance Act) sont des lois votées par les États-Unis qui permettent la collecte de données électroniques stockées par des entreprises américaines, quel que soit leur emplacement y compris en Europe. Cela inclut les données stockées dans le cloud par des sociétés telles que Google et Microsoft.
Du point de vue de la confidentialité électronique, le Cloud Act soulève des inquiétudes quant à la possibilité d'une portée excessive du gouvernement et à la violation des droits à la vie privée des individus. La loi autorise la collecte de données sans mandat, et elle permet également le partage de données avec des gouvernements étrangers, qui peuvent ne pas avoir les mêmes protections de la vie privée que les États-Unis. De plus, la loi n'oblige pas les entreprises à informer les individus que leurs données ont été collectées, ce qui peut rendre difficile pour les individus de prendre des mesures pour protéger leur vie privée.
Au-delà de la certification HDS, il apparaît donc qu’une attention particulière doit être portée sur la nationalité des hébergeurs quand vous choisissez vos prestataires. Un hébergeur européen, et idéalement français, est ainsi plus adapté pour assurer la confidentialité totale des données de santé et la conformité avec le règlement RGPD.
En 2021, la CNIL s'est ainsi clairement positionnée en qualifiant non adaptée l'hébergement de données de santé de citoyens européens par des sociétés de droits américains même si elles disposaient d'une certification HDS (ex : Microsoft, Google, Amazon).
Chez Medical Cloud, nous avons fait le choix d’un hébergeur français (AZNetwork) : tous vos fichiers déposés sur Medical Cloud sont donc 100% hébergés en France.
Trop souvent, nous constatons que des professionnels de santé utilisent les services mails ou de messageries (ex : Gmail, Hotmail, WhatsApp, Messenger, ou même SMS) pour communiquer avec des confrères ou des patients.
Demandez-vous si ces mails contiennent des données personnelles de santé directement dans le message ou en pièce-jointe ? Si oui, où ces informations se retrouvent-elles stockées ? Très certainement sur des hébergements non certifiés HDS.
Pour communiquer entre professions médicales, il existe la MSSanté. À défaut, ou simplement pour échanger des documents avec des patients ne pouvant disposer d'une adresse email MSSanté, vous pouvez utiliser Medical Cloud pour envoyer / recevoir des données de santé via un lien sécurisé par un mot de passe, sans avoir à afficher en clair l'information médicale dans le corps de mail ou via la pièce jointe. Dans le cas contraire, ces données seraient alors stockées dans votre boite email et celui de votre destinataire, et potentiellement consultables par les employés de vos fournisseurs de mails.
La problématique est la même pour un agenda en ligne qui contiendrait le nom d’un patient et le type d’examen, ou encore pour des échanges d’avis via messagerie instantanée sur une application mobile.