| |

Hébergement HDS : ce que doivent savoir les associations médico-sociales

ParSamuel VERRI

Une obligation souvent mal comprise

Au moment de choisir un logiciel métier, un hébergement ou une solution cloud, une question revient régulièrement dans les associations médico-sociales :

Sommes-nous concernés par l’obligation d’hébergement HDS ?

Entre les exigences réglementaires, les discours parfois alarmistes de certains prestataires et la multiplication des solutions hébergées dans le cloud, il n’est pas toujours simple de s’y retrouver.

Pourtant, comprendre les grands principes de l’hébergement HDS est indispensable pour faire des choix éclairés.

Qu’est-ce que l’HDS ?

HDS signifie Hébergeur de Données de Santé.

Il s’agit d’une certification française destinée aux organismes qui hébergent des données de santé à caractère personnel.

Cette certification impose de nombreuses exigences en matière :

  • de sécurité ;
  • de traçabilité ;
  • de sauvegarde ;
  • de disponibilité ;
  • de gestion des accès ;
  • de continuité d’activité.

L’objectif est de garantir un niveau élevé de protection des données de santé.

Qu’est-ce qu’une donnée de santé ?

La notion de donnée de santé est souvent plus large qu’on ne l’imagine.

Dans le secteur médico-social, cela peut inclure :

  • les dossiers des personnes accompagnées ;
  • les évaluations médicales ;
  • les prescriptions ;
  • les comptes rendus médicaux ;
  • les informations liées au handicap ;
  • certaines données sociales ou administratives lorsqu’elles sont associées à un accompagnement médico-social.

La qualification exacte dépend du contexte d’utilisation de la donnée.

Un enjeu renforcé par la transformation numérique du secteur

Depuis plusieurs années, le secteur médico-social s’inscrit dans une dynamique de partage et de sécurisation des données de santé.

Le développement du Dossier Médical Partagé (DMP), de la Messagerie Sécurisée de Santé (MSSanté) ou encore des différents services numériques nationaux renforce les exigences en matière de protection des données.

Les établissements sont amenés à échanger davantage d’informations avec les professionnels de santé, les établissements sanitaires et les différents partenaires du parcours de soin.

Cette évolution nécessite de porter une attention particulière aux conditions d’hébergement, de sauvegarde et de sécurisation des données manipulées par les logiciels métiers.

L’hébergement HDS s’inscrit ainsi dans une démarche plus globale visant à renforcer la confiance dans les usages numériques du secteur de la santé et du médico-social.

Toutes les associations sont-elles concernées ?

La réponse est généralement oui.

La plupart des établissements et services médico-sociaux manipulent quotidiennement des données relevant du champ de la santé.

Dès lors que ces données sont hébergées par un tiers, il convient de vérifier que celui-ci dispose des autorisations ou certifications nécessaires.

Cette vérification doit faire partie intégrante du processus de sélection d’une solution.

Peut-on héberger soi-même ses données ?

C’est probablement la question qui revient le plus souvent.

Dans certaines situations, une organisation peut héberger ses propres données lorsqu’elle n’agit que pour son propre compte.

En revanche, dès lors qu’un tiers intervient dans l’hébergement ou l’exploitation des données, les obligations peuvent évoluer.

La frontière n’est pas toujours simple à interpréter et mérite souvent une analyse au cas par cas.

Au-delà de l’aspect réglementaire, il convient également de s’interroger sur la capacité réelle de l’organisation à assurer :

  • la sécurité ;
  • les sauvegardes ;
  • la supervision ;
  • la continuité d’activité ;
  • la reprise après sinistre.

Le cas des logiciels en mode SaaS

De plus en plus d’éditeurs proposent leurs solutions directement en ligne.

Dans ce modèle, l’association ne gère plus les serveurs ni l’infrastructure technique.

La responsabilité de l’hébergement repose principalement sur l’éditeur, qui doit démontrer sa conformité aux exigences applicables.

Cette approche présente plusieurs avantages :

  • réduction de la complexité technique ;
  • mises à jour centralisées ;
  • meilleure disponibilité ;
  • diminution des investissements matériels.

Elle impose néanmoins une vigilance particulière sur :

  • la localisation des données ;
  • les sauvegardes ;
  • les engagements contractuels ;
  • la réversibilité de la solution.

HDS ne signifie pas disponibilité garantie

Une confusion fréquente consiste à penser qu’une solution SaaS hébergée chez un prestataire certifié HDS garantit automatiquement une disponibilité permanente du service.

En réalité, la certification HDS porte avant tout sur la protection des données de santé : sécurité des infrastructures, gestion des accès, traçabilité, sauvegardes, continuité d’activité et respect des exigences réglementaires.

Elle ne constitue pas une garantie absolue de disponibilité.

Comme tout système informatique, une plateforme SaaS peut subir :

  • une panne technique ;
  • un incident réseau ;
  • une opération de maintenance ;
  • une erreur humaine ;
  • ou encore une cyberattaque.

L’association reste donc dépendante de la capacité de son fournisseur à maintenir le service opérationnel.

Lors du choix d’une solution, il est important d’analyser également les engagements de disponibilité (SLA), les procédures de gestion des incidents, les délais de rétablissement et les modalités d’accès aux données en cas de problème majeur.

Autrement dit, une solution HDS garantit principalement un niveau d’exigence sur la protection des données, mais ne dispense pas de s’interroger sur la disponibilité réelle du service.

HDS ne signifie pas non plus sécurité absolue

Une idée reçue consiste à penser qu’une certification HDS garantit automatiquement une sécurité parfaite.

La réalité est plus nuancée.

La certification constitue un cadre exigeant, mais elle ne dispense pas les organisations de mettre en œuvre leurs propres mesures de sécurité :

  • gestion des accès ;
  • authentification forte ;
  • sensibilisation des utilisateurs ;
  • sauvegardes ;
  • politique de sécurité.

La cybersécurité reste une responsabilité partagée.

Comment intégrer l’HDS dans ses projets ?

Lors d’un projet de renouvellement logiciel ou d’évolution de l’infrastructure, plusieurs questions peuvent être posées :

  • Les données hébergées relèvent-elles du champ de la santé ?
  • Où sont physiquement stockées les données ?
  • Qui administre l’infrastructure ?
  • L’hébergement est-il certifié HDS ?
  • Comment sont réalisées les sauvegardes ?
  • Existe-t-il un plan de reprise d’activité ?
  • Comment récupérer les données en cas de changement de fournisseur ?

Ces questions permettent souvent d’éviter de mauvaises surprises lors du déploiement.

Mon retour d’expérience

Au fil des projets que nous avons menés, j’ai constaté que le sujet HDS est souvent abordé tardivement, parfois après le choix d’une solution.

Pourtant, cette question mérite d’être étudiée dès le début du projet.

Au-delà de l’obligation réglementaire, l’HDS constitue surtout une occasion de s’interroger sur la manière dont nous protégeons les données des personnes accompagnées.

Le véritable enjeu n’est pas uniquement de respecter une obligation, mais de garantir la confidentialité, l’intégrité et la disponibilité de données particulièrement sensibles.

Comme souvent dans le numérique, la technologie n’est qu’une partie de la réponse. La gouvernance, l’organisation et les usages jouent un rôle tout aussi important.

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *