La donnée de santé, sensible et hautement sécurisée
Les données de santé font l’objet d’une protection particulière dans le cadre de nombreux textes nationaux et européens. Considérées comme extrêmement sensibles, elles relèvent ainsi d’un hébergement spécifique, le HDS.
Le dispositif est intégré au code de la santé publique, L.1111-8, modifié par la loi no 2016-41 du 26 janvier 2016 : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »
Avec une définition large de la donnée de santé, le volume produit a été multiplié par 10 ces dernières années. Les hôpitaux sont très loin d’être les seuls concernés par la réglementation : laboratoires, médecins libéraux, cabinets infirmiers, plateformes dédiées aux professionnels du soin, sages-femmes, auxiliaires médicaux, instituts, pharmacies, psychologues et psychiatres, médecines douces, etc. tous détenteurs de données sensibles doivent veiller à la sécurité des données qu’ils détiennent et donc à leur hébergement et à leur sauvegarde.
La société Stordata est certifiée HDS depuis le mois de mars 2023 et vient d’être confirmée dans sa certification, le 6 février 2024 précisément. Ce contrôle annuel a pour objet de vérifier qu’aucun écart de sécurité ne s’est créé depuis la date du premier examen et que d’éventuels aspects mineurs qui avaient pu être pointés lors du premier audit ont été corrigés. La certification HDS s’appuie sur la brique de base NF EN ISO/CEI 27001 : 2017 que Stordata a renouvelée à la même date.
Sites et personnels concernés par la certification
La certification concerne notre site de Versailles et les équipes techniques qui interviennent au titre de nos activités « hébergeur d’infrastructures physiques et hébergeur infogéreur ». Nos agences commerciales ne sont évidemment pas impliquées directement, en revanche les datacenters que nous occupons et équipons, situés au nord et au sud de Paris, sont titulaires de la certification NF ISO 27 001 requise pour prétendre ensuite héberger des données de santé. Ils disposent en ce sens de procédures de contrôle des accès physiques, d’installations de vidéosurveillance ou encore de mécanismes de déverrouillage par empreinte digitale. S’il n’est pas exigé de certification spécifique concernant le matériel, les armoires abritant les serveurs sont, elles, cadenassées.
Du côté des équipes techniques, le contrôle et l’application de mécanismes spécifiques relatifs à l’identité et à l’accès des administrateurs système de Stordata sont organisés. Les équipes Stordata s’engagent à la plus stricte confidentialité (par écrit), et Stordata exploite des solutions de bastion opérant la traçabilité des comptes à privilège, la gestion des mots de passe et la détection des comportements anormaux. Stordata est à la fois en mesure de prévenir toute forme de malveillance et d’enquêter sur un incident déclaré, avec toute l’information utile.
La norme NF ISO 27 001 est un prérequis pour accéder à la certification HDS. Il faut compter en général 6 mois de plus pour couvrir les exigences particulières s’appliquant aux données de santé.
HDS : des exigences complémentaires à ISO 27 001
Il s’agit principalement de moyens et de procédures spécifiques visant à protéger les droits des personnes et à garantir la protection des données personnelles de santé. Parmi elles, on retrouve l’application de l’obligation de coopération et de transparence des traitements, l’établissement des moyens de preuve (notamment de destruction), la communication des durées de conservation, la définition des politiques de mise à disposition, restitution, destruction des données, la création de procédures de journalisation des opérations, des événements, des restaurations, la communication de la localisation des données, etc.
La certification repose sur la démonstration de la création de l’ensemble des procédures exigées et de l’existence des moyens et outils suffisants pour les mettre en œuvre. En tant qu’hébergeur certifié HDS, Stordata doit également transmettre les résultats de son audit, sur la demande de ses clients. Il peut arriver que certaines entreprises souhaitent mandater un auditeur indépendant afin de vérifier que les mesures annoncées sont bien effectives. Il nous appartient alors de nous assurer qu’aucune donnée confidentielle ne lui soit accessible.
La certification HDS exige également le chiffrement des sauvegardes externalisées. Au-delà de la norme, il s’agit d’une bonne pratique dont on ne saurait s’affranchir, données de santé ou non. C’est un gage de sécurité important pour tout le monde, pour l’entreprise comme pour son prestataire respectant les principes fondamentaux d’hygiène informatique.
Un DPO très impliqué
Le délégué à la protection des données (DPO) voit son rôle renforcé et est intégré au SMSI. Le système de management de la sécurité de l’information, prévu à la norme NF ISO 27 001, est le référentiel de procédures qui régit la sécurité des systèmes d’information.
Il appartient au DPO de s’investir très fortement dans le processus puisqu’il est attendu de lui qu’il participe à la rédaction des procédures de sécurité. C’est aussi lui qui a la lourde responsabilité d’informer les entreprises clientes d’une éventuelle fuite de données quand il s’agit de données personnelles. Dans le cas contraire, la tâche revient au RSSI.
Notre DPO est donc le garant et le responsable des données de santé qui nous sont confiées. C’est pourquoi ce ne peut être qu’un profil expert, particulièrement chevronné. En contact avec l’ensemble des DPO des entreprises clientes, il doit se montrer disponible rapidement en cas d’incidents, compte tenu des délais très courts de réaction autorisés. Naturellement, des procédures d’astreinte sont en place pour répondre à tous les cas de figure.
Ni supprimable, ni modifiable, ni accessible aux personnes non autorisées, la donnée stockée chez Stordata est conservée avec discipline et rigueur. Contre le vol, la perte et la corruption de la donnée, Stordata s’engage auprès de ses clients, quel que soit le socle normatif applicable. Les données de santé, quant à elles, profitent de dispositifs renforcés pour toutes les situations d’externalisation : sauvegarde, réplication voire solutions en SaaS. C’est enfin auprès de Stordata que l’entreprise trouvera l’accompagnement, les explications et le conseil qui structureront sa démarche et sa stratégie de cybersécurité.
