Passage de l’agrément à la certification : ce qui change pour les hébergeurs de données de santé

Le coup d’envoi du passage de l’agrément à la certification pour l’hébergement des données de santé a été donné au printemps 2018 par un arrêté. Après le décret 2018-137 du 26 février 2018, cet arrêté du 11 juin, publié au Journal officiel le 29 juin, approuve ainsi les référentiels d’accréditation des organismes certificateurs et de certification pour l’hébergement de données de santé à caractère personnel. Les premiers organismes certificateurs ont ainsi pu se rapprocher du Cofrac pour obtenir l’accréditation et attribuer les premières certifications. Au 30 novembre 2018, ils étaient sept organismes recensés sur le site de l’Agence nationale de la santé numérique (Asip Santé) : Afnor Certification, Bureau Veritas Certification France, BSI Group France, Ernst & Young CertifyPoint, International Certification Trust Services (ICTS), LNE et LSTI (voir tableau). Et trois certifications avaient été attribuées (liste sur le site de l’Asip Santé). Le premier à accéder à ce document a été le GIP Mipih (Midi Picardie informatique hospitalière). Ont suivi Microsoft et Cheops Technology France. Les représentants de la majorité de ces entreprises étaient présents à la journée nationale des industriels organisée le 21 novembre 2018 par l’Asip Santé. L’occasion de revenir sur les différences entre agrément et certification et les étapes pour obtenir ce nouveau certificat.

Des changements en terme d’exigences

“Nous sommes passé d’un dispositif purement franco-français quasiment administratif à un nouveau dispositif complètement aux normes internationales. L’agrément comportait un certain nombre d’exigences, qui se retrouvent dans la certification mais nous les avons fait correspondre avec les normes ISO”, indique Frédéric Law-Dune, chargé de mission expert Architecture et référentiels du pôle urbanisation et services de confiance de l’Asip Santé. La norme prépondérante étant l’ISO 27 001. “Pour l’agrément nous répondions à 76 exigences de sécurité. Le référentiel est aujourd’hui constitué sur l’ISO 27 001 avec 224 points de contrôles”, détaille Christian Espiasse, responsable sécurité des systèmes d’information (RSSI) et délégué à la protection des données (DPO) du GIP Mipih. Brice Gilbert, ingénieur confiance numérique d’Afnor Certification, observe : “Lors de l’audit défini par la certification, 80 % du temps est consacré à la vérification des exigences ISO 27 001 et 20 % à celle des exigences de l’hébergement des données de santé”.

Une procédure basée sur un audit

Outre les changements en terme d’exigences, l’évolution réglementaire impose de nouvelles procédures d’obtention. “Jusqu’alors nous étions agréés hébergeur de données de santé. C’était un audit documentaire. La certification implique un profond changement. Il y a toujours une partie documentaire qui fait partie de l’audit mais il y a surtout un audit sur place”, témoigne Christian Espiasse du GIP Mipih. Un changement confirmé par Frédéric Law-Dune (Asip Santé) : “L’agrément était délivré sur la base d’un dossier évalué par un comité puis délivré par le ministère de la Santé. Aujourd’hui la certification est délivrée par des organismes certificateurs qui viennent auditer ce qui est mis en oeuvre”. Un audit dont la durée est définie dans le référentiel de certification. “En moyenne, il faut compter quatre à cinq jours d’audit pour la première certification. L’interlocuteur de l’auditeur est le plus souvent le RSSI, puis, en fonction des questions, des responsables de processus aident le RSSI et apportent les documentations pertinentes”, indique Brice Gilbert de l’Afnor.

Se préparer à l’audit

“Aujourd’hui, il ne faut plus soumettre un dossier à un instant T. La certification implique la mise en place tout un processus d’amélioration continue avec une forte implication de la direction et de pilotes de processus”, indique Brice Gilbert. Des procédures qui sont détaillées lors de l’audit. “L’auditeur vient sur place, regarde les pratiques et demande des preuves”, signale Christian Espiasse (Mipih) qui insiste sur la préparation nécessaire : “En janvier 2016, nous étions prévenus que la procédure allait être transformée. Nous nous sommes alors posés la question du renouvellement de l’agrément qui nous aurait laissé trois ans pour nous préparer à la certification. Nous avons finalement commencé à nous préparer et nous auto-évaluer sur tous les points. Puis nous avons enclenché le processus”.

Cette préparation est plébiscitée par tous les acteurs. Ainsi, Frédéric Law-Dune appelle à ne pas la négliger. Lina Thaier, chef de projet HDS de BSI Group France distingue plusieurs avancements des futurs hébergeurs de données de santé : si ils sont agréés ou pas, si ils sont déjà certifiés ISO 27 001 ou pas…

“Pour ceux qui sont au stade embryonnaire, il faut commencer par lire toutes les normes qui sont disponibles sur le site de l’Afnor. Pour les ceux qui ne sont pas familiers de la sécurité des systèmes d’information, il existe des formations dispensées par des organismes de formations, des certificateurs, des cabinets de consulting… On peut également faire appel à un consultant pour faire un état des lieux et voir quelles directions prendre. Ensuite, un audit à blanc deux à trois mois avant la certification permet d’anticiper les écarts, de mettre en place des actions pour être en conformité”, détaille Lina Thaier qui conseille également de “consulter très tôt un organisme de certification, pour nous permettre d’évaluer le niveau et sécuriser la planification des audits”.

Question délais, les trois entreprises certifiées HDS témoignent des délais. Pour le Mipih, “nous avons mis onze mois pour être certifié, sans tenir compte de l’auto-évaluation ni de l’agrément. Tout dépend d’où on part”, indique Christian Espiasse. “Le Mipih comme Cheops étaient déjà certifiés ISO 27 001”, rappelle Brice Gilbert. Chez Cheops, l’obtention de l’ISO 27 001 a pris un an. Pour la certification HDS, la société a mobilisé une équipe de quatre personnes pendant un mois et demi. “Pour un hébergeur de données de santé agréé, il faut six mois pour passer l’ISO 27 001 tandis qu’une entreprise qui n’est pas agréée a besoin d’iun an”, estime Stéphane Jourdain, RSSI de de Cheops Technology. Pour Microsoft, la certification a été obtenue dans un délai de quatre mois “mais nous avions déjà la 27 001 et une culture interne très élevée”, précise Alfonso Castro, directeur de la stratégie Cloud de Microsoft.

Les étapes de l’audit

Une fois l’organisme de certification contactée, le futur hébergeur de données de santé doit franchir les différentes étapes de l’audit. “La première étape peut être uniquement documentaire. Elle consiste à s’assurer du système de management”, indique Jacques Matillon, président de Bureau Veritas. Une procédure confirmée par Luc Chausson, chef de projet Certification sécurité de l’information de LNE : “Les premiers contacts se font sur une base de questionnaires d’informations”. Les documents vérifiés peuvent notamment être “les déclarations d’applicabilité, ceux relatifs à la politique de sécurité des systèmes d’information, les contrats avec les sous-traitants…”, recense Brice Gilbert. “Il doit y avoir un délai entre la première et la deuxième étape qui consiste à se déplacer sur site. Chez Bureau Veritas, la première étape est valable six mois. En général, un délai de 30 jours permet de corriger les éventuels écarts”, ajoute Jacques Matillon. Au cours de l’audit, Alfonso Castro, société qui a obtenu le certificat HDS à l’automne, conseille : “Le certificateur va demander énormément de preuves. Il faut que ce soit bien organisé pour fournir les documents assez rapidement. Retrouver la preuve peut parfois prendre quelques minutes, quelques heures, quelques jours…”

Une fois l’étape de l’audit sur place passée, les organismes certificateurs rendent leur décision. Pour ce processus, ils s’assurent notamment que “les objectifs de l’audit sont atteints, le plan d’audit est respecté, qu’il n’a pas été détecté des écarts critiques… Cela peut aller jusqu’à huit semaines. Et la décision n’est pas toujours positive. Un délai est laissé pour ces écarts majeurs. La norme laisse six mois pour les corriger”, indique Armelle Trottin, directrice Groupe LSTI. Pour la correction d’écarts critiques, l’organisme certificateur peut revenir pour un nouvel audit. Pour chaque visite, les organismes certificateurs facturent à la journée. “Le nombre de jours d’audit est prévu dans les normes. Il peut y avoir des délais supplémentaires, des frais de déplacement à prévoir si les sites sont répartis dans le monde, etc. En moyenne, les audits sont facturés entre 1 000 et 2 000 euros par jour”, confie Frédéric Law-Dune.

L’obtention du certificat HDS ne signifie cependant pas la fin du processus. “Deux audits de suivi sont prévus. Le premier est mené au maximum 12 mois après la certification et le second un an plus tard. Il faut ensuite mettre en place les conditions de renouvellement de la certification”, détaille Luc Chausson.

Une procédure ouverte à l‘international

Pour cette nouvelle certification, les acteurs soulignent par ailleurs l’ouverture à l’international. “Le Cofrac qui délivre l’accréditation des organismes certificateurs a des équivalents dans l’Union européenne. Nous acceptons tout organisme qui se serait fait accrédité dans un autre pays”, indique Frédéric Law-Dune. René Saint-Germain, Certification manager de Certitrust, témoigne : “Auparavant, pour l’agrément, les documents étaient en français. Il était impossible de l’appliquer au niveau international. Aujourd’hui, avec la composition sur des normes internationales, nous avons des demandes. Au départ de pays frontaliers comme le Luxembourg, la Belgique et l’Allemagne. Et nous avons également été sollicité par une entreprise au Canada qui veut se faire expliquer la procédure pour se faire certifier l’année prochaine”.

Vers la mise en place d’une gouvernance…

Si la certification est entrée en application depuis le mois de juin, des questions restent en suspens. Au cours de la JNI de l’Asip Santé, Frédéric Law-Dune a indiqué des réflexions en cours pour la mise en place d’une gouvernance autour de la certification HDS début 2019. “Il faudra maintenir le référentiel de certification. Des évolutions réglementaires, technologiques et normatives peuvent survenir avec de potentiels impacts sur le référentiel. Cela pose des questions sur les évolutions du dispositif”, détaille-t-il. Des questions existent également sur le champ d’application de la certification, notamment pour les sociétés d’infogérance. “L’interprétation du décret pose la question de l’application à d’autres types d’acteurs qui seraient des administrateurs exploitant du système d’information de santé. Nous attendons que le ministère nous donne les éléments pour les diffuser. Cela devrait constituer le premier sujet de cette future gouvernance”, confie Frédéric Law-Dune.

Des agréments HDS encore délivrés repoussent la demande de certification

Bien que les premières certifications soinet délivrées depuis quelques semaines, des agréments HDS sont encore obtenus par les entreprises ayant déposé une demande avant le 1er avril 2018. Une procédure permise par l’article 3 du décret 2018-137 du 26 janvier 2018. “Nous avons un taux de renouvellement normal et avons enregistré beaucoup de nouvelles demandes”, témoigne Frédéric Law-Dune qui précise que des agréments sont toujours délivrés actuellement. “Il y a encore beaucoup d’hébergeurs de données de santé qui seront couverts par l’agrément en 2019 et 2020. La demande commence mais le pic d’activité devrait intervenir en 2020 et 2021”, estime Brice Gilbert de l’Afnor.