Accueil > Parcours de soins > Gestion de la data > Quelles sociétés ont été agréées ou certifiées pour l’hébergement des données de santé ? Quelles sociétés ont été agréées ou certifiées pour l’hébergement des données de santé ? Depuis 2018, les tiers chargés de stocker les données de santé doivent obtenir une certification, délivrée au terme d’un audit par des organismes spécialisés tels qu’Afnor et Bureau Veritas. mind Health a analysé la liste des premières sociétés à l’avoir obtenu. Par Aymeric Marolleau. Publié le 02 juillet 2019 à 16h06 - Mis à jour le 02 juillet 2019 à 16h06 Ressources Le numérique et la sécurité des données des patients constituent un point particulièrement sensible dans le domaine de la santé. Pour encadrer l’activité des spécialistes des systèmes d’information et de l’hébergement dans ce domaine, les pouvoir publics les invitent ou les obligent parfois à obtenir des labels, agréments ou certifications. À partir de 2009, les sociétés souhaitant héberger des données de santé ont eu l’obligation d’obtenir un agrément, délivré par le ministère de la Santé, pour démontrer qu’ils respectent plusieurs exigences comme le recueil du consentement du patient, l’authentification forte, le cryptage des flux ou encore la traçabilité des accès. En 2018, pour renforcer la confiance dans les tiers chargés de stocker les données des patients, l’État a remplacé cet agrément par une certification, délivrée au terme d’un audit par des organismes spécialisés tels qu’Afnor et Bureau Veritas (la liste des organismes de certification sur le site de l’Asip Santé). Pour aller plus loin : Passage de l’agrément à la certification : ce qui change pour les hébergeurs de données de santé Entre cloud et installation en propre, l’offre pour l’hébergement de données de santé se diversifie Pour autant, les acteurs agréés ne sont pas tenus de passer dès maintenant à l’étape supérieure, puisque leur agrément reste valide jusqu’à son échéance, soit trois ans maximum. Et si leur agrément se terminait avant le 31 mars 2019, il voyait sa durée automatiquement prolongée de six mois. Un an après la publication au journal officiel de l’arrêté portant approbation du référentiel de certification, mind Health a souhaité observer la manière dont les acteurs de l’hébergement des données de santé (HDS) se sont emparés de cette nouvelle réglementation. Pour cela, nous avons étudié la liste des sociétés agréées et certifiées HDS telles qu’elles figuraient sur le site de l’Asip Santé le 17 juin 2019. Faites vos propres recherches Explorez notre base de données réunissant les acteurs agréés et les acteurs certifiés pour l’hébergement des données de santé. Les acteurs agréés sont dans le premier onglet, les acteurs certifiés dans le second. Vous pouvez y appliquer vos propres filtres personnalisé, par exemple pour distinguer les acteurs selon leur positionnement principal. Pour aller plus loin ou obtenir les données les plus à jour, vous trouverez aussi en haut du document un lien vers la source d’origine, sur le site de l’Asip santé. Cliquez ici. N’hésitez pas à nous contacter pour nous faire part de vos remarques : redaction@mindhealth.fr Premier constat : le nombre de sociétés certifiées, 19, reste modeste au regard du nombre de celles qui sont agréées : 99. Mais il croît rapidement, puisqu’elles n’étaient que sept en février dernier et 11 en mars, tandis que le contingent des acteurs agréés s’érode : ils étaient 108 en février. Sept de ces 19 acteurs ont obtenu la certification avant même la fin de leur agrément. Il s’agit des acteurs de l’hébergement Cheops Technology France, Claranet, Equinix et ITS Integra, de l’éditeur de logiciels santé ICT (International Cross Talk), de l’entreprise de services numériques (ESN) Sigma Informatique et du spécialiste de la gestion documentaire Tessi Technologies. Au moins deux acteurs – l’éditeur de logiciels santé Epiconcept et le groupement d’intérêt public MiPih Midi Picardie Informatique Hospitalière – étaient agréés jusqu’au début de 2019. Des positionnements très variés L’analyse du positionnement principal des sociétés agréées et certifiées montre qu’une grande diversité d’acteurs sont concernés par l’hébergement des données de santé. Si les spécialistes de l’hébergement et du cloud constituent le plus gros contingent, avec 35 représentants (Amazon Web Services, OVH, Claranet, Cheops Technology…), on y trouve aussi 17 entreprises de service numérique (ESN) et 14 éditeurs de logiciels spécialisés dans la santé. Dont Cegedim, Epiconcept, ICT et Pharmagest. Huit centres hospitaliers se sont emparés eux-mêmes de l’hébergement de leurs données sensibles, dont l’AP-HP et l’AP-HM, les Hospices civiles de Lyon, les CHU de Nantes et Strasbourg, ou encore le CHRU de Nancy. Retrouvez tous les acteurs agréés ou certifiés HDS dans notre base de données. “Cette diversité montre que le marché des données de santé concerne une grande variété d’acteurs. Ce qui est nouveau avec la certification, c’est qu’elle a permis aux grands hébergeurs généralistes, tels qu’Amazon et Microsoft, d’aborder ce marché, alors qu’ils s’en étaient jusqu’alors tenus à l’écart”, remarque François Kaag, directeur général d’IDS et ancien président de l’Association française des hébergeurs agréés de données de santé à caractère personnel (AFHADS). Quelles activités ont-ils fait certifier ? La certification HDS couvre six activités différentes (voir encadré), mais les acteurs peuvent l’obtenir pour une partie d’entre elles seulement. Les 19 acteurs couvrent en moyenne 4,5 activités. Dans le détail, neuf l’ont pour toutes les activités, dont Orange Healthcare et Bretagne Telecom. Amazon Web Services (AWS) l’a pour toutes à l’exception de l’administration et de l’exploitation du système d’information. Les hébergeurs CIV France et EBRC ne l’ont que pour la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé. LES 6 ACTIVITÉS COUVERTES PAR LA CERTIFICATION HDS L’Asip délivre deux types de certificats qui couvrent six activités : – un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle : 1. la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ; 2. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ; – un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée : 3. la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ; 4. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ; 5. l’administration et l’exploitation du système d’information contenant les données de santé (Début avril, l’Asip annonçait son intention de retirer l’activité 5 de la certification pour donner lieu à un référentiel à part) ; 6. la sauvegarde de données de santé. Aymeric Marolleau Données de santéhébergeurs Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind
