Référentiel HDS : définition et objectifs

Le Référentiel HDS (Hébergeur de Données de Santé) s’appuie sur le Code de la santé publique et fixe les règles que doivent suivre les organisations hébergeant des données de santé.

Son objectif principal est d’assurer la confidentialité des données de santé, leur intégrité, leur disponibilité, mais aussi leur traçabilité et la maîtrise des accès.

La certification HDS est donc un gage de confiance pour les établissements de santé, les professionnels, les éditeurs de solutions numériques ainsi que pour les patients. Elle garantit en effet que l’hébergeur applique un ensemble de mesures de sécurité conformes aux exigences de la réglementation française.

Les 6 niveaux du référentiel HDS

Le référentiel HDS est structuré en six niveaux, dont chacun correspond à un type d’activité lié à l’hébergement ou bien à la gestion des données de santé.

• Niveau 1 : hébergement d’infrastructures physiques 

Le niveau 1 concerne les datacenters et les prestataires qui fournissent les locaux, équipements et conditions matérielles nécessaires (sécurité physique, électricité, climatisation…).

• Niveau 2 : hébergement d’infrastructures virtuelles

Ce niveau couvre les environnements virtualisés : machines virtuelles, stockage, réseau et ressources cloud.

• Niveau 3 : hébergement de plateformes applicatives  

Il englobe la mise à disposition et la maintenance des plateformes applicatives qui supportent les logiciels de santé.

• Niveau 4 : gestion des données de santé 

Celui-ci regroupe les activités impliquant la manipulation directe des données pour le compte des clients (hébergement logique, traitement, restitution…).

• Niveau 5 : sauvegarde externalisée

Le niveau 5 concerne les solutions de sauvegarde, de restauration et d’archivage des données dans un environnement sécurisé distinct.

• Niveau 6 : administration et supervision

Enfin, le niveau 6 couvre la gestion technique : monitoring, mises à jour, journalisation, gestion des accès et supervision de la sécurité.

Les exigences clés pour être certifié HDS

Pour être certifié HDS, un hébergeur doit réellement protéger ses systèmes d’information à l’aide d’un contrôle strict des accès, d’un enregistrement des actions (logs) et d’une supervision active. Il doit aussi s’appuyer sur une gouvernance solide, une documentation à jour et une gestion claire des incidents. 

 

De plus, la continuité d’activité doit être garantie grâce à un PRA (Plan de Reprise d’Activité) et un PCA (Plan de Continuité d’Activité) opérationnels, prêts à être activés en cas d’incident. 

 

L’ensemble du dispositif doit également rester cohérent avec le RGPD (Règlement Général sur la Protection des Données). Enfin, la conformité est validée par un audit initial lors de l’obtention de la certification, puis par des contrôles annuels qui assurent le respect de toutes les exigences clés.

Comment se mettre en conformité HDS ? Les étapes à suivre

La mise en conformité au référentiel HDS se fait en plusieurs étapes clés, qui permettent de sécuriser les données de santé tout en préparant efficacement la certification.

1- Diagnostic HDS et définition du périmètre

La première étape de cette mise en conformité consiste à analyser les pratiques existantes et à identifier les écarts par rapport aux exigences HDS. Il s’agit aussi de définir le périmètre exact à certifier (infrastructures physiques, virtuelles, plateformes applicatives, gestion des données…).

2- Mise en conformité technique et organisationnelle

Cette seconde phase vise à adapter les systèmes d’information, les processus internes et les pratiques organisationnelles, afin de mieux répondre aux exigences HDS :

 

• Sécurité des accès, 
• Supervision, 
• Gestion des incidents, 
• Continuité d’activité,
• …

3- Rédaction et mise à jour de la documentation

Toute la documentation, incluant les procédures, les politiques de sécurité, les plans de continuité, ainsi que tous les documents attestant des bonnes pratiques mises en œuvre, doit être complète et à jour.

4- Passage de l’audit

Une fois les mesures appliquées et lorsque la documentation est prête, l’organisation peut passer l’audit initial. Cet audit, réalisé par un certificateur accrédité, est une étape incontournable pour obtenir une certification HDS.

5- Maintien de la conformité

Une fois la certification HDS obtenue, il faut assurer un suivi régulier avec des revues internes, des formations continues et des mises à jour des systèmes et procédures, afin de garantir la conformité dans le temps.

→ Bon à savoir : l’ANS (l’Agence du Numérique en Santé) fournit la liste officielle des prestataires certifiés HDS.

Mise en conformité HDS : pourquoi faire appel à un manager de transition ?

Faire appel à un manager de transition peut grandement faciliter une démarche de mise en conformité HDS, en particulier pour les organisations qui ne disposent pas des compétences en interne pour piloter un tel projet. 

Chez Wayden, nous pouvons mobiliser, même en urgence, un manager de transition spécialisé dans la mise en conformité HDS. Fort de 15 à 25 ans de carrière, le manager de transition est rompu à la gestion de projets complexes aux enjeux d’envergure. Il intervient dans votre entreprise pour une durée de 6 à 18 mois, et prend en charge votre projet de mise en conformité HDS de bout en bout.