HADS : un agrément pour protéger nos données de santé

Les nouvelles technologies ont changé le quotidien des professionnels de santé. Médecins, pharmaciens, laboratoires et autres établissements de santé sont concernés par la dématérialisation des dossiers de leurs patients.

Aujourd’hui, l’essentiel de des informations liées au patient est informatisé. Ces données, qui peuvent être des résultats d’analyse, une prescription médicale et plus largement toutes les informations dont a connaissance le professionnel de santé, ne doivent surtout pas tomber entre de mauvaises mains. Ces informations sensibles sont convoitées au même titre que les données bancaires ou autres données personnelles.

Afin de réduire les risques liés à la dématérialisation de ces données, le législateur a voté une loi en 2002 permettant de renforcer la sécurité de ces données hautement sensibles. L’article L1111-8 du Code de la Santé Publique prévoit qu’un professionnel de santé, un établissement de santé ou la personne concernée ne peuvent déposer des données de santé qu’auprès d’un hébergeur agréé.

Les professionnels de santé sont tenus de protéger les informations en les manipulant mais aussi en les stockant dans un environnement sécurisé. Ils peuvent les conserver par leurs propres moyens ou faire appel à un hébergeur agréé pour stocker ces données. L’ASIP  (Agence des Systèmes d’Information Partagés de santé) définit clairement : "Une entité est soumise à l’obligation d’être hébergeur agréé dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale."

Les professionnels et établissements de santé ne sont pas les seuls à être concernés (directement ou indirectement) par l’agrément HADS. De nombreux acteurs le sont aussi tels que les agences web et les développeurs d’applications web ou mobiles autour de la santé. Le marché de l'e-santé est en forte croissance. Des milliers d’applications voient le jour chaque mois et parmi elles, beaucoup collectent des données personnelles qu’il faut stocker dans un environnement agréé. 

L’agrément HADS, Hébergeur Agrée de Données de Santé, a été créé afin de garantir la confidentialité, l’intégrité, la disponibilité et la traçabilité de ces informations sensibles. Cet agrément implique le respect de nombreuses exigences tant au niveau technique qu’organisationnel. Il est ainsi demandé une authentification forte, un chiffrement des flux et des données ou encore une traçabilité des accès. En plus des outils de sécurité, elle impose une attention particulière et une infogérance sur mesure de ces données telles que la définition de plans de reprise et de continuité d’activité (PRA et PCA), une gestion des habilitations, etc.

La procédure d’agrément dure huit mois au minimum. Avant la signature du ministre chargé de la santé, le dossier est étudié par plusieurs entités. L’ASIP instruit le dossier et le transmet à la CNIL afin qu’elle émette un avis. La demande est ensuite soumise au Comité d’agrément des hébergeurs qui lui aussi émet un avis. La décision finale appartient au Ministre de la santé. Si elle est favorable, l’hébergeur obtient l’agrément pour une durée de 3 ans et l’information sera publiée au BO du Ministère de la santé. 

Autour du même sujet