évolutions du référentiel HDS 2018 vs. 2024

Les évolutions du référentiel HDS : 2018 vs. 2024

Depuis sa première publication, le référentiel Hébergement de Données de Santé (HDS) a joué un rôle crucial dans la sécurisation des données de santé en France. La version 1.1 de 2018 a constitué un socle important pour garantir la conformité et la protection des données, mais le paysage numérique en constante évolution et l’évolution de la norme ISO 27001 en 2022 a rendu nécessaire une révision en profondeur. Le nouveau référentiel publié en 2024 apporte des évolutions significatives. Cet article analyse les principales évolutions du référentiel d’Hébergement des Données de Santé : 2018 vs. 2024.

Renforcement des Exigences sur la souveraineté des données européennes

Version 2018
La version 1.1 du référentiel HDS a introduit des exigences de conformité avec le Règlement Général sur la Protection des Données (RGPD), mais n’introduisait pas de limitation sur la localisation d’hébergement (juste une information au client).

Version 2024
La version 2024 du référentiel a renforcé considérablement les exigences en termes de souveraineté des données européennes. Quatre nouvelles exigences concernent cette thématique avec une obligation de stocker les données de santé dans l’Espace Économique Européen (EEE). Les accès distants, les transferts de données de l’Hébergeur ou de ses sous-traitants depuis un pays qui ne fait pas partie de l’Espace Économique Européen (EEE) doivent être identifiés et précisés contractuellement. Une information claire, détaillée et formalisée devra être accessible au public sur une page web dédiée.

L’intégration de l’évolution de la norme ISO 27001

Version 2018
Le référentiel HDS référençait la norme ISO 27001 en version 2013 mais également la norme ISO 27018 en version 2014 et la norme ISO 2000 en version 20211.

Version 2024
La norme ISO 27001 dans sa version 2022 est intégrée et est toujours une certification obligatoire pour obtenir la certification Hébergeur de données de santé. Les exigences sur les normes ISO 27018 et ISO 20000 ne sont plus référencées. Cela permet de simplifier la mise en œuvre de la certification HDS. Les anciennes exigences sont soit reprises dans les exigences contractuelles, soit dans les nouvelles exigences de l’ISO 27002 version 2022.

Le rôle toujours central du contrat HDS

Version 2018
Le contrat HDS était un enregistrement central de la certification HDS. 6 activités étaient définies, avec une activité 5 qui a toujours posée beaucoup de questions sur son application. Le contrat permettait la couverture de nombreuses exigences.

Version 2024
Le contrat est toujours une pièce essentielle de la certification HDS. Les exigences inclues dans le contrat HDS sont reprécisées en lien avec l’article R.1111-11 du Code de la Santé Publique.

Il faut noter aussi :

  • La suppression de la différence entre « Hébergeur d’infrastructure physique » et « Hébergeurs infogéreurs », il n’existe plus qu’une certification Hébergeur de données de Santé
  • L’évolution de la numérotation des activités couvertes par la certification HDS, il faudra être attentif entre les anciens et nouveaux certificats !
  • Et également, très attendu, le périmètre 5 « l’administration et l’exploitation du système d’information contenant les données de santé » est défini, il recouvre les actions suivantes :
  • La définition d’un processus d’attribution et de revue annuelle de droits d’accès nominatifs, justifiés et nécessaires ;
  • La sécurisation de la procédure d’accès ;
  • La collecte et la conservation des traces des accès effectués et de leurs motifs ;
  • La validation préalable des interventions (plan d’intervention, processus d’intervention) ;
  • La validation des interventions consiste à s’assurer qu’elles ne dégradent pas la sécurité de l’information hébergée ni pour le client concerné ni pour les autres clients de l’Hébergeur. Cette validation peut être effectuée dans les cas suivants : A priori, pour les interventions que le client pourrait effectuer en autonomie et lors de la demande d’intervention lorsqu’il sollicite l’Hébergeur.

    La définition du processus d’attribution, la sécurisation, la collecte, la validation sont intrinsèques et obligatoires aux activités définies au 1 à 4 de l’article R. 1111-9 du code de la santé publique. Si elles sont effectuées uniquement en ce qu’elles sont liées et consubstantielle aux activités 1 à 4, l’Hébergeur n’est pas tenu d’être certifié pour l’activité 5. Il ne sera tenu de l’être que dans le cas où il exerce uniquement l’activité 5.

Si vous avez des questions sur ce périmètre 5, n’hésitez pas à nous contacter pour échanger avec un consultant expert Ad Confirma et ainsi savoir si ce périmètre vous est applicable !

Un process d’audits renforcés

Version 2018
En version 2018, des audits techniques étaient possibles contractuellement et l’Hébergeur bénéficiait d’un audit interne au moins annuel, avant son audit de certification ou de surveillance.

Version 2024
Les hébergeurs de données de santé doivent maintenant mieux contrôler les changements et les relations avec leurs sous-traitants (nouvelle obligation contractuelle vis-à-vis des clients) et se soumettre à des audits plus détaillés en particulier lors de l’audit interne (échantillon sur l’analyse des traces des accès par les personnes opérant pour le compte de l’Hébergeur)

Des mesures de sécurité renforcées

Version 2018
Dans cette version du référentiel, des exigences sécurité complémentaires aux exigences ISO 27002 existaient : traçabilité des accès et des actions, sauvegarde sécurisée, alertes en cas d’évènement de sécurité de façon proactive, chiffrement des données …

Version 2024
Dans la version 2024 du référentiel, les mesures de sécurité du référentiel 2018 sont toujours nécessaires même si elles ne sont plus directement liées à des exigences du référentiel. En effet, dans cette version du référentiel, les mesures sont identifiées en fonction des événements redoutés obligatoires et donc des risques à analyser.

Conclusion

Les évolutions apportées par le référentiel Hébergement de Données de Santé en 2024 par rapport à la version 1.1 de 2018 vont vers plus de simplicité de la certification HDS mais pas moins de sécurité des données de santé. 

En intégrant les exigences de souveraineté des données de santé et de transparence, le nouveau référentiel vise à offrir une protection plus robuste des données de santé. Ces changements répondent aux défis actuels du secteur et sont essentiels pour garantir la sécurité et la confidentialité des informations de santé dans un environnement numérique de plus en plus complexe.

Si vous souhaitez migrer votre certification HDS 2018 vers la version 2024, n’hésitez pas à prendre contact avec nous.

Si vous avez un projet de certification HDS, les consultants experts Ad Confirma sont disponibles pour échanger avec vous et qualifier la meilleure façon pour vous accompagner. N’hésitez pas à prendre contact avec nous, via le formulaire.

Publications similaires

Editeurs de logiciels en mode SaaS Vs. Exigences réglementaires cybersécurité

Editeurs de logiciels en mode SaaS Vs. Exigences réglementaires cybersécurité

ParManagement

Editeurs de logiciels en mode SaaS Vs. Exigences réglementaires cybersécurité Les éditeurs de logiciels en mode SaaS (Software as a Service) sont soumis à des exigences réglementaires de plus en plus nombreuses en matière de cybersécurité (RGPD, DSP2 ….) Cet article présente les actualités les plus récentes de ces derniers mois : Loi de Programmation Militaire…

Les avantages de la certification ISO 27001 pour les éditeurs de logiciels

Les avantages de la certification ISO 27001 pour les éditeurs de logiciel

ParManagement

Les avantages de la certification ISO 27001 pour les éditeurs de logiciels La certification ISO 27001 est une norme internationale qui établit les exigences relatives à un système de management de la sécurité de l’information (SMSI). Pour les éditeurs de logiciels, adopter cette certification peut s’avérer crucial. Voici les principales raisons qui poussent ces entreprises…

Audit Interne ISO 27001

Les avantages de réaliser un audit Interne ISO 27001 / HDS

ParManagement

Les avantages de réaliser un audit Interne ISO 27001 / HDS L’ISO 27001 est la norme internationale qui établit les exigences pour un système de management de la sécurité de l’information (SMSI). L’audit interne est une étape cruciale pour évaluer l’efficacité de ce système. Réaliser une prestation d’audit interne ISO 27001/HDS présente de nombreux avantages…

Nouveau référentiel d’Hébergement des Données de Santé (HDS) 2024

Nouveau référentiel d’Hébergement des Données de Santé (HDS) 2024

ParManagement

Nouveau référentiel d’Hébergement des Données de Santé (HDS) 2024 Une évolution dans la sécurité et la conformité des données de santé en France Le paysage de la gestion des données de santé en France est impacté par la publication du nouveau référentiel Hébergement de Données de Santé (HDS) en 2024. Ce document, élaboré par l’Agence…

EBIOS Risk Manager

Analyse de risques, zoom sur la méthode EBIOS Risk Manager

ParManagement

Analyse de risques, zoom sur la méthode EBIOS Risk Manager La cybersécurité est un enjeu crucial dans le monde numérique, tant pour les entreprises que pour les administrations. La gestion des risques liés aux cyberattaques est une priorité, et pour y parvenir, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a développé une méthode…

RSSI

Les bénéfices d’avoir un Responsable Sécurité du Système d’Information (RSSI) externalisé

ParManagement

Les bénéfices d’avoir un Responsable Sécurité du Système d’Information (RSSI) externalisé À l’ère numérique, la sécurité des systèmes d’information est devenue une priorité pour les entreprises de toutes tailles. Avec l’augmentation des cybermenaces et des exigences réglementaires, le rôle d’un Responsable Sécurité du Système d’Information (RSSI) est essentiel. Cependant, toutes les entreprises n’ont pas les…