La nouvelle procédure de certification des « hébergeurs de données de santé » (HDS) commence à être progressivement mise en œuvre pour une mise en place au plus tard le 1er janvier 2019.
Sommaire
Le nouveau cadre légal pour les données de santé
Pour rappel, l’ordonnance remplaçant l’agrément pour l’hébergement de données de santé sur support électronique par un processus de certification des hébergeurs a été publiée au Journal officiel du 13 janvier 2017.
Ce texte résulte de l’application de la loi de santé du 26 janvier 2016 qui prévoit le transfert de la procédure d’agrément « Hébergeur de données de santé à caractère personnel » (HDS) actuellement assurée par le comité d’agrément des hébergeurs (CAH) placé auprès de l’Agence des systèmes d’information partagés de santé (Asip santé), à un certificat délivré par un organisme certificateur accrédité par le Comité français d’accréditation (Cofrac).
La nouvelle procédure de certification vise à renforcer la sécurité des données de santé hébergées « en complétant les audits documentaires par des audits sur site« , indique le ministère des affaires sociales et de la santé dans son rapport au président de la République relatif à cette ordonnance.
Toujours selon le ministère, cette procédure doit permettre de « diminuer les délais d’instruction des demandes des hébergeurs, aujourd’hui trop importants » et de donner de la « visibilité » à ce dispositif à l’international grâce à des références aux certifications ISO de l’Organisation Internationale de Normalisation.
Le texte publié au Journal Officiel (JO) harmonise les dispositions du code du patrimoine et celles du code de la santé publique sur les conditions d’externalisation des données de santé à caractère personnel, avec pour but d’assurer une protection équivalente des données de santé quel que soit leur statut (données privées ou données publiques), dans le cadre de prestations autorisant leur traitement quotidien par des professionnels de santé et dans le cadre des prestations d’archivage.
De façon assez surprenante, l’ordonnance soumet ainsi à l’agrément du Ministère Chargé de la Culture l’activité de conservation des données sur support papier et numérique dans le cadre d’un service d’archivage électronique.
L’hébergement de données de santé sur support numérique est soumis à une obligation de certification, dont les modalités sont fixées par un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés (Cnil) et des Conseils Nationaux des Ordres des Professions de Santé.
Pour rappel, l’Asip Santé et la Délégation à la Stratégie des Systèmes d’Information de Santé (DSSIS) ont élaboré et soumis à concertation à l’automne 2016 le référentiel de certification qui décrit les exigences et les liens entre ce référentiel et les normes internationales ISO, les modalités de contrôle des exigences et le « cycle de vie » de la certification.
L’ordonnance rappelle les obligations des hébergeurs, dont « l’interdiction d’utiliser les données à d’autres fins que l’exécution de la prestation d’hébergement » et la restitution des données aux personnes qui les lui ont confiées « sans en garder copie » lorsqu’il est mis fin à l’hébergement.
Elle confie à l’Inspection générale des affaires sociales (IGAS) le pouvoir de contrôle des Hébergeurs Agréés de Santé et définit « une interdiction générale de céder à un tiers les données de santé, y compris avec l’accord de la personne concernée« .
Toutes les mesures décrites par l’ordonnance s’appliqueront obligatoirement à tous les hébergeurs au plus tard le 1er janvier 2019.
On notera que l’article 3 du texte publié au Journal Officiel (JO) définit les dispositions transitoires de passage de l’agrément à la certification. Les hébergeurs ayant déjà obtenu l’agrément Hébergeur de données de santé à caractère personnel » conservent cet agrément jusqu’à son échéance.
Lorsque l’agrément arrive à échéance « dans les 12 mois » suivant l’entrée en vigueur des dispositions prévues par l’ordonnance, l’hébergeur « dispose d’un délai minimum fixé par décret pour se mettre en conformité« .
Les demandes d’agrément HDS ou de renouvellement déposées avant l’entrée en vigueur de l’ordonnance sont instruites selon les conditions prévues par le Code de la santé publique « à la date du dépôt de la demande« .
Les meilleurs hébergeurs de données de santé
Le nombre d’hébergeurs de données de santé agréés ne cesse d’augmenter. Il est de plus de 80 au 06 mars 2017.
Le profil des sociétés agréé est très varié. Il va de la grande entreprise comme Orange Business Services, en passant par les services informatiques de l’Hôpital, à la société spécialisée sur le Cloud Santé et les données de Santé.
Liste complète des hébergeurs agréés de données de santé à caractère personnel au 06 mars 2017 (source esante)
A2COM | GCS SIS de Martinique |
2CSI | GCS Télésanté Lorraine |
2CSI | GCS TESIS |
AATLANTIDE | GIP e-SIS 59/62 |
Abscisse Informatique | GIP MiPih |
Almérys SAS | GIP SIB |
Arrow ECS | GMI Expert |
Assistance Publique des Hôpitaux de Marseille (AP-HM) | Guidant Europe |
Assistance Publique des Hôpitaux de Paris (AP-HP) | GRITA SAS |
Avenir Télématique (ATE) | H2AD |
AZ NetWork | HCL |
Biotronik France | I.B.O. |
Bull | IBM France |
BT Services | IDS |
Carestream | I-Invest |
Cegedim Activ’ | International Cross Talk |
Cegedim SA | Interxion |
Cegi Alfa | Locarchives |
CERNER | Lomaco |
CEV Group | Navaho |
Cheops Technology | NetPlus |
Chorégie | NUMERGY |
Chorégie | ORANGE BUSINESS SERVICES |
CHU de Nantes | OVH |
CHU de Nice | Pacesetter |
CHU de Nice | Pictime/Coreye |
CHRU de Nancy | PRO BTP |
CHI Eure-Seine | Proginov |
CIMUT | Prosodie Capgemini |
Ciril GROUP – SynAApS | Runiso |
CIS Valley | SANTEOS |
Coaxis ASP | SFR |
CompuGroup Medical France/Réseau Santé Social | SIGEMS DATA CENTER |
Data Concept Informatique (DCI) | Sigma Informatique |
Diadémys | Softway Medical Radiologie |
DOCAPOST BPO | Solware Life |
ECONOCOM-OSIATIS France | Sorin CRM |
ECRITEL | Syndicat Interhospitalier du Limousin |
EIG | Thales |
EpiConcept | TelecityGroup – Groupe Equinix |
GCS EMOSIST-FC | ZAYO France |
La liste des hébergeurs aggrés en données de santé a été mise à jour à cette adresse : Liste des hébergeurs de données de santé 2018.
Bonjour,
Je suis chez Gandi sur une offre de Hosting XL qui me satisfait pleinement. Le problème est l’application que nous développons utilise des données médicales pour de la prise de rendez-vous. Je cherche un hébergeur de données de santé qui se rapproche le plus de l’offre que nous avons au travers de notre fournisseur actuel (PHP 7.0 et My SQL).
Dans la liste que vous publiez, avez-vous un hébergeur en particulier que vous recommandez ? Je n’ai aucune envie d’aller chez Orange Business Service, trop gros, trop cher ….
OVH est désormais agréé Hébergeur de santé, je regarderais de ce coté. Effectivement, même si avec + de 100 hébergeurs agréés santé sont référencés, il est difficile d’obtenir des prix abordables. Il faut au moins multiplier le prix par 5 par rapport à un hébergement traditionnel pour la donnée de santé. Ça peut peser lourd dans le budget d’une PME.
Le prix promotionnel de l’offre d’hébergement données de santé chez OVH est de 751 € HT/mois. 1 063 € HT/mois c’est le prix normal. Quelqu’un a t-il connaissance d’une offre d’hébergement santé moins chère ?
A noter, vu sur le site web d’OVH, le prix de 751 € pour le HDS passe à « 1 063 € HT lors de la disponibilité du contrat conforme HIPAA ». Source « les packs de démarrage Healthcare » d’OVH.
Si quelqu’un a connaissance d’offres en hébergement de données de santé moins chères ?
La bonne question serait-plutôt quel est l’hébergeur de données de santé le moins cher ? Car effectivement, vu les prix pratiqués dans le secteur, il est mission impossible de trouver un hébergement à moins 1 000 € mensuel.
La société AZMEDICUBE a une offre d’hébergement de données médicales dite « spéciale éditeur « a 99 € par mois. C’est du moins, ce qu’elle annonce sur ses publicités mais sans fournir plus de détail sur son site web. Si ça se trouve tout est en option :(. J’attends leur retour à ma demande de devis.
Bonjour, mon service (hôpital) est chez Orange Business Service « offre Flexible Computing Santé ». Je n’ai rien à dire sur la qualité mais le prix est totalement disproportionné par rapport à un hébergement classique. Je serais preneur d’un comparatif d’offres d’hébergement santé du marché ; je n’ai vu aucune étude sur le net.
Attention, la dénomination exacte est « Liste des hébergeurs agréés de données de santé à caractère personnel ». Il s’agit de protéger avant tout les données du patient vis à vis des tiers.
Je confirme les commentaires précédents. En matière d’hébergement de données de santé, il vaut mieux prendre un fournisseur dont c’est le métier, plutôt qu’un mastodonte de hébergement comme orange où vous allez vous perdre dans les procédures interne. L’hébergement sera moins cher et tout aussi performant.
Ensuite, la quête du Graal du meilleur hébergement de Données de santé dépend de tellement de facteurs … ce qui me semble important, c’est avant tout la sécurité des données (le dual synchrone est une excellente technologie) et les sauvegardes encore et toujours.
Bonjour,
Je suis pharmacienne et je souhaite me diversifier dans la vente de médicaments en ligne. Auriez-vous dans la liste ci-dessus une recommandation d’un hébergeur santé, spécialisé dans le service en ligne des officines ? d’avance merci de votre retour