HDS : Bien choisir son hébergeur de données de santé

François CAVÉ – 27/01/2020

Après avoir étudié les garanties autour des données sensibles dans un précédent article, la question des critères utiles au choix de son prestataire se pose désormais. En effet, au moment du passage de l’agrément à la certification HDS en 2018, six activités ont été listées et réparties dans deux métiers d’hébergement distincts que sont l’hébergeur d’infrastructure physique et l’hébergeur infogéreur. Ces activités correspondent à un service et la capacité à les gérer devient un argument. Elles sont les suivantes :

1. Mise à disposition ou maintien en condition opérationnelle de locaux permettant d’héberger l’infrastructure matérielle du système d’information de santé

2. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure matérielle du système d’information de santé

3. Mise à disposition ou maintien en condition opérationnelle de la plateforme logicielle (système d’exploitation, middleware, base de données, etc.) du système d’information de santé

4. Mise à disposition ou maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé

5. Infogérance d’exploitation du système d’information de santé

6. Sauvegardes externalisées des données de santé

Toute la démarche de certification s’appuie sur ces activités. Mais dans ce dédale, comment s’y retrouver et choisir le bon hébergeur de données pour son projet ?

Établir un cahier des charges

L’expression de besoin est la première étape du parcours afin de coucher sur le papier ce dont on a réellement besoin. Tous les prestataires n‘ayant pas la certification sur les mêmes activités, il est nécessaire de bien vérifier dans la liste les entreprises certifiées qui répondent à votre besoin via les activités de leur certification (par exemple chez A2COM nous sommes certifiés sur l’ensemble des 6 activités).

Parmi elles, il en est une essentielle car elle touche au fonctionnement même du business : il faut être certifié activité 5 pour faire de l’administration de systèmes et/ou des services managés. D’ailleurs, le recours à plusieurs hébergeurs est bien évidemment possible mais contraignant pour le porteur de projet car le travail de recherche en sera multiplié, d’où l’intérêt de sélectionner un prestataire certifié pour l’ensemble des activité dès lors que le besoin est identifié.

cahier des charges hds

Identifier les activités certifiées

Les activités représentent la partie centrale du projet, mais il faut cependant être sûr que le prestataire sélectionné propose effectivement celles pour lesquelles il est certifié. Ce travail de sélection des hébergeurs n’a pas de méthode miracle et reste une démarche plus complexe qu’un choix de prestataire « classique ». Une solution efficace est de toujours demander la liasse contractuelle des prestataires au préalable afin de choisir en toute confiance.

Miser sur un acteur spécialiste de la donnée sensible

Se renseigner sur les activités, c’est bien… mais ça ne suffit pas ! Capacité à réaliser le projet, surface financière, proximité géographique et références sont autant de facteurs déterminants à inclure dans le cahier des charges. Cette prestation de service étant particulière, la spécificité est ici critique et il faut bien vérifier sa sensibilité par rapport au sujet de gestion de données de santé : l’hébergeur doit parler la même langue que vous ! De notre côté, le concepteur de logiciels dédiés à la recherche médicale IDBC fait partie d’A2COM depuis 2006 et a pu nous apporter une véritable expertise sur le traitement et l’hébergement des données sensibles.

acteur spécialiste de la donnée sensible

Anticiper les risques

Fuite de données, défaillance technique, choix humains : les risques sont bien sûr inhérents à tous projets, mais dans ce domaine il est absolument vital de les réduire au strict minimum. Comme énoncé précédemment, récupérer la liasse contractuelle et vérifier qu’il correspond aux besoins est une solide étape. Il existe en effet un risque juridique réel derrière un mauvais choix de prestataire et le RGPD prévoit que la violation des dispositions peut déclencher une amende allant jusqu’à 20M d’euros. Pas vraiment le droit à l’erreur…

 

Vous l’aurez compris, un projet HDS est donc bien plus qu’une succession de besoins techniques. Il implique d’anticiper les retombées possibles, qu’elles soient de fonctionnement (logistiques) ou juridiques par exemple. En fonction des activités pour lesquelles il va être certifié, le choix d’un prestataire qui connaît le métier et sait en parler correspond à la bonne démarche à suivre. Cela représente évidemment de l’investissement humain et de temps, mais revêt un caractère absolument nécessaire étant donné l’enjeux.

Goodbye A2COM

A2COM FOLIATEAM perd son préfixe pour ne conserver que Foliateam et arborer fièrement les couleurs de son Groupe !

Désormais, pour retrouver le contenu de ce site, l’ensemble de nos services et pour nous contacter… rendez-vous sur

Psst, vous pouvez nous appeler Foliateam Grand Ouest maintenant !