Dolibarr et Hébergement Des Données De Santé (HDS)

Résumé

Dans certains pays, comme en France, si vous faites héberger des données informatique de Santé, vous êtes tenu de respecter certaines règles. La norme HDS en France a été créée pour définir ces règles.


Définition

Le code de santé publique impose, depuis le 1er janvier 2019, d’être certifié HDS (Hébergeur de Données de Santé) à "toute personne (physique ou morale) qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social , pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même" (article L.1111-8 du code de la santé publique).

Il existe 6 niveaux de de certification HDS. Chaque niveau répond à un périmètre d'opération sur l'hébergement, qu'on appelle Activité.

On notera que l’application n’est pas dans le périmètre de l’hébergeur (excepté pour sa partie sauvegardes externalisées), mais bien du client qui devra s’engager à respecter la PGSSI-S (Politique Générale de Sécurité des Systèmes d’information de Santé). L’application ne nécessite pas d’être certifiée ou contrôlée par un tiers indépendant.

Tableau des activités

 

Crédit du graphique: Almond Consulting - https://almond.consulting/blog/le-referentiel-hds-source-dinspiration-pour-des-si-conformes-au-rgpd/

Suis-je soumis au HDS

Il faut d'abord savoir que la norme HDS ne s'applique que si vous faites sous-traiter l'hébergement, traitement ou stockage de vos données à une société Tiers. Le sous traitant doit posséder le niveau HDS en rapport avec la mission qui lui ait confié, et uniquement celle-ci !

Exemples:

  • Si vous installez vous-même un Dolibarr qui contiendra des données de Santé, sur votre propre serveur dans vos locaux, vous assurez les sauvegardes et l'administration vous même. Aucun prestataire tiers n'est donc impliqué. Vous n'êtes pas soumis aux exigences HDS.
  • Si vous installez vous même un Dolibarr qui contiendra des données de Santé, sur un serveur hébergé par un autre prestataire (ce dernier s'occupant du matériel, du maintien en condition opérationnel de la plateforme de virtualisation ou du système d'exploitation, donc niveau 1 à 4), et que vous assurez vous-même l'administration du Dolibarr (installation et sauvegardes, donc niveau 5 et 6). Il vous faudra un hébergeur ayant la norme HDS 1,2,3,4. Le 5 et 6 ne sera pas nécessaire car, administrant vous même le logiciel, vous ne confiez pas la tâche d'administration à un Tiers. Vous pouvez donc, par exemple, héberger votre Dolibarr chez OVH en prenant l'option serveurs HDS par exemple (L'offre OVH HDS répondant à la norme HDS des niveaux requis).

Note: Si vos sauvegardes sont assurées et stockées par des outils de l'hébergeur (exemple la fonction "Backup Storage/Instance" de l'hébergeur OVH), vos sauvegardes (niveau 6) sont alors assurées par l'hébergeur, celui devra alors aussi être niveau 6 (L'offre OVH HDS répondant aussi à la norme HDS de niveau 6, le choix OVH reste possible).

  • Si par contre la totalité de la fonction d'hébergement est sous traité à un prestataire P1, y compris l'administration de la base de données (donc le niveau 5), ce prestataire P1 devra alors avoir tous les niveaux HDS.

Cas de sous-traitant faisant lui même de la sous-traitance:

Prenons le dernier exemple ou la totalité de la fonction d'hébergement est sous-traité à un prestataire P1. Si ce prestataire P1 sous-traite lui même à un autre sous traitant P2 certaines activités, son sous-traitant P2 devra avoir les niveaux des opérations qui lui sont confiées par P1, et P1 devra obtenir directement les niveaux manquant (ceux pour les activités qu'il réalise lui même directement pour vous). Au final, P1 aura donc, de votre point de vue de client, l'ensemble des niveaux HDS (celles héritées de son sous-traitant P2, et celles acquises en propre par P1).

Le cas du niveau 5

Les hébergeurs assurant rarement l'administration de la base de données de l'application, ils possèdent le plus souvent uniquement les niveaux 1,2,3,4 et parfois 6, mais pas toujours le niveau 5.
Et les sous traitant intermédiaires n'ont souvent pas la possibilité d'obtenir ce niveau tant la procédure et règles pour l'obtenir sont à la fois obscurs et complexes.

Si vous êtes un organisme de Santé et que vous assurez l'activité 5 vous même (c'est à dire que vous installez l'application et sa base de données vous même et en êtes responsable, via un service informatique interne ou de par vos propres connaissances techniques), aucun souci, vous n'êtes pas tenu d'avoir un sous-traitant ayant ce niveau 5 et vous pouvez choisir un hébergeur de niveau 1,2,3,4, voir 6 si vous ne réalisez pas vous même les sauvegardes.

Mais si vous désirez sous-traiter le niveau d'activité 5 également (c'est à dire que vous n'installez PAS l'application et sa base de données vous même), il vous faut obtenir un prestataire qui possède ce niveau 5. Ce qui est souvent problématique et parfois même bloquant, mettant les directeurs informatiques dans des situations parfois aberrantes, laissant penser que cette loi ou norme devrait être revue. La page suivante présente une démonstration intéressante du problème de ce niveau 5 et comment certains se débloquent par des astuces juridiques: https://www.dsih.fr/article/4780/certification-hds-quelle-approche-de-l-activite-5.html