Goodflag, spécialisée dans les solutions de signature électronique, est certifiée Hébergeur de Données de Santé (HDS), renforçant ainsi la protection des données de santé personnelles qu'elle héberge dans ses systèmes d'information. Grâce à cette nouvelle version de la certification, Goodflag entend intégrer la signature électronique au sein des pratiques courantes du monde médical. Focus sur la certification HDS, sur les exigences qu'elle demande et sur l'importance de la digitalisation dans le secteur médical.
Qu’est-ce que la certification HDS ?
La certification HDS a pour vocation de renforcer la protection des données de santé à caractère personnel et de construire un environnement de confiance autour de l'eSanté et du suivi des patients. Elle s’appuie sur des référentiels incluant le respect de normes ISO et permet de délivrer une certification à toute structure hébergeant des données de santé sensibles, par un organisme indépendant accrédité.
Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes et par un référentiel strict. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les utilisations attendues.
Adapter les conditions de sécurité à la criticité des données
Il existe une défiance considérable des acteurs de la santé vis-à-vis du cloud et des solutions SaaS. Le principal point d'achoppement porte sur la sécurité des données de santé à caractère personnel. La certification Hébergeur de données de santé apporte une réponse structurante à cette problématique. En s'appuyant sur des référentiels incluant le respect de normes ISO (et ISO 20000 notamment), elle garantit un environnement de confiance pour l'eSanté et le suivi médical. Son aboutissement est la délivrance d'une certification.
Toutes les organisations publiques ou privées qui hébergent, exploitent les SI de santé, ou réalisent des sauvegardes pour le compte d'un établissement de santé ou d'un tiers de santé, doivent être certifiés HDS. Goodflag, déjà certifié ISO 27001, a obtenu la certification HDS en octobre 2023.
« Nous anticipons un fort développement de la signature électronique dans le domaine de la santé », indique François Devoret, fondateur et consultant senior de Goodflag. « La santé est encore au début de la signature électronique, à l'image du secteur de l'éducation, lui aussi en recherche de sécurité et de souveraineté. Cette certification constitue donc un important investissement pour nous, d'autant que nous sommes couverts sur les six activités de la certification :
-
la mise à disposition et le maintien en état opérationnel des sites physiques permettant d’héberger l’équipement matériel du système d’information utilisé pour le traitement des données de santé ;
-
la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
-
la mise à disposition et le maintien en état opérationnel de la plateforme d’hébergement d’applications du système d’information ;
-
la fourniture et le maintien en condition opérationnelle de l’équipement virtuel du système d’information utilisé pour le traitement des données de santé ;
-
l’administration et l’exploitation du système d’information contenant les données de santé;
-
la sauvegarde de données de santé.
C'est donc l'ensemble de notre plateforme de signature électronique qui répond aux critères de la certification HDS, l'infrastructure matérielle et la solution logicielle. »
Les pérmiètres de la certification HDS
Deux périmètres de certificats seront délivrés aux hébergeurs pour deux métiers d’hébergement distincts :
-
Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle
-
Un certificat « hébergeur infogéreur » pour les activités liées à l'équipement virtuel, la plateforme logicielle, d’administration/exploitation et de sauvegarde externalisée
La délivrance des certificats est faite suite à une procédure de certification des hébergeurs de données de santé.
La procédure de certification des hébergeurs de données de santé
La procédure de certification repose sur une évaluation de conformité au référentiel de certification. Le fournisseur de solution choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen), unique référence en France en matière d'accréditation. L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou 20000 déjà obtenues par l’hébergeur.
-
Audit documentaire : L’organisme certificateur réalise une revue documentaire du SI du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.
-
Audit sur site. Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.
L’hébergeur dispose ensuite de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée. Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.
L'importance de la digitalisation dans le secteur médical
Aujourd'hui, la transformation digitale des processus des établissements hospitaliers, des médecins et des laboratoires leur permet de disposer en temps réel d'informations médicales, de faciliter l'accès aux soins et de simplifier leur gestion interne.
Les défis de la transformation numérique dans le secteur de la santé
Le secteur de la santé est l'un des plus règlementés et des plus exigeants en termes de sécurité, les données traitées étant confidentielles et couvertes par le secret médical. Véritable obligation de discrétion professionnelle, le secret médical représente un droit fondamental pour le l'usager. Il incarne l'un des piliers de l'exercice de la médecine.
« Il n'y a pas de soins sans confidences, de confidences sans confiance, de confiance sans secret », soulignait Bernard Hoerni, professeur de cancérologie à l'université de Bordeaux II dans son ouvrage « Ethique et déontologie médicale ».
La certification hébergeurs assure ainsi des conditions de sécurité adaptées à la criticité des données, offrant aux usagers et professionnels de santé une confiance renforcée.
Non seulement le secteur de la santé est l'un des plus règlementés, mais il est également en pleine transformation digitale avec l'arrivée de nouveaux outils à destination des soignants, comme Mon Espace Santé, ou la réforme des GHT (Groupement Hospitalier de Territoire) qui impose aux établissements de se digitaliser et de trouver une nouvelle manière de fonctionner.
La signature électronique dans le secteur de la santé
Identification et collaboration simplifiées
Au-delà de la signature électronique, Goodflag propose aux établissements de santé un parapheur collaboratif. Ce parapheur offre la possibilité d'ouvrir un fil de discussion en marge du document à signer, afin d'y intégrer des questions, des commentaires, des suggestions, etc. Des échanges sont ainsi possibles entre professionnels / corps médical et le malade, en ne permettent en aucun cas de modifier le document.
Par ailleurs, la technologie Goodflag est compatible avec les différentes cartes à puce professionnelles CPS (Carte de Professionnel de Santé) et CPE(Carte de Personnel en Etablissement) utilisées dans ce secteur.
« Ces cartes professionnelles étant assimilées à une identité numérique, elles peuvent donc permettre aux professionnels de s'identifier facilement et de manière sécurisée sur notre plateforme de signature électronique », ajoute François Devoret.
En plus, Goodflag est référencée par différentes centrales d'achat :
-
L'UGAP, dédiée aux collectivités locales ;
-
La CAIH, pour la fonction hospitalière ;
-
Le RESAH, pour le secteur de la santé.
Vers une sobriété numérique
L'utilisation de la signature électronique permet également aux établissements de santé de s'inscrire dans une démarche plus vertueuse en termes de sobriété numérique. Aujourd'hui, trop de documents papier sont numérisés et transformés en fichiers PDF volumineux qui engorgent les messageries et les serveurs.
À cela, s'ajoutent tous les documents qui sont envoyés par courriel en pièces jointes, qu'il faut imprimer, signer, puis numériser pour les renvoyer de nouveau par courriel. Ce type d'échanges est à la fois lourd à gérer en back office, très consommateur en bande passante et constitue un véritable gaspillage écologique.
Avec la signature électronique, tout s'allège : plus besoin d'imprimer ni de scanner et l'empreinte carbone est réduite.
De nombreux cas d'usage à adresser
Si le monde de la santé tend à se digitaliser, pour l'heure, il fonctionne encore beaucoup avec des documents papier. Faute d'outil de signature électronique, de nombreux documents nativement numériques sont imprimés pour être signés manuellement. Ils sont ensuite numérisés pour être réintégrés au sein des progiciels métier.
Qu'il s'agisse des comptes-rendus médicaux, des fiches de liaison, des résultats d'analyse, des différents documents administratifs, des fiches d'enregistrement, des personnes à prévenir ou encore des formulaires de consentement libre et éclairé des patients, de nombreux cas d'usages sont envisageables et sont susceptibles de nourrir un parapheur électronique.
Focus sur le cas du consentement des patients
Le formulaire de consentement des patients constitue un vrai sujet pour les établissements hospitaliers. Il s'agit en général d'un document PDF à télécharger et à imprimer. Le patient doit impérativement le rapporter complété et signé le jour de son admission et remettre à l'infirmier(e) du service.
Nul doute que le processus gagnerait en simplicité et en efficacité en étant intégralement digitalisé, mais cela impliquerait l'usage d'une solution de signature électronique et la mise en place d'un circuit de validation. D'autant qu'un exemplaire du consentement doit être conservé dans le dossier médical du patient qui, lui, tend vers une dématérialisation complète. Le Code de la santé publique fixe à 20 ans la conservation du dossier médical pour les établissements de santé (excepté si le patient est décédé).
En conclusion, la nouvelle version de la certification HDS de Goodflag marque une étape importante vers la sécurisation et la modernisation des processus de gestion des données de santé. Les établissements de santé peuvent désormais bénéficier d'une solution de signature électronique conforme aux normes les plus strictes, tout en améliorant leur efficacité opérationnelle et l'expérience patient.
👉 Pour en savoir plus sur nos solutions et découvrir comment nous pouvons accompagner votre établissement.