En France, les Hébergeurs de Données de Santé jouent un rôle très important dans la gestion et le traitement des données de santé. Ils permettent aux organismes de santé de stocker des données considérées comme étant sensibles par la CNIL, tout en garantissant une confidentialité et un niveau de sécurité très élevé.
Comment fonctionnent donc les Hébergeurs des Données de Santé ? Et quels sont les enjeux liés à leur utilisation ? C’est ce que nous allons décrypter dans cet article en découvrant quelques éléments clés.
💼 Le terme HDS signifie « Hébergeur de Données de Santé ». C’est une qualification spécifique accordée aux organisations et professionnels de santé qui sont autorisés à héberger des données médicales personnelles.
En France, cette certification garantit que les données sont conservées avec le plus haut niveau de sécurité et de confidentialité, conformément aux réglementations nationales.
Mais, quelles données sont conservées par un HDS ? L’hébergeur de données de santé a la responsabilité de conserver les données sensibles des individus. Parmi ces données, nous retrouvons :
Les hébergeurs de données de santé disposent d’installations hautement sécurisées qui leur permettent d’héberger les serveurs et les équipements réseau. De plus, en termes de sécurité physique, les hébergeurs de données de santé disposent de caméras de surveillance et de systèmes de détection d’incendie pour qu’ils soient capables de protéger leurs équipements ainsi que les données qu’ils stockent.
En matière de sécurité du réseau, des mesures de sécurité sont mises en place, dans le cadre de protection des données personnelles en transit. Cela inclut l’utilisation de réseaux privés virtuels (VPN), de pare-feu, de chiffrement des données, etc. Des techniques qui permettent d’empêcher les intrusions et les cyberattaques.
Prenons le cas concrets de deux entreprises qui sont concernées par l’obligation d’héberger leurs données de santé sur un HDS et dont Dipeeo est leur référent à la CNIL et gère l’ensemble des sujets RGPD des deux startups :
👩⚕️ Docorga, l’un des principaux concurrents de Doctolib, propose une plateforme qui permet aux professionnels de santé de simplifier la gestion du parcours de soin de leurs patients et ce, depuis la demande de prise en charge, en passant par les différents outils de gestion de documents sécurisés, et en allant jusqu’à la facturation des actes. Tout ça sur une application sécurisée, qui prend en considération la protection de la vie privée des personnes concernées.
Docorga héberge les données de santé à caractère personnel qu’elle traite sur un HDS situé en France. Parmi les outils que la plateforme de santé propose :
De par son service de traitement de données de santé à caractère personnel, Docorga traite des données de santé, considérées comme étant sensibles par la CNIL. Chose qui nécessite une prise en considération des différentes règles sur l’hébergement de données de santé, prévues par la loi.
👨⚕️ Viabeez est une plateforme qui facilite la venue des professionnels de santé sur les lieux de travail et dans les collectivités. Selon eux, 59% des français renoncent aux soins par manque de temps et d’accès. Avec plus de 10 000 salariés qui bénéficient de leurs services santé, la plateforme propose :
Ce qui nécessite, également, une prise en considération des règles prévues par la loi en matière d’hébergement de données de santé à caractère personnel.
📋 La norme HDS s’applique aux organismes qui hébergent des données de santé, c’est-à-dire des informations sensibles concernant la santé physique ou mentale d’un individu. Selon l’article L. 1111-8 du code de la santé publique, « sont concernés tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) qui produisent les données mentionnées dans le cadre de leurs activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ».
En pratique, cela signifie que toute personne ou organisme qui produit des données de santé dans le cadre de ses activités de soins ou de suivi médico-social peut être concerné par la norme HDS. Cela inclut par exemple :
🔥 La certification HDS est un point clé dans le renforcement de la protection des données de santé. Elle impose aux hébergeurs de remplir des conditions spécifiques pour obtenir l’autorisation d’héberger des données de santé à caractère personnel. La conformité et la traçabilité des données sont cruciales, contribuant à créer un environnement sécurisé pour le stockage de telles informations sensibles.
Les serveurs HDS nécessitent une certification HDS, qui joue un rôle clé dans la garantie de la sécurité de l’hébergement des données de santé. Elle doit remplir certaines conditions : authentification renforcée, test d’intrusion, formulaires de consentement, etc.
Pour obtenir une certification HDS, il est nécessaire de se conformer à un ensemble de normes et de processus stricts. Ces critères garantissent que l’entité est parfaitement équipée pour gérer, stocker et protéger les données de santé.
La certification implique une évaluation minutieuse par des organismes indépendants agréés. Ces audits vérifient non seulement la robustesse des infrastructures techniques, mais aussi la formation des employés, les procédures internes et les mesures de sécurité mises en place. Une fois la certification HDS obtenue, des contrôles réguliers sont effectués pour s’assurer que les normes sont toujours respectées.
👀 En optant pour un hébergeur de données de santé, les organismes médicaux peuvent accéder à des solutions technologiques avancées, comme le Cloud HDS, qui offre de la flexibilité et de l’évolution tout en assurant une sécurité optimale. En effet, la certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services Cloud qui hébergent les données de santé personnelles régies par les lois françaises et collectées pour fournir des services de prévention, diagnostic, et autres services de santé. La réglementation HDS a été émise par ASIP SANTÉ qui est responsable de la promotion des solutions de santé électroniques en France.
Google, Microsoft et AWS ont notamment obtenu la certification d’hébergeur de données de santé :
Pour Google Cloud, « cela ouvre entre autres la possibilité de diagnostics meilleurs et plus rapides via l’intelligence artificielle, une meilleure collaboration entre médecins pour un suivi plus adapté des patients, ou encore des puissances de calcul bien supérieures pour une recherche plus performante, tout en respectant le caractère privé et nécessairement sécurisé des données de santé”, explique Eric Haddad, ancien directeur général de Google Cloud France.
Selon Microsoft, la certification HDS permet aux prestataires de santé en France d’utiliser les services de cloud computing Microsoft pour réduire les coûts en améliorant l’efficacité clinique et opérationnelle, et ouvre la porte au développement de solutions innovantes de pointe pour la santé. Les fournisseurs peuvent développer des applications intelligentes ou utiliser des applications tierces hébergées sur Azure pour implémenter des analyses prédictives servant à personnaliser les soins de santé, évaluer et traiter les patients à distance (télémédecine), et améliorer la supervision de médicaments thérapeutiques.
Quant à AWS (Amazon Web Services), l’obtention de la certification HDS démontre qu’AWS fournit un cadre pour les mesures techniques et de gouvernance visant à sécuriser et à protéger les données personnelles sur la santé, régi par le droit français. Les solutions d’AWS et de ses partenaires permettent de relever les principaux défis IT du secteur de la santé, afin que les organisations des soins de santé opèrent en toute sécurité dans un secteur mondial très réglementé.
Il est crucial de souligner les conséquences d’une non-certification. Les sanctions peuvent inclure des amendes et d’autres mesures légales, soulignant l’importance cruciale de respecter les normes de certification HDS.
Découvrez dès maintenant le guide pratique dédié au secteur de la santé aborde les enjeux spécifiques et les actions importantes à mener pour se conformer au RGPD.
Un questionnaire de 40 min pour alimenter votre DPO dédié.
Une mise en œuvre rapide, pour une conformité totale.
Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.
Dipeeo prend la responsabilité de votre conformité RGPD.
Dipeeo réalise tous les livrables nécessaires à votre conformité.
Forfait mensuel tout inclus. Aucun devis complémentaire.
Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.
Ou appelez nous directement au
+33 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.