Hébergeur de Données de Santé

Hébergeur de Données de Santé (HDS) : les points clés à connaître

En France, les Hébergeurs de Données de Santé jouent un rôle très important dans la gestion et le traitement des données de santé. Ils permettent aux organismes de santé de stocker des données considérées comme étant sensibles par la CNIL, tout en garantissant une confidentialité et un niveau de sécurité très élevé.

Comment fonctionnent donc les Hébergeurs des Données de Santé ? Et quels sont les enjeux liés à leur utilisation ? C’est ce que nous allons décrypter dans cet article en découvrant quelques éléments clés.

Que signifie “HDS” ?

💼 Le terme HDS signifie « Hébergeur de Données de Santé». C’est une qualification spécifique accordée aux organisations et professionnels de santé qui sont autorisés à héberger des données médicales personnelles.

En France, cette certification garantit que les données sont conservées avec le plus haut niveau de sécurité et de confidentialité, conformément aux réglementations nationales.

Mais, quelles données sont conservées par un HDS ? L’hébergeur de données de santé a la responsabilité de conserver les données sensibles des individus. Parmi ces données, nous retrouvons :

  • Les dossiers médicaux électroniques
  • L’imagerie médicale
  • Les ordonnances médicales
  • Les résultats d’examens médicaux
  • Etc.

Les hébergeurs de données de santé disposent d’installations hautement sécurisées qui leur permettent d’héberger les serveurs et les équipements réseau. De plus, en termes de sécurité physique, les hébergeurs de données de santé disposent de caméras de surveillance et de systèmes de détection d’incendie pour qu’ils soient capables de protéger leurs équipements ainsi que les données qu’ils stockent. 

En matière de sécurité du réseau, des mesures de sécurité sont mises en place, dans le cadre de protection des données personnelles en transit. Cela inclut l’utilisation de réseaux privés virtuels (VPN), de pare-feu, de chiffrement des données, etc. Des techniques qui permettent d’empêcher les intrusions et les cyberattaques.

Prenons le cas concrets de deux entreprises qui sont concernées par l’obligation d’héberger leurs données de santé sur un HDS et dont Dipeeo est leur référent à la CNIL et gère l’ensemble des sujets RGPD des deux startups : 

👩‍⚕️ Docorga, l’un des principaux concurrents de Doctolib, propose une plateforme qui permet aux professionnels de santé de simplifier la gestion du parcours de soin de leurs patients et ce, depuis la demande de prise en charge, en passant par les différents outils de gestion de documents sécurisés, et en allant jusqu’à la facturation des actes. Tout ça sur une application sécurisée, qui prend en considération la protection de la vie privée des personnes concernées. 

Docorga héberge les données de santé à caractère personnel qu’elle traite sur un HDS situé en France. Parmi les outils que la plateforme de santé propose :

  • Une messagerie sécurisée qui permet d’échanger des fichiers sensibles en toute sécurité ;
  • Des fiches patients qui permettent de personnaliser la prise en charge des patients et d’y mettre des observations ;
  • Des notes et rappels pour diminuer le nombre de consultations oubliées par les patients en leur envoyant des notifications de rappel par SMS.

De par son service de traitement de données de santé à caractère personnel, Docorga traite des données de santé, considérées comme étant sensibles par la CNIL. Chose qui nécessite une prise en considération des différentes règles sur l’hébergement de données de santé, prévues par la loi.

👨‍⚕️ Viabeez est une plateforme qui facilite la venue des professionnels de santé sur les lieux de travail et dans les collectivités. Selon eux, 59% des français renoncent aux soins par manque de temps et d’accès. Avec plus de 10 000 salariés qui bénéficient de leurs services santé, la plateforme propose : 

  • Un outil de prise de rendez-vous simple et automatisé pour vos collaborateurs
  • Accès aux spécialités les plus recherchées des Français ;
  • Une meilleure prise en charge de la santé de vos salariés.

Ce qui nécessite, également, une prise en considération des règles prévues par la loi en matière d’hébergement de données de santé à caractère personnel.

Qui est concerné par la certification Hébergeurs de Données de Santé (HDS) ?

📋 La norme HDS s’applique aux organismes qui hébergent des données de santé, c’est-à-dire des informations sensibles concernant la santé physique ou mentale d’un individu. Selon l’article L. 1111-8 du code de la santé publique, « sont concernés tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) qui produisent les données mentionnées dans le cadre de leurs activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ».

En pratique, cela signifie que toute personne ou organisme qui produit des données de santé dans le cadre de ses activités de soins ou de suivi médico-social peut être concerné par la norme HDS. Cela inclut par exemple :

  • Les médecins généralistes et spécialistes, infirmiers, kinésithérapeutes, pharmaciens, etc.
  • Les hôpitaux, cliniques, centres de santé, etc.
  • Les laboratoires d’analyses médicales
  • Les centres de soins et d’aide à la personne
  • Les organismes de protection sociale (sécurité sociale, mutuelles, etc.)

Qu’est-ce que la certification HDS ?

🔥 La certification HDS est un point clé dans le renforcement de la protection des données de santé. Elle impose aux hébergeurs de remplir des conditions spécifiques pour obtenir l’autorisation d’héberger des données de santé à caractère personnel. La conformité et la traçabilité des données sont cruciales, contribuant à créer un environnement sécurisé pour le stockage de telles informations sensibles.

Les serveurs HDS nécessitent une certification HDS, qui joue un rôle clé dans la garantie de la sécurité de l’hébergement des données de santé. Elle doit remplir certaines conditions : authentification renforcée, test d’intrusion, formulaires de consentement, etc.

Pour obtenir une certification HDS, il est nécessaire de se conformer à un ensemble de normes et de processus stricts. Ces critères garantissent que l’entité est parfaitement équipée pour gérer, stocker et protéger les données de santé.

La certification implique une évaluation minutieuse par des organismes indépendants agréés. Ces audits vérifient non seulement la robustesse des infrastructures techniques, mais aussi la formation des employés, les procédures internes et les mesures de sécurité mises en place. Une fois la certification HDS obtenue, des contrôles réguliers sont effectués pour s’assurer que les normes sont toujours respectées.

La certification HDS permet aux prestataires de santé en France d’utiliser les services du Cloud

👀 En optant pour un hébergeur de données de santé, les organismes médicaux peuvent accéder à des solutions technologiques avancées, comme le Cloud HDS, qui offre de la flexibilité et de l’évolution tout en assurant une sécurité optimale. En effet, la certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services Cloud qui hébergent les données de santé personnelles régies par les lois françaises et collectées pour fournir des services de prévention, diagnostic, et autres services de santé. La réglementation HDS a été émise par ASIP SANTÉ qui est responsable de la promotion des solutions de santé électroniques en France.

Google, Microsoft et AWS ont notamment obtenu la certification d’hébergeur de données de santé : 

Pour Google Cloud, « cela ouvre entre autres la possibilité de diagnostics meilleurs et plus rapides via l’intelligence artificielle, une meilleure collaboration entre médecins pour un suivi plus adapté des patients, ou encore des puissances de calcul bien supérieures pour une recherche plus performante, tout en respectant le caractère privé et nécessairement sécurisé des données de santé”, explique Eric Haddad, ancien directeur général de Google Cloud France.

Selon Microsoft, la certification HDS permet aux prestataires de santé en France d’utiliser les services de cloud computing Microsoft pour réduire les coûts en améliorant l’efficacité clinique et opérationnelle, et ouvre la porte au développement de solutions innovantes de pointe pour la santé. Les fournisseurs peuvent développer des applications intelligentes ou utiliser des applications tierces hébergées sur Azure pour implémenter des analyses prédictives servant à personnaliser les soins de santé, évaluer et traiter les patients à distance (télémédecine), et améliorer la supervision de médicaments thérapeutiques.

Quant à AWS (Amazon Web Services), l’obtention de la certification HDS démontre qu’AWS fournit un cadre pour les mesures techniques et de gouvernance visant à sécuriser et à protéger les données personnelles sur la santé, régi par le droit français. Les solutions d’AWS et de ses partenaires permettent de relever les principaux défis IT du secteur de la santé, afin que les organisations des soins de santé opèrent en toute sécurité dans un secteur mondial très réglementé.

Les éventuelles sanctions si l'hébergeur est non certifié

Il est crucial de souligner les conséquences d’une non-certification. Les sanctions peuvent inclure des amendes et d’autres mesures légales, soulignant l’importance cruciale de respecter les normes de certification HDS.

Découvrez dès maintenant le guide pratique dédié au secteur de la santé aborde les enjeux spécifiques et les actions importantes à mener pour se conformer au RGPD.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Lire la vidéo sur Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.