5 critères pour choisir son Hébergeur de données sensibles à La Réunion

Temps de lecture estimé : 18 minutes

Afin de vous décharger des contraintes liées à la conservation des données de santé de votre structure, vous pensez à confier leur hébergement à un prestataire informatique. Avant de le choisir, apprenez-en plus sur les obligations légales liées aux données de santé.

Vous devez forcément prendre un sous-traitant qui est agréé HADS ou certifié HDS, sachant que cette certification est plus complète et exigeante que l'agrément. Pensez également à vérifier l'implantation de votre futur hébergeur ainsi que celle de ses serveurs. Il est plus avantageux pour vous que votre sous-traitant soit une entreprise française, idéalement avec une agence et des serveurs à La Réunion.

01. L'obligation de passer par un hébergeur spécifique
02. Le choix entre une entreprise agréée ou certifiée
03. La possibilité de suivre facilement l'évolution des hébergeurs certifiés
04. L'importance de la localisation du siège social
05. L'intérêt d'être à proximité des serveurs

01. L'obligation de passer par un hébergeur spécifique

Le caractère sensible des données de santé

Selon la CNIL (Commission Nationale de l'Informatique et des Libertés); les informations de santé appartiennent à la catégorie des données sensibles. Même si ces informations concernant la santé des patients existent depuis fort longtemps, leur véritable définition n'a été faite qu'en mai 2018, avec l'application du RGPD (Règlement sur la Protection des Données). Cette réglementation européenne spécifie que les données de santé regroupent plusieurs types d'informations comme :

• les informations permettant d'identifier de manière unique une personne à des fins de santé (numéro, symbole, etc.) ;
• les informations collectées suite à des examens ou des tests relatifs à une partie du corps ou à une substance corporelle (radiographies, analyses, données génétiques, échantillons biologiques, etc.) ;
• les informations relatives à une maladie, un état pathologique, un handicap, un traitement médical, un risque de maladie, des antécédents médicaux, etc.

Il est donc légalement interdit de recueillir et d'utiliser ces données sauf, notamment, si elles servent dans un but médical ou pour des activités de recherche médicale, sachant que dans tous les cas le patient concerné doit avoir donné son consentement de manière écrite, claire et explicite.

Le règlement applicable à l'hébergement des données de santé

Depuis l'application du RGPD, une nouvelle certification a été mise en place pour l'hébergement des données de santé : le certificat HDS (Hébergeur de Données de Santé). Cette certification reconnue au niveau international remplace en France l'agrément HADS (Hébergeur Agréé de Données de Santé), créé en 2006. Si vous souhaitez confier l'hébergement de vos données de santé à un prestataire, vous êtes donc dans l'obligation de choisir une société détenant l'agrément HADS ou la certification HDS.

02. Le choix entre une entreprise agréée ou certifiée

Légalement, les sociétés agréées HADS sont toujours autorisées à héberger des données de santé, jusqu'à ce que leur agrément expire et à condition qu'il ne soit ni suspendu ni retiré. Cependant, comme l'attribution des agréments a cessé en mars 2018 avec le début de la certification HDS, les sociétés agréées HADS vont bientôt devoir engager une procédure de certification car leur agrément a une durée maximale de 3 ans. Ainsi, si vous optez pour une entreprise qui est agréée mais pas certifiée, vous prenez le risque qu'elle n'obtienne pas sa certification dans les temps, ce qui impliquerait pour vous de devoir changer de prestataire.

De plus, la certification HDS a des avantages certains par rapport à l'agrément HADS :

• elle est obtenue suite au passage de deux audits (documentaire et sur site) réalisés par des organismes certificateurs indépendants alors que l'agrément HADS était délivré par le ministère de la Santé après avis consultatif de plusieurs organisations publiques concernant le dossier rempli par le demandeur ;
• elle est reconnue au niveau international, contrairement à l'agrément HADS ;
• elle se base sur plusieurs normes internationales (ISO 27001, ISO 20000:2011 et ISO 27018 :2014) ainsi que des exigences spécifiques à la santé.

03. La possibilité de suivre facilement l'évolution des hébergeurs certifiés

En plus d'attribuer le certificat HDS, les entreprises certificatrices sont aussi chargées d'informer régulièrement les organismes nationaux compétents. Ainsi, elles fournissent des rapports mensuels dans lesquels sont listées toutes les sociétés certifiées avec le périmètre d'activités concerné ainsi que les entreprises qui ont vu leur certificat temporairement suspendu ou même retiré définitivement. De plus, chaque attribution, suspension ou retrait de certificat HDS fait l'objet d'un rapport spécifique et détaillé.

En se basant sur ces informations, l'Agence du Numérique en Santé met à jour la liste des hébergeurs HDS figurant en accès libre sur son site internet. Cette liste vous permet non seulement de trouver un sous-traitant pour l'hébergement de vos données de santé mais elle vous est aussi utile pour vérifier que le certificat de votre prestataire est toujours valide.

04. L'importance de la localisationx du siège social

Vous devez vous informer sur l'emplacement du siège social de votre futur sous-traitant informatique. Choisir une entreprise française vous apportera plusieurs avantages :

• un contrat de droit français : si votre prestataire est installé en France comme vous, le contrat qui vous lie sera forcément de droit français. Cela simplifie la rédaction du contrat car il n'est pas nécessaire de réfléchir aux différentes législations applicables en cas de litige.
• des données protégées par les législations françaises et européennes : certains pays ont des lois très différentes de celles appliquées en Europe et en France concernant les protections de données personnelles. Par exemple, certaines grosses entreprises informatiques sont américaines. Si vous leur confiez les informations personnelles de vos patients, vous devez savoir qu'il peut leur être demandé de les donner à des organismes gouvernementaux d'enquête et d'investigation en vertu de l'application du « Cloud Act ». Dans ce cas, le fait que les serveurs soient physiquement installés à France métropolitaine ou à La Réunion ne modifie pas l'application de cette loi. De même, l'origine française des informations n'empêchera pas leur communication aux autorités américaines si elles le demandent.

05. L'intérêt d'être à proximité des serveurs

Si vous choisissez un hébergeur qui a une agence et des serveurs à La Réunion, ce sera bénéfique pour votre structure car :

• les relations avec votre sous-traitant sont simplifiées : en plus des habituelles communications par e-mail, vous pouvez également contacter votre prestataire par téléphone sans avoir à calculer le décalage horaire et vous avez même la possibilité de planifier des rendez-vous avec lui, dans vos locaux ou dans les siens.
• l'accès aux données de santé est optimisé : que vous soyez installé près de Saint-Denis, Saint-Pierre, Saint-Paul ou Sainte-Rose, vous profitez d'un temps de latence réduit car les serveurs seront proches de vous. Les flux d'information n'ont pas à parcourir des milliers de kilomètres avant d'arriver sur vos postes informatiques.
• le risque de perte ou de corruption est faible car les sites d' hébergement et d'utilisation des informations sont proches.
• l'assistance 24 h/24 et 7 j/7 est facilitée : avec des serveurs installés à La Réunion, vous bénéficiez d'un service client qui travaille avec les mêmes horaires que vous. Les collaborateurs ont la même langue maternelle que vous, ce qui peut être spécialement utile en cas de problème informatique urgent. Quant à l'assistance hors jours ouvrables, votre prestataire peut l'organiser avec des collaborateurs d'astreinte à La Réunion ou avec des employés installés dans ses agences de France métropolitaine.

Si la certification HDS est une obligation légale depuis le printemps 2018, c'est surtout une garantie de sécurité pour l'hébergement des données de santé. Grâce aux informations fournies par l'Agence du Numérique en Santé, vous pouvez facilement trouver une entreprise certifiée qui répond à vos attentes, notamment concernant sa localisation, de préférence en France avec une agence au plus près de votre structure, à La Réunion.

Vous souhaitez découvrir davantage sur l'hébergement de données de santé ? Écoutez notre podcast ! Notre expert Gauthier Thomas vous en dit plus sur la certification HDS ! Vous pouvez également consulter notre article spécialisé.