Comment une HealthTech peut-elle choisir son hébergeur HDS ?

Votre start-up se lance dans le secteur de la santé. Attention, plusieurs points de vigilance sont à prendre en compte vis-à-vis de votre gestion des données.

Une donnée de santé fait référence à toute information liée à la santé d’une personne, qu’elle soit physique, mentale ou sociale. Elle peut inclure des informations médicales, des données cliniques, des informations sur les traitements, des antécédents médicaux, des résultats de tests, des images médicales, des informations sur les allergies, les médicaments pris, les diagnostics, etc.

Les données de santé sont des informations sensibles et confidentielles, car elles révèlent des détails personnels sur la santé d’une personne. Par conséquent, leur collecte, leur stockage, leur utilisation et leur partage sont généralement réglementés pour garantir la confidentialité et la protection de la vie privée des individus.

En France, elles doivent être stockées dans un environnement (hébergeur traditionnel ou Cloud Provider)  certifié HDS (hébergement de données de santé). Voyons ensemble de quoi il s’agit.

Qu’est-ce qu’un hébergeur de données de santé (HDS) ?

Un hébergeur de données de santé est une entité ou une entreprise qui fournit des services d’hébergement et de gestion des données de santé. Il s’agit généralement d’entreprises spécialisées dans le stockage sécurisé et la gestion des données médicales et de santé, conformément aux réglementations et aux normes de sécurité en vigueur.

En France, il existe plusieurs hébergeurs de données de santé qui se conforment aux réglementations en matière de protection des données médicales.

Quelles sont les obligations d’un HDS en France ?

En France, un hébergeur de données de santé (HDS) est soumis à des obligations légales et réglementaires strictes. Voici les principales obligations auxquelles un HDS doit se conformer :

Agrément HDS : Un HDS doit obtenir un agrément délivré par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé). Cet agrément atteste que l’hébergeur respecte les exigences techniques et organisationnelles définies par l’ASIP Santé.

Sécurité et confidentialité : Un HDS est tenu de mettre en place des mesures de sécurité appropriées pour protéger les données de santé hébergées. Cela comprend la mise en œuvre de contrôles d’accès, la cryptographie, la surveillance des systèmes, la sauvegarde régulière des données, etc. La confidentialité des données doit également être garantie, empêchant tout accès non autorisé ou toute divulgation indue des informations.

Conformité réglementaire : Un HDS doit se conformer aux réglementations en vigueur, notamment la Loi Informatique et Libertés, le Règlement Général sur la Protection des Données (RGPD), la loi française sur la protection des données de santé (Loi « Informatique et Libertés » modifiée), ainsi que les recommandations de l’ASIP Santé.

Traçabilité et auditabilité : Un HDS doit mettre en place des mécanismes de traçabilité et d’audit permettant de suivre les accès aux données, les opérations effectuées et les éventuelles violations de sécurité. Ces informations doivent être conservées et être disponibles en cas de contrôle ou d’audit.

Sauvegarde et archivage : Un HDS doit assurer la sauvegarde régulière des données de santé et la mise en place d’un plan de continuité d’activité en cas de sinistre. De plus, il est généralement responsable de l’archivage des données conformément aux durées légales de conservation.

Formation du personnel : Un HDS doit former son personnel sur les bonnes pratiques de sécurité, la confidentialité des données et les obligations légales liées à la protection des données de santé.

Ces obligations visent à garantir la sécurité, la confidentialité et l’intégrité des données de santé hébergées, ainsi que le respect des droits des patients et des réglementations en matière de protection des données. Les HDS sont régulièrement soumis à des audits pour vérifier leur conformité aux exigences en vigueur.

À propos d’AWS et de sa certification HDS

Amazon Web Services (AWS) propose également des services d’hébergement de données de santé (HDS) en France à travers son programme AWS Healthcare Competency Program. Il offre des solutions d’hébergement et de gestion des données de santé conformes aux réglementations en vigueur.

AWS propose une infrastructure cloud sécurisée et fiable pour l’hébergement des données de santé. Ils offrent des services tels que le stockage sécurisé des données, la mise en place de contrôles d’accès, la gestion des identités et des accès, ainsi que des fonctionnalités de chiffrement des données. De plus, AWS fournit des garanties en matière de conformité, notamment en respectant les exigences du Règlement Général sur la Protection des Données (RGPD) et de la norme ISO 27001.

Pour être en conformité avec les réglementations françaises, AWS propose des centres de données en France (région AWS Europe Paris). Ces centres de données sont situés en France et permettent aux clients d’héberger leurs données de santé sur le territoire français, répondant ainsi aux exigences de localisation des données.

AWS s’adapte à toutes les recommandations locales en matière de protection des données (RGPD en Europe, HIPAA aux USA, etc).

Comment la confidentialité des données de santé est-elle gérée chez AWS ?

AWS accorde une grande importance à la confidentialité des données, y compris celles liées aux données de santé. Ils ont mis en place des mesures de sécurité et des pratiques spécifiques pour garantir la confidentialité des données hébergées sur leur plateforme. Voici quelques éléments clés de la gestion de la confidentialité des données de santé chez AWS :

Contrôles d’accès : AWS propose des fonctionnalités robustes de gestion des identités et des accès pour contrôler l’accès aux données de santé. Cela inclut l’attribution de privilèges d’accès basés sur les rôles, l’authentification à deux facteurs, la gestion des clés d’accès, et la possibilité de définir des politiques de sécurité spécifiques pour les ressources AWS.

Chiffrement des données : AWS offre des services de chiffrement puissants pour protéger les données de santé. Ils permettent le chiffrement au repos (stockage) et en transit (transfert de données) à l’aide de mécanismes de chiffrement standard, tels que le chiffrement AES-256. AWS offre également des services de gestion des clés pour sécuriser les clés de chiffrement.

Séparation logique des données : AWS utilise une infrastructure cloud partagée, mais ils assurent une séparation logique des données entre les clients grâce à des mécanismes de virtualisation et d’isolation. Cela garantit que les données de santé d’un client sont strictement séparées et isolées des autres clients.

Conformité réglementaire : AWS se conforme aux réglementations de protection des données, notamment le Règlement Général sur la Protection des Données (RGPD), la loi HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis, et d’autres réglementations spécifiques au secteur de la santé. AWS fournit des garanties de conformité et met à disposition des documents d’audit et des attestations de conformité.

Sécurité physique : AWS met en place des mesures de sécurité physique pour protéger les centres de données où les données sont stockées. Ces mesures comprennent la surveillance vidéo, l’accès contrôlé, les systèmes d’extinction d’incendie, la protection contre les intrusions, etc.

Comment être conforme facilement avec la solution BAM Orchestrator by Premaccess

Il est important de noter que la responsabilité de la sécurité des données de santé est partagée entre AWS en tant que fournisseur de services cloud et les clients qui utilisent les services AWS. Les clients sont responsables de la configuration correcte des services, de la gestion des accès et des autorisations, et de la protection de leurs applications et systèmes utilisant les services AWS.

Nos clients dans la santé assurent leur conformité grâce à notre expertise dans ce secteur et notre solution BAM Orchestrator. Nativement, notre solution facilite la mise en conformité des infrastructures, en prenant en compte les normes et réglementations, notamment dans le secteur de la santé.