galadrim.MéthodeÉquipeRéférencesBlogJobs 4ContactContact

Quel hébergeur choisir pour mes données de santé ?

Les questions autour des données de santé sont particulièrement présentes depuis l'annonce par le gouvernement du projet Health Data Hub (HDH) qui vise à garantir un accès unifié aux données de santé afin d'améliorer la qualité des soins et l'accompagnement des patients.

Cela a généré un intérêt accru de prestataires externes souhaitant être référencés sur l'HDH et de nombreux questionnements sur la position à adopter vis-à-vis des données de santé.

Qu'est-ce qu'une donnée de santé ?

Le règlement européen sur la protection des données personnelles (RGPD) fournit une définition très large des données de santé :

"Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne."

Afin de mieux définir le périmètre relatif aux données de santé, nous pouvons observer trois catégories de données :

  1. Les données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.)

  2. Les données qui le sont via un croisement avec d'autres données permettant de déduire l'état de santé d'un individu (par exemple le poids d'une personne pouvant le placer dans un risque d'obésité)

  3. Les données de santé en raison de leur destination sur un plan médical (par exemple la transmission d'une ordonnance)

Nous pouvons donc noter que la notion de données de santé est très large et doit être appréciée au cas par cas : en fonction de la nature des données, des croisements réalisés et des conclusions qui peuvent être tirées.

Quelles sont les obligations à respecter pour l'hébergement de ces données ?

Une application web ou mobile utilisant des données de santé doit obligatoirement être hébergée chez des prestataires possédant la certification "Hébergeurs de Données de Santé" (HDS).

Les deux hébergeurs internationaux les plus importants sont Amazon Web Service (AWS) et Microsoft Azure ainsi qu'OVH au niveau français. Mais il existe beaucoup d'autres prestataires d'hébergements en France qui possèdent la certification comme Pictime Group, Ozytem, Cyllene, etc.

Cependant, une surveillance accrue est tournée vers les hébergeurs américains. En juillet 2021, la Cour de Justice de l'Union Européenne (CJUE) a rendu une décision historique invalidant le Privacy Shield :

"Accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis d'Amérique"

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines de données transférées depuis l’Union Européenne ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union.

En quoi est-ce que cette décision peut impacter le choix d'un HDS ?

La CNIL avait déjà fait part de ses réserves sur le choix de Microsoft Azure pour l'hébergement du Health Data Hub.

Il serait possible d'en déduire que, même si des interdictions ne rentrent pas en vigueur pour le choix d'un hébergeur américain, une attention accrue sera portée à la gestion des flux de ces données sensibles et nous pourrions possiblement observer de nouvelles réglementations dans les prochains mois.

Quels sont les éléments principaux à surveiller ?

Si vous deviez choisir un hébergeur non-français, il est conseillé d'identifier si des transferts de données personnelles hors de l'Union Européenne peuvent être mis en place (pour des raisons de maintenance de serveurs par exemple).

Si c'est le cas, il faut vérifier la légalité de ces transferts dans des pays tierce d'un point de vue de respect de la RGPD. Cette partie doit normalement être analysée par l'organisme procédant au transfert mais il faut y prêter attention lors de la mise en place du contrat d'hébergement.

Gestion de données globales sur une application React : Redux VS Context API
Parmi les multiples frameworks JavaScript disponibles dans l'écosystème du développement web, React fait partie des solutions ...
Damien Deredec
Damien Deredec
Full-Stack Developer @ Galadrim
Ce qu’il faut savoir sur les CMS headless
Les CMS (Content Management System ou systèmes de gestion des contenus) désignent les logiciels destinés à concevoir, mettre ...
Orianne Brion
Orianne Brion
Business Developer @ Galadrim
Qu'est-ce qu'un MVP ?
MVP signifie Minimum Viable Product.Un MVP a pour objectif de tester votre solution sur le marché. En effet, si vous vous ...
Orianne Brion
Orianne Brion
Business Developer @ Galadrim