Clémence Nabet
Clémence Nabet
Business Developer @ Galadrim
17 nov. 2021, Business

Quel hébergeur choisir pour mes données de santé ?

Les questions autour des données de santé sont particulièrement présentes depuis l'annonce par le gouvernement du projet Health Data Hub (HDH) qui vise à garantir un accès unifié aux données de santé afin d'améliorer la qualité des soins et l'accompagnement des patients.

Cela a généré un intérêt accru de prestataires externes souhaitant être référencés sur l'HDH et de nombreux questionnements sur la position à adopter vis-à-vis des données de santé.

Qu'est-ce qu'une donnée de santé ?

Le règlement européen sur la protection des données personnelles (RGPD) fournit une définition très large des données de santé :

"Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne."

Afin de mieux définir le périmètre relatif aux données de santé, nous pouvons observer trois catégories de données :

  1. Les données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.)

  2. Les données qui le sont via un croisement avec d'autres données permettant de déduire l'état de santé d'un individu (par exemple le poids d'une personne pouvant le placer dans un risque d'obésité)

  3. Les données de santé en raison de leur destination sur un plan médical (par exemple la transmission d'une ordonnance)

Nous pouvons donc noter que la notion de données de santé est très large et doit être appréciée au cas par cas : en fonction de la nature des données, des croisements réalisés et des conclusions qui peuvent être tirées.

Quelles sont les obligations à respecter pour l'hébergement de ces données ?

Une application web ou mobile utilisant des données de santé doit obligatoirement être hébergée chez des prestataires possédant la certification "Hébergeurs de Données de Santé" (HDS).

Les deux hébergeurs internationaux les plus importants sont Amazon Web Service (AWS) et Microsoft Azure ainsi qu'OVH au niveau français. Mais il existe beaucoup d'autres prestataires d'hébergements en France qui possèdent la certification comme Pictime Group, Ozytem, Cyllene, etc.

Cependant, une surveillance accrue est tournée vers les hébergeurs américains. En juillet 2021, la Cour de Justice de l'Union Européenne (CJUE) a rendu une décision historique invalidant le Privacy Shield :

"Accord dans le domaine du droit de la protection des données personnelles, qui a été négocié entre 2015 et 2016 entre l'Union européenne et les États-Unis d'Amérique"

Selon la Cour, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines de données transférées depuis l’Union Européenne ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union.

En quoi est-ce que cette décision peut impacter le choix d'un HDS ?

La CNIL avait déjà fait part de ses réserves sur le choix de Microsoft Azure pour l'hébergement du Health Data Hub.

Il serait possible d'en déduire que, même si des interdictions ne rentrent pas en vigueur pour le choix d'un hébergeur américain, une attention accrue sera portée à la gestion des flux de ces données sensibles et nous pourrions possiblement observer de nouvelles réglementations dans les prochains mois.

Quels sont les éléments principaux à surveiller ?

Si vous deviez choisir un hébergeur non-français, il est conseillé d'identifier si des transferts de données personnelles hors de l'Union Européenne peuvent être mis en place (pour des raisons de maintenance de serveurs par exemple).

Si c'est le cas, il faut vérifier la légalité de ces transferts dans des pays tierce d'un point de vue de respect de la RGPD. Cette partie doit normalement être analysée par l'organisme procédant au transfert mais il faut y prêter attention lors de la mise en place du contrat d'hébergement.

Vous souhaitez être accompagné pour lancer votre projet digital ?
Déposez votre projet dès maintenant
Clémence Nabet
Clémence Nabet
Business Developer @ Galadrim
Business
Le guide complet de l’A/B testing
Business
Comment Galadrim réalise son bilan carbone
Business
5 étapes pour créer sa roadmap produit
23 mars 2020, Business
Créer son application mobile en React Native
Instagram, Bloomberg, UberEats, Facebook, Walmart, Skype ou encore Tesla : de nombreuses entreprises ont fait le choix d’utiliser React ...
Gautier Mulak
Gautier Mulak
Business Developer @ Galadrim
13 avr. 2023, Business
Trois livres à lire sur la méthodologie agile et la place de l’utilisateur final dans le processus créatif
En 2011, l’entreprise Color fait sensation en levant 41 millions de dollars en Serie A auprès de fonds prestigieux comme ...
Fanny Dorisse
Fanny Dorisse
Head of Customer Success @ Galadrim
18 mars 2022, Business
Comment avoir un bon SEO ?
Le SEO, pour Search Engine Optimization, désigne toutes les actions mises en place pour améliorer le trafic organique de ...
Nicolas Teste
Nicolas Teste
Business Developer & Product Manager @ Galadrim
galadrim.
Paris
25 boulevard de Bonne Nouvelle
75002 Paris, France
09 54 23 43 72
Nantes
10 rue Voltaire
44000 Nantes, France
09 75 92 70 62

Bilan carbone 🌳
Le groupe Galadrim
Mentions légales