Hébergement de données de santé (HDS) France
À propos de HDS
La certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services Cloud qui hébergent les données de santé personnelles régies par les lois françaises et collectées pour fournir des services de prévention, diagnostic, et autres services de santé. La réglementation HDS a été émise par ASIP SANTÉ qui, sous l'égide du ministère français de la Santé, est responsable de la promotion des solutions de santé électroniques en France.
L'hébergement des données relatives à la santé est régi par la loi Française stipulée par le Code de la Santé Publique Français (Article L.1111-8), qui stipule que tout organisme de santé (hôpitaux, entreprises pharmaceutiques, laboratoires) qui gère des données médicales personnelles doit utiliser un fournisseur de services certifié HDS. En avril 2018, les nouveaux articles R1111-8-8 à R1111-11 du Code de la santé publique sont entrés en vigueur, modifiant la procédure d'accréditation d'une autorisation du ministère français de la Santé à une certification par un organisme autorisé tel que BSI.
La certification HDS exige que les fournisseurs de services adoptent des mesures qui assurent la sécurité, la confidentialité et l'accessibilité des données personnelles sur la santé pour les patients. Ces mesures incluent des procédures d’authentification et d’autorisation puissantes, des systèmes de sauvegarde fiables et de puissantes méthodes de chiffrement. HDS spécifie également des dispositions impératives devant être incluses dans les contrats avec le fournisseur de services Cloud. Ces exigences s’appliquent quel que soit l’emplacement de stockage des données.
Microsoft et HDS
Microsoft Azure, Microsoft Dynamics 365 et Microsoft 365 ont obtenu la certification Hébergeurs de Données de Santé (HDS), obligatoire pour toutes les entités hébergeant des données de santé personnelles régies par le droit français. Ceci a fait de Microsoft le premier fournisseur de services Cloud qui répond aux normes françaises pour le stockage et le traitement des données de santé. Cette certification, requise par la révision du code de santé publique française 2018, impose des exigences avancées en matière de sécurité et de confidentialité pour les services d’hébergement et les fournisseurs de services Cloud afin de garantir la confidentialité et l’intégrité des données sensibles.
La conformité Microsoft aux exigences HDS a été auditée et certifiée par le groupe BSI, un organisme de certification indépendant accrédité par les autorités françaises pour effectuer des audits HDS.
La certification HDS permet aux prestataires de santé en France d’utiliser les services de cloud computing Microsoft pour réduire les coûts en améliorant l’efficacité clinique et opérationnelle, et ouvre la porte au développement de solutions innovantes de pointe pour la santé. Les fournisseurs peuvent développer des applications intelligentes ou utiliser des applications tierces hébergées sur Azure pour implémenter des analyses prédictives pour personnaliser les soins de santé, évaluer et traiter les patients à distance (télémédecine), et améliorer la netteté de la surveillance de médicaments thérapeutiques.
L'audit rigoureux a porté sur les mesures prises par Microsoft pour sécuriser les données de santé personnelles et protéger leur confidentialité, notamment ce qui suit :
- La certification de la gestion de la sécurité des informations ISO/IEC 27001:2013 de services de cloud computing Microsoft qui font l'objet d'un audit annuel de conformité.
- Haut niveau de protection de la confidentialité sur la base de conformité avec le RGPD et le code de pratique pour la protection des données personnelles dans le cloud ISO/IEC 27018.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
-
Azure. Le certificat HDS s’applique aux services Azure répertoriés comme étant conformes à la norme ISO/IEC 27001 dans les offres de conformité Azure, et fournis par les régions suivantes :
- France Centre
- France Sud
- Allemagne Nord
- Centre Ouest de l’Allemagne
- Italie Nord
- Europe Nord
- Norvège Est
- Norvège Ouest
- Pologne Centre
- Espagne Centre
- Suède Centre
- Suède Sud
- Europe Ouest
- Dynamics 365. Le certificat HDS s’applique aux Services en ligne principaux Dynamics 365 fournis depuis la France et l’Union européenne.
- Intune
- Microsoft 365. Le certificat HDS s’applique aux services en ligne Microsoft 365 Core approvisionnés à partir de la France et des zones géographiques de l’Union européenne.
- Service cloud Power BI en tant que service autonome ou inclus dans un plan ou une suite Microsoft 365 personnalisé
Le certificat HDS ne s’applique pas à Microsoft services en ligne en préversion ou en préversion.
Audits, rapports et certificats
La Certification HDS impose des exigences avancées en matière de sécurité et de confidentialité sur les services d’hébergement et les fournisseurs cloud pour garantir une protection adéquate de la confidentialité et de l’intégrité des données sensibles. Les services de cloud computing Microsoft (y compris Azure) ont obtenu la certification HDS, comme indiqué dans la liste ASIP Santé des hôtes certifiés HDS. Téléchargez le dernier certificat ASIP Sante HDS à partir de la section Portail d’approbation de service : rapports d’évaluation GRC .
Modalités de mise en œuvre
- Termes du Contrat Le Code de la Santé Publique Français impose l'exécution de termes de contrat spécifiques entre le service d'hébergement de données de santé ou le fournisseur de service Cloud et leurs clients. Les clients éligibles doivent contacter leur point de contact de licence Microsoft pour conclure les présentes conditions contractuelles spécifiques avant d'héberger des données personnelles de santé sur les services en ligne Microsoft.
- Santé et sciences de la vie : Vue d’ensemble de cas, guides de solutions, des didacticiels et d’autres ressources servant à créer les solutions Azure.