Hébergement de données de santé (HDS) France

Article
01/31/2024

À propos de HDS

La certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services Cloud qui hébergent les données de santé personnelles régies par les lois françaises et collectées pour fournir des services de prévention, diagnostic, et autres services de santé. La réglementation HDS a été émise par ASIP SANTÉ qui, sous l'égide du ministère français de la Santé, est responsable de la promotion des solutions de santé électroniques en France.

L'hébergement des données relatives à la santé est régi par la loi Française stipulée par le Code de la Santé Publique Français (Article L.1111-8), qui stipule que tout organisme de santé (hôpitaux, entreprises pharmaceutiques, laboratoires) qui gère des données médicales personnelles doit utiliser un fournisseur de services certifié HDS. En avril 2018, les nouveaux articles R1111-8-8 à R1111-11 du Code de la santé publique sont entrés en vigueur, modifiant la procédure d'accréditation d'une autorisation du ministère français de la Santé à une certification par un organisme autorisé tel que BSI.

La certification HDS exige que les fournisseurs de services adoptent des mesures qui assurent la sécurité, la confidentialité et l'accessibilité des données personnelles sur la santé pour les patients. Ces mesures incluent des procédures d’authentification et d’autorisation puissantes, des systèmes de sauvegarde fiables et de puissantes méthodes de chiffrement. HDS spécifie également des dispositions impératives devant être incluses dans les contrats avec le fournisseur de services Cloud. Ces exigences s’appliquent quel que soit l’emplacement de stockage des données.

Microsoft et HDS

Microsoft Azure, Microsoft Dynamics 365 et Microsoft Office 365 bénéficient de la certification Health Data Hosting (hébergeurs de données de santé, HDS), requise pour toutes les entités hébergeant des données personnelles de santé régies par la loi française. Ceci a fait de Microsoft le premier fournisseur de services Cloud qui répond aux normes françaises pour le stockage et le traitement des données de santé. Cette certification, requise par la révision du code de santé publique française 2018, impose des exigences avancées en matière de sécurité et de confidentialité pour les services d’hébergement et les fournisseurs de services Cloud afin de garantir la confidentialité et l’intégrité des données sensibles.

La conformité Microsoft aux exigences HDS a été auditée et certifiée par le groupe BSI, un organisme de certification indépendant accrédité par les autorités françaises pour effectuer des audits HDS.

La certification HDS permet aux prestataires de santé en France d’utiliser les services de cloud computing Microsoft pour réduire les coûts en améliorant l’efficacité clinique et opérationnelle, et ouvre la porte au développement de solutions innovantes de pointe pour la santé. Les fournisseurs peuvent développer des applications intelligentes ou utiliser des applications tierces hébergées sur Azure pour implémenter des analyses prédictives servant à personnaliser les soins de santé, évaluer et traiter les patients à distance (télémédecine), et améliorer la supervision de médicaments thérapeutiques.

L'audit rigoureux a porté sur les mesures prises par Microsoft pour sécuriser les données de santé personnelles et protéger leur confidentialité, notamment ce qui suit :

La certification de la gestion de la sécurité des informations ISO/IEC 27001:2013 de services de cloud computing Microsoft qui font l'objet d'un audit annuel de conformité.
Haut niveau de protection de la confidentialité sur la base de conformité avec le RGPD et le code de pratique pour la protection des données personnelles dans le cloud ISO/IEC 27018.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Azure. Le certificat HDS s’applique aux services Azure répertoriés comme étant conformes à la norme ISO/IEC 27001 dans les offres de conformité Azure, et fournis par les régions suivantes :
- France Centrale (Paris)
- France Sud (Marseille)
- Europe du Nord (Irlande)
- Europe de l’Ouest (Pays-Bas)
Dynamics 365. Le certificat HDS s’applique aux Services en ligne principaux Dynamics 365 fournis depuis la France et l’Union européenne.
Intune
Microsoft 365. Le certificat HDS s’applique aux Services en ligne principaux Office 365 fournis depuis la France et l’Union européenne.
Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365

Le certificat HDS ne s’applique pas à Microsoft services en ligne en préversion ou en préversion.

Audits, rapports et certificats

La Certification HDS impose des exigences avancées en matière de sécurité et de confidentialité sur les services d’hébergement et les fournisseurs cloud pour garantir une protection adéquate de la confidentialité et de l’intégrité des données sensibles. Les services de cloud computing Microsoft (y compris Azure) ont obtenu la certification HDS, comme indiqué dans la liste ASIP Santé des hôtes certifiés HDS. Téléchargez le dernier certificat ASIP Sante HDS à partir de la section Portail d’approbation de service : rapports d’évaluation GRC .

Modalités de mise en œuvre

Termes du Contrat Le Code de la Santé Publique Français impose l'exécution de termes de contrat spécifiques entre le service d'hébergement de données de santé ou le fournisseur de service Cloud et leurs clients. Les clients éligibles doivent contacter leur point de contact de licence Microsoft pour conclure les présentes conditions contractuelles spécifiques avant d'héberger des données personnelles de santé sur les services en ligne Microsoft.
Santé et sciences de la vie : Vue d’ensemble de cas, guides de solutions, des didacticiels et d’autres ressources servant à créer les solutions Azure.