Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
À propos de HDS
La certification Hébergeurs de Données de Santé (HDS) est requise pour les entités telles que les fournisseurs de services cloud qui hébergent des données de santé personnelles régies par la législation française et collectées pour fournir des services de prévention, de diagnostic et d’autres services de santé. Le règlement HDS a été émis par l’ASIP SANTÉ, qui, sous la responsabilité du Ministère de la Santé, est chargé de promouvoir les solutions de santé par voie électronique en France.
La loi française régit l’hébergement des données de santé par le code de la santé publique (article L.1111-8). Le code stipule que tout organization de santé (hôpitaux, sociétés pharmaceutiques, laboratoires) qui gèrent des données médicales personnelles doit faire appel à un fournisseur de services certifié HDS. En avril 2018, les nouveaux articles R1111-8-8 à R1111-11 du Code de la santé publique sont entrés en vigueur, modifiant la procédure d'accréditation d'une autorisation du ministère français de la Santé à une certification par un organisme autorisé tel que BSI.
La certification HDS exige que les fournisseurs de services adoptent des mesures qui assurent la sécurité, la confidentialité et l'accessibilité des données personnelles sur la santé pour les patients. Ces mesures incluent des procédures d’authentification et d’autorisation puissantes, des systèmes de sauvegarde fiables et de puissantes méthodes de chiffrement. HDS spécifie également des dispositions impératives devant être incluses dans les contrats avec le fournisseur de services Cloud. Ces exigences s’appliquent quel que soit l’emplacement de stockage des données.
Microsoft et HDS
Microsoft Azure, Microsoft Dynamics 365 et Microsoft 365 disposent de la certification Hébergeurs de Données de Santé (HDS), qui est requise pour toutes les entités hébergeant des données de santé personnelles régies par le droit français. Cette certification a fait de Microsoft le premier grand fournisseur de services cloud à répondre aux normes françaises strictes en matière de stockage et de traitement des données d’intégrité. Cette certification, requise par la révision du code de santé publique française 2018, impose des exigences avancées en matière de sécurité et de confidentialité pour les services d’hébergement et les fournisseurs de services Cloud afin de garantir la confidentialité et l’intégrité des données sensibles.
BSI Group, organisme de certification indépendant accrédité par les autorités françaises pour effectuer des audits HDS, a audité et certifié la conformité de Microsoft aux exigences HDS.
La certification HDS permet aux prestataires de santé en France d’utiliser les services de cloud computing Microsoft pour réduire les coûts en améliorant l’efficacité clinique et opérationnelle, et ouvre la porte au développement de solutions innovantes de pointe pour la santé. Les fournisseurs peuvent développer des applications intelligentes ou utiliser des applications tierces hébergées sur Azure pour implémenter des analyses prédictives pour personnaliser les soins de santé, évaluer et traiter les patients à distance (télémédecine) et affiner la surveillance des médicaments thérapeutiques.
L’audit rigoureux a porté sur les mesures prises par Microsoft pour sécuriser les données de santé personnelles et protéger leur confidentialité, notamment :
- La certification de la gestion de la sécurité des informations ISO/IEC 27001:2013 de services de cloud computing Microsoft qui font l'objet d'un audit annuel de conformité.
- Haut niveau de protection de la confidentialité sur la base de conformité avec le RGPD et le code de pratique pour la protection des données personnelles dans le cloud ISO/IEC 27018.
Plateformes et services cloud microsoft dans l’étendue
-
Azure. Le certificat HDS s’applique aux services Azure répertoriés comme étant conformes à la norme ISO/IEC 27001 dans les offres de conformité Azure, et fournis par les régions suivantes :
- France Centre
- France Sud
- Allemagne Nord
- Centre Ouest de l’Allemagne
- Italie Nord
- Europe Nord
- Norvège Est
- Norvège Ouest
- Pologne Centre
- Espagne Centre
- Suède Centre
- Suède Sud
- Europe Ouest
- Dynamics 365. Le certificat HDS s’applique aux Services en ligne principaux Dynamics 365 fournis depuis la France et l’Union européenne.
- Intune
- Microsoft 365. Le certificat HDS s’applique aux services en ligne Microsoft 365 Core approvisionnés à partir de la France et des zones géographiques de l’Union européenne.
- Service cloud Power BI en tant que service autonome ou inclus dans un plan ou une suite Microsoft 365 personnalisé
Le certificat HDS ne s’applique pas à Microsoft services en ligne en préversion ou en préversion.
Audits, rapports et certificats
La Certification HDS impose des exigences avancées en matière de sécurité et de confidentialité sur les services d’hébergement et les fournisseurs cloud pour garantir une protection adéquate de la confidentialité et de l’intégrité des données sensibles. Les services cloud Microsoft (y compris Azure) disposent de la certification HDS, comme indiqué dans la liste ASIP Santé des hôtes certifiés HDS. Téléchargez le dernier certificat ASIP Sante HDS à partir de la section Portail d’approbation de service : rapports d’évaluation GRC .
Modalités de mise en œuvre
- Clauses contractuelles : Le code de la Santé Publique impose l’exécution de conditions contractuelles spécifiques entre le service d’hébergement de données de santé ou le fournisseur de services cloud et ses clients. Les clients éligibles doivent contacter leur point de contact de licence Microsoft pour conclure les présentes conditions contractuelles spécifiques avant d'héberger des données personnelles de santé sur les services en ligne Microsoft.
- Santé et sciences de la vie : Vue d’ensemble de cas, guides de solutions, des didacticiels et d’autres ressources servant à créer les solutions Azure.