Cloud HDS : une solution conforme pour sécuriser vos données de santé

L’hébergement dédié aux professionnels de santé
Vous cherchez à héberger vos données de santé dans un cloud français, agile et sécurisé ?

Pour exploiter des données de santé, tous les organismes publics ou privés qui hébergent, exploitent ou réalisent des sauvegardes doivent être certifiés HDS.

Vous souhaitez plus d’informations sur notre solution cloud ?

Parlez à un expert
Parlez à un expert

Quels éléments pour une solution d’hébergement de confiance pour le secteur de la santé ?

Environnement sécurisé

Nos solutions, nos infrastructures ainsi que la protection de vos données sont certifiées ISO 27001, Cette certification assure la présence d’un système de management de la sécurité de l'information (SMSI).

Disponibilité

Nous vous assurons un plan de reprise et une continuité d’activité avec un redémarrage fluide après incident et haute disponibilité en cas de sinistre de vos infrastructures. Disponibilité de la plateforme 99, 8 % et GTR 4h.

Certifications HDS et ISO 27001

Conformément aux dispositions légales, nos équipes d’experts mettent à votre disposition une plateforme d’hébergement sécurisée et performante. Ils assurent le maintien en conditions opérationnelles de votre infrastructure, tant au niveau technique que contractuel et organisationnel. Vos données sont 100% sécurisées en France.

Nos offres

Ozitem certifié HDS vous permet d’accélérer votre activité avec notre offre complète de solutions cloud santé HDS

Cloud dédié HDS

Pour répondre aux besoins de nos clients désireux de souscrire à une offre premium de services Cloud, nous avons créé l’offre de service « Cloud Dédié HDS » sur des infrastructures qui leur sont dédiées.Nous fournissons des équipements dédiés, leur exploitation et leur maintien en conditions opérationnelles sont assurés par les équipes ingénierie et support d’Ozitem France.

Cloud Corporate HDS

Stockez vos données de santé dans une infrastructure en Cloud Privé qui assure une totale confidentialité entre chaque plateforme.L’exploitation et le MCO sont assurés par les équipes ingénierie et support d’Ozitem France.

Découvrez notre e-book HDS : quelle solution agile déployer ?

Télechargez l’Ebook
Télechargez l’Ebook

Profitez de notre solution cloud privé HDS avec un hébergement sécurisé pour vos données de santé dans une baie exclusive Ozitem.

Découvrir
Découvrir

La certification HDS a pour vocation de renforcer la protection des données de Santé à caractère personnel et de construire un environnement de confiance autour de l'e-Santé et du suivi des patients. Elle s’appuie sur des référentiels incluant le respect de normes iso et permet de délivrer une certification par un organisme indépendant accrédité à toute structure ou organisme hébergeant des données de santé.

Présentation des garanties
Présentation des garanties

Sucess Story

Une entreprise dans le secteur de la santé fait appel à l'expertise du Groupe Ozitem pour l'hébergement du logiciel le plus utilisé de France par les médecins généralistes

Ozitem accompagne son client dans l'hébergement d'un logiciel de santé

Afin de répondre à la croissance de notre client, il souhaitait migrer vers une plateforme évolutive et performante tout en exigeant un haut niveau de qualité pour son infogérance. L'objectif était de concevoir une infrastructure pour héberger le logiciel médical le plus utilisé de France par les médecins généralistes. 
Je découvre
Je découvre

Nos partenaires

Découvrir nos partenaires
Découvrir nos partenaires

OziBlog

HDS
02/05/2024

Cloud sécurisé et HDS : les activités de santé concernées

HDS

Lire l’article
Lire l’article
HDS
02/05/2024

Quels sont les impacts d'une fuite de données dans un établissement de santé ?

HDS

Lire l’article
Lire l’article
HDS
02/05/2024

Digitalisation et hébergement des données de santé : un sujet clé pour les établissements

HDS

Lire l’article
Lire l’article
Tous les articles
Tous les articles

FAQ

L'avis de notre expert
À quoi sert le référentiel HDS ?

Le référentiel HDS (Hébergeurs de Données de Santé) est un cadre réglementaire français qui définit les exigences et les normes pour l'hébergement des données de santé à caractère personnel. Il a été établi par le décret n° 2018-137 du 26 février 2018 et est obligatoire pour toute entité hébergeant des données de santé en France.

Le référentiel HDS vise à assurer la disponibilité, l’intégrité, la confidentialité et la traçabilité des données de santé hébergées par des prestataires externes. Il garantit que ces données sont protégées contre les accès non autorisés, les pertes, les altérations et les divulgations.

Le référentiel s'applique à toutes les entités qui hébergent des données de santé à caractère personnel, y compris les hébergeurs de centres de données, les fournisseurs de services cloud, et les prestataires de services d'infogérance.

Le référentiel HDS définit un ensemble d'exigences que les hébergeurs doivent respecter pour obtenir et maintenir la certification. Ces exigences couvrent divers aspects de la sécurité et de la gestion des données, notamment :

  • La sécurité physique et logique des infrastructures.
  • La gestion des accès et des identités.
  • La continuité des activités et la reprise après sinistre.
  • La gestion des incidents de sécurité.
  • La protection des données et la conformité aux réglementations en vigueur, telles que le Règlement Général sur la Protection des Données (RGPD).
Y a-t-il qu’un seul niveau de certification HDS ?

Un prestataire se certifie pour des Activités. En effet, tous les prestataires, selon leur cœur de métier, n’ont pas besoin de se certifier sur le même champ de compétences.

Le référentiel HDS définit 6 activités :

  1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  2. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  3. La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
  4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
  5. L’administration et l’exploitation du système d’information contenant les données de santé ;
  6. Sauvegarde des données de santé.

En tant qu’hébergeur et infogéreur, OZITEM est certifié sur l’ensemble des 6 activités.

Y a-t-il un niveau de disponibilité de service minimal définit dans le référentiel HDS ?

Le référentiel HDS ne définit pas explicitement un niveau de disponibilité de service minimal spécifique en termes de pourcentage de temps de disponibilité (comme 99,9% par exemple). Cependant, il impose des exigences strictes en matière de continuité de service et de gestion de la disponibilité pour garantir que les données de santé sont accessibles et sécurisées en permanence.

Dans le cadre de l'activité 6 du référentiel HDS, les sauvegardes de données de santé peuvent-elles être externalisées hors de France ?

Dans le cadre de l'activité 6 du référentiel HDS, qui concerne la sauvegarde externalisée des données de santé, les sauvegardes peuvent être externalisées hors de France, mais elles doivent respecter certaines conditions strictes.

Selon le référentiel HDS, les données de santé doivent être hébergées au sein de l'Espace Économique Européen (EEE). Cela signifie que les sauvegardes externalisées doivent être réalisées dans des centres de données situés dans l'un des pays membres de l'EEE.

Qu’apporte le référentiel HDS v2 paru en novembre 2024 ?

Le référentiel HDS v2 incluent plusieurs changements significatifs visant à renforcer la sécurité et la souveraineté des données de santé. Voici les principales évolutions :

Renforcement de la souveraineté des données : Le nouveau référentiel exige que l'hébergement physique des données de santé soit réalisé exclusivement au sein de l'Espace Économique Européen (EEE). Cela vise à garantir une meilleure protection et souveraineté des données de santé dans un contexte numérique en constante évolution.

Intégration des évolutions de la norme ISO 27001 : Le référentiel HDS v2 intègre les mises à jour de la norme ISO/IEC 27001:2022, ce qui inclut des améliorations en matière de sécurité de l'information, de cybersécurité et de protection de la vie privée.

Rationalisation des références normatives : Les références aux normes ISO 20000-1, ISO 27017 et ISO 27018 ont été supprimées, et 31 exigences spécifiques ont été directement intégrées dans le référentiel. Cela permet de simplifier et de clarifier les exigences de conformité.

En savoir plus sur nos offres
Quelles différences entre cloud HDS et cloud sécurisé ?

Le cloud sécurisé et le cloud HDS appliquent tous deux des mesures de cybersécurité (chiffrement, pare-feu, gestion des accès, conformité RGPD, etc.) afin de protéger les données stockées, ainsi que les infrastructures et services.

Mais dans un contexte de données personnelles de santé, cela ne suffit pas. Pour être Hébergeur de données de santé (HDS), l’hébergement cloud HDS s’appuie sur un cadre réglementaire certifié, conforme aux exigences légales strictes (article L.1111-8 du Code de la santé publique) imposées par l’Agence du numérique en santé (ANS).

La certification HDS est délivrée par un organisme indépendant accrédité suivant les conditions précisées par le décret n° 2018-137. Elle impose une infrastructure informatique adaptée à la manipulation des données de santé avec, entre autres :

  • un chiffrement renforcé pour la sécurité des données au repos, en transit et sur les sauvegardes ;
  • des procédures d’authentification et d’autorisation avancées avec une segmentation stricte des environnements et une traçabilité complète de l’activité ;
  • des audits réguliers des infrastructures d’hébergement ;
  • une documentation exhaustive et une conformité à des référentiels réglementaires spécifiques ;
  • etc.
Le cloud HDS est-il obligatoire pour héberger les données de santé ?

Oui. Depuis 2018, le cloud HDS est obligatoire en France pour l’hébergement et la gestion des données de santé à caractère personnel, même les données pseudonymisées, dans des centres de données (datacenters) externes.

Obligation pour les prestataires externes

Toute structure qui héberge, sauvegarde ou traite ces données pour le compte d’organismes du secteur médical ou médico-social doit être certifié HDS, conformément à l’article L.1111-8 du Code de la santé publique.

Exemple : un prestataire externe spécialisé en cloud computing doit être hébergeur certifié HDS s’il stocke ces données pour le compte d’un hôpital.

💡 Les organismes de santé ayant recours à un hébergement cloud sécurisé n’ayant pas obtenu la certification HDS ne sont pas conformes à la réglementation en vigueur et s’exposent à des risques de sanctions.

Pas d’obligation pour l’hébergement interne

Seuls les établissements de santé qui gèrent leur propre système d’information (SI) sans externalisation sont exemptés de cette obligation. Toutefois, même dans ce cas, l’infrastructure interne doit répondre aux exigences du RGPD et garantir un haut niveau de sécurité.

Exemple : un cabinet médical avec ses propres services d’hébergement (cloud interne) n’est pas concerné par cette certification.

💡 Le cloud souverain n’est pas imposé par la certification HDS, mais il peut permettre de renforcer la maîtrise juridique et géographique de l’hébergement de données.

Quels sont les cas concrets qui nécessitent un hébergement cloud HDS ?

Voici quelques cas concrets nécessitant un hébergement de données de santé HDS en France :

  • Hôpitaux, cliniques, cabinets médicaux qui externalisent l’hébergement de leurs Dossiers patients informatisés (DPI) et Dossiers médicaux partagés (DMP).
  • Groupes de cliniques ou réseaux de soins qui mutualisent des systèmes d’information et centralisent des données patients sur un hébergement HDS.
  • Laboratoires d’analyse médicale qui utilisent des plateformes pour stocker dans le cloud et transmettre des résultats d’examens ou de tests biologiques pour les patients.
  • Plateformes de télésanté, téléconsultation ou de télésurveillance médicale qui stockent ou transmettent des DPI ou DMP.
  • Éditeurs de logiciels de santé (SaaS, Software-as-a-Service), spécialisés dans le développement de solutions logicielles traitant des données de santé pour le compte d’établissements ou de professionnels de santé.
  • Objets connectés médicaux (IoMT ou IoT médicaux) dans le cas où l’hébergement des données est externalisé.
Comment migrer vers une solution cloud HDS ?

Migrer vers une solution cloud HDS implique de suivre une méthodologie rigoureuse centrée sur la conformité réglementaire et la sécurisation des flux de données. La migration doit se faire sans interruption des services informatiques tout en garantissant à chaque étape la conformité HDS et la sécurité des accès.

  1. Réaliser un audit pour identifier et localiser toutes les données de santé à caractère personnel, pour répondre aux exigences réglementaires.
  2. Intégrer un plan de continuité d’activité (PCA), un plan de reprise d’activité (PRA) et des mécanismes de réplication des données sensibles.
  3. Transférer les données de façon sécurisée en utilisant des outils certifiés HDS et en appliquant des mesures spécifiques : chiffrement fort, authentification renforcée, journalisation exhaustive, documentation des processus, etc.
  4. Basculer les applications, hébergées sur un serveur interne, vers la nouvelle infrastructure cloud HDS, former les équipes internes et prévoir un support post-migration.

Cette migration peut être accompagnée des conseils et services du prestataire certifié HDS que vous avez choisi, notamment pour assurer une mise en conformité complète des infrastructures cloud.