« La chose que j’attends de mon hébergeur, c’est de protéger le bastion, c’est qu’il réponde aux exigences de la CNIL. Ma responsabilité : Faire respecter le RGDP en interne » Philippe Cellier, Dirigeant Eyes Road
« Sous-traiter l’hébergement des données, ça ne veut pas dire donner toutes les clés à l’hébergeur. L’entreprise qui sous-traite garde une large part de responsbilité dans la protection de ses données » Gaelle Tilloy, avocate en droit du numérique
Vous êtes convaincus des atouts de la sous-traitance ? Reste à choisir votre hébergeur. Parmi la centaine d’hébergeurs certifiés HDS, vous avez l’embarras du choix. Voici quelques critères pour faire une première sélection.
Critère 1 : optez pour un hébergeur certifié sur les six critères
En matière d’hébergement des données de santé, autant être prévoyant. Même si vous optez aujourd’hui pour un hébergement sans infogérance, vous ne savez de quoi demain sera fait. Autrement dit, vous ferez peut-être demain le choix de l’infogérance. Dans l’incertitude, optez pour un hébergeur qui coche
toutes les cases du HDS. Cela vous évitera les migrations coûteuses si vous décidez de passer en mode infogérance.
Critère 2 : optez pour un prestataire capable d’offrir un large panel de services
Votre hébergeur est-il capable de moduler les effectifs d’astreinte présents sur place ? Dispose-t-il d’équipes dédiées 7/7 et 24/24 pour l’infogérance ? A-t-il des expertises nécessaires pour développer des programmes adaptés à vos besoins ? Peut-il effectuer des prestations de chiffrement des données ? Quels
sont les délais de mise à jour en cas d’identification de failles critiques ? etc… Toutes ces questions permettent d’évaluer la pertinence et l’évolutivité du panel de services associés à l’hébergement de données. Alors que le contexte marché et la réglementation bougent vite, il est important de
vérifier que le prestataire dispose des moyens de s’adapter.
Critère 3 : optez pour des hébergeurs outillés en matière de cybersécurité
Alors que les attaques se multiplient, le « sésame » HDS n’est pas forcément un critère suffisamment différenciant. Car en matière de sécurité, un hébergeur ne peut s’assoir sur les lauriers de la certification. Il doit mener un travail de veille en continu pour connaitre les nouvelles techniques des hackers, conseiller ses
clients, choisir les techniques de protection les mieux adaptées, etc. Pour ce faire, il doit être doté de toutes les expertises dans le domaine. C’est le cas chez Easyteam qui, depuis son entrée dans le Groupe Constellation, dispose de compétences pointues dans le domaine.
Critère 4 : choisissez le bon emplacement pour les datacenters
Ce critère est avant tout crucial pour les entreprises souhaitant sous-traiter l’hébergement seul (sans infogérance). Dans ce cas, il est important qu’elles puissent se rendre rapidement sur place en cas de problème.
« En cas de bug, il n’est pas question de faire 300 kilomètres pour appuyer sur un bouton ! Mon équipe doit être sur place dans les meilleurs délais. C’est pourquoi mes datacenters sont proches des cliniques » Christophe
Delcroix, DSI au sein du Groupe Hospitalier Privé Ambroise Paré – Hartmann
Pour ou contre l’hébergement des données personnelles de santé hors de France ?Le sujet a fait débat avec le Health Data Hub. Au moment de la création du Hub, le gouvernement a fait le choix de l’Américain Microsoft pour héberger la majorité des données de santé des Français. De nombreux acteurs du système de santé français – notamment la Cnam (Caisse nationale d’assurance maladie) – sont montés au créneau pour remettre en cause la décision, mettant en avant le « risque d’accès non autorisé aux données » depuis les États-Unis. L’argument relatif aux enjeux de souveraineté numérique a fait mouche, le gouvernement ayant remis en cause l’hébergement par Microsoft. D’une manière générale, l’hébergement des données de santé par un acteur français et sur le territoire français est une solution de plus en plus privilégiée par les acteurs du système de santé – hôpitaux, éditeurs ou laboratoires.
Critère 5 : vérifiez que l’hébergeur tient bien compte des exigences fonctionnelles et techniques du référentiel Pro Santé Connect (PSC)
Depuis janvier 2023, l’intégration de Pro Santé Connect – l’équivalent pour les professionnels de santé du système d’authentification France Connect est obligatoire pour certains services du numérique en santé12. Pro Sante Connect a un impact technique important, qui nécessite une adaptation spécifique des mécanismes de protection habituels. Avant de choisir votre hébergeur, il est donc préférable de s’assurer qu’il emploie des technologies de protection compatibles avec la plateforme Pro Sante Connect. Concrètement, cela signifie que toute personne habilitée à accéder à des données de santé via des applications ou SI devra s’authentifier via la plateforme Pro Santé Connect développée par l’Agence nationale du Numérique en Santé (ANS).
