Comment bien choisir un cloud dédié à l’hébergement de données de santé ?

Autant vous dire que le droit à l’erreur n’existe pas !  C’est la raison pour laquelle les professionnels de santé doivent se tourner vers un hébergement sécurisé pour stocker toutes ces informations. 

Pour trouver un hébergement fiable, il faut prendre en compte les obligations légales de protection et de confidentialité que recouvrent les données liées à la santé, ainsi que tous les services liés à la disponibilité des données et à la stabilité du système d’hébergement. On vous explique comment bien choisir votre HDS.

Les obligations légales en matière d’hébergement de données de santé 

En France, les données de santé sont encadrées par l’article de loi L.1111-8. Elle impose aux acteurs concernés par la détention de données liées à la santé des personnes de recourir aux services d’un hébergeur de données de santé sécurisé et certifié. Autrement dit, toute structure qui conserve ou traite des données de santé pour le compte de tiers ou même pour ses patients doit s’appuyer sur un prestataire reconnu par une certification officielle. 

Cette certification est appelée “Hébergeur de Données de Santé” (HDS). Elle n’est pas délivrée automatiquement. Pour l’obtenir, l’hébergeur doit passer un audit complet mené par un organisme indépendant accrédité. L’examen s’appuie sur deux référentiels principaux. Il s’agit de la norme ISO 27001 pour la sûreté de l’information et des exigences spécifiques aux données de santé. 

Il en résulte deux types de certification possibles : « hébergeur d’infrastructure physique » ou « hébergeur infogéreur », selon la nature des services fournis. Les certificats sont valables trois ans, mais un audit annuel de surveillance garantit le maintien du niveau d’exigence.

Les hébergeurs doivent aussi tenir compte du RGPD, qui classe les données de santé parmi les plus sensibles. Ils doivent donc mettre en œuvre des mesures de protection et de traçabilité irréprochables. Tout manquement aux exigences légales liées aux données de santé peut engendrer de lourdes sanctions financières.

Les critères sur lesquels se reposer pour bien choisir son HDS 

Au-delà des exigences légales, choisir son hébergeur de données de santé repose aussi sur la qualité des services, sur les offres proposées et sur l’accompagnement technique. 

Les niveaux de certification HDS

Tous les hébergeurs certifiés HDS ne proposent pas exactement les mêmes services. La certification repose sur six niveaux différents : 

• les niveaux 1 et 2 concernent uniquement l’hébergement d’infrastructures physiques, 
• les niveaux 3 à 6 couvrent l’infogérance et la gestion applicative. 

Ainsi, une structure disposant déjà de ses propres serveurs peut se contenter d’un prestataire de niveau 1 ou 2. Par contre, un établissement qui nécessite une prise en charge complète du système d’information va s’orienter vers les niveaux supérieurs.

La sécurité, un socle incontournable du label HDS

La confidentialité, l’intégrité et la disponibilité des données de santé doivent être garanties en permanence. 

Un bon hébergeur HDS met alors en place des dispositifs de protection complets avec : 

• un pare-feu, 
• un système de détection d’intrusion, 
• un anti-DDoS, le chiffrement systématique des données,  
• des sauvegardes régulières,
• un plan de reprise d’activité rapide. 

En effet, dans certains hôpitaux français, une panne de serveur a déjà bloqué l’accès aux dossiers patients pendant plusieurs heures, et ça a fait les gros titres. Ce type d’incident peut avoir des répercussions graves pour la fluidité des prises en charge dans les différents services et pour les patients les plus fragiles qui nécessitent un accès au soins rapide. Un hébergeur HDS sérieux doit anticiper ce genre de scénario avec un plan de reprise d’activité quasi immédiat.

Toutes ces options de sécurité doivent être documentées et testées, pour assurer une continuité de service même en cas d’incident technique.

La souveraineté des données

En la matière, la localisation des données est fondamentale. La loi impose que les données de santé soient toutes stockées en Union européenne. Mais l’idéal est qu’elles soient stockées en France. Cela évite tout risque de fuites d’informations lié aux lois étrangères en matière de souveraineté des données personnelles. Vous l’aurez compris, mieux vaut vérifier la localisation réelle des datacenters et des éventuels sous-traitants avant de signer un contrat d’hébergement. 

Disponibilité et engagements contractuels

Les SLA (Service Level Agreements) précisent les garanties de disponibilité du service. Un hébergeur fiable doit pouvoir s’engager sur : 

• un taux de disponibilité élevé (99,9 % au minimum), 
• des délais d’intervention rapides en cas d’incident, 
• une continuité de service pendant les mises à jour. 

Ces engagements, inscrits dans le contrat, constituent un élément de comparaison entre les différents prestataires.

Interopérabilité, évolutivité et réversibilité

L’hébergement de données de santé doit aussi s’inscrire dans la durée. Vous n’aurez pas forcément toujours les mêmes besoins, et votre offre doit pouvoir s’adapter. Le prestataire doit alors proposer des solutions évolutives, en termes de capacité de stockage et de puissance de calcul notamment. 

Il doit aussi garantir l’interopérabilité avec d’autres systèmes. Cela signifie que les données doivent pouvoir être lues, transférées et utilisées par d’autres logiciels ou d’autres structures de santé, sans dépendre d’un format de lecture unique et verrouillé. 

Veillez aussi à la réversibilité des données. Vous devez pouvoir récupérer facilement vos données si votre contrat prend fin ou si vous changez de prestataire.

Support et accompagnement

Enfin, la qualité du support technique est un élément à ne pas négliger pour ne pas être bloqué face à un incident technique ou une question importante concernant la sauvegarde de vos données. Un prestataire HDS doit être réactif, disponible 24/7 et capable d’accompagner ses clients dans des démarches complexes, qu’il s’agisse de conformité réglementaire, de déploiement de nouveaux services ou de conseils en cybersécurité.

Pour satisfaire vos besoins en matière d’hébergement de données de santé, il est important de prendre le temps de comparer les offres de différents prestataires et de ne pas vous arrêter seulement sur la certification HDS et sur le tarif proposé.