Logo Dipeeo - Votre DPO externe

Hébergement de données de santé

En France, les Hébergeurs de Données de Santé jouent un rôle très important dans la gestion et le traitement des données de santé. Ils permettent aux organismes de santé de stocker des données considérées comme étant sensibles par la CNIL, tout en garantissant une confidentialité et un niveau de sécurité très élevé.
Comment fonctionnent donc les Hébergeurs des Données de Santé ? Et quels sont les enjeux liés à leur utilisation ?

Hébergeur de données de santé

french tech Hébergement de données de santé HDS
french tech Hébergement de données de santé HDS
french tech Hébergement de données de santé HDS
hébergeur de données de santé 
hébergeur données de santé 
agrément hébergeur de données de santé 
certification hébergeur de données de santé 
certification hébergeur données de santé 
hébergement de données de santé 
hébergement des données de santé 
hébergement données de santé 
hébergeur données de santé 
hebergeur de données de santé

📌 Qu'est ce qu'un hébergeur de données de santé

Considérées comme étant sensibles, les données de santé sont des données à caractère personnel qui font l’objet d’une protection particulière et ce, pour garantir le respect de la vie privée des personnes concernées. Si les bonnes pratiques et usages qui concernent leur collecte et traitement sont définis par le Code de la santé, leur hébergement, quant à lui, est prévu par les nouvelles règles du RGPD (Règlement Général sur la Protection de Données). 

Sécurité: Les hébergeurs de données de santé disposent d’installations hautement sécurisées qui leur permettent d’héberger les serveurs et les équipements réseau. De plus, en termes de sécurité physique, les hébergeurs de données de santé, disposent de caméras de surveillance et de systèmes de détection d’incendie pour qu’ils soient capables de protéger leurs équipements ainsi que les données qu’ils stockent. 

En matière de sécurité du réseau, des mesures de sécurité sont mises en place, dans le cadre de protection des données personnelles en transit. Cela inclut l’utilisation de réseaux privés virtuels (VPN), de pare-feu, de chiffrement des données, etc. Des techniques qui permettent d’empêcher les intrusions et les cyberattaques. 

✅ Surveillance en temps réel: Les hébergeurs de données de santé ont la capacité de surveiller, en temps réel, l’utilisation des données par les utilisateurs, tout en garantissant une utilisation de données conforme aux politiques de confidentialité définies par chaque organisme. A ce fait, les hébergeurs de données de santé sont capables de détecter les problèmes de performance et d’essayer donc de les résoudre plus rapidement.

Certification HDS:  La certification HDS a pour principale fonction de renforcer la protection des données de santé, et de construire donc un environnement de confiance pour tout ce qui concerne l’eSanté et le suivi des patients. En effet, la certification HDS sécurise les données des personnes concernées, contre toute fuite ou perte de données à caractère personnel qui leur concernent. Les hébergeurs de données de santé sont dans l’obligation d’assurer la conformité ainsi que la traçabilité des différentes données de santé à caractère personnel. 

Pour qu’un organisme puisse héberger des données de santé à caractère personnel, il doit remplir certaines conditions.

En effet, chaque hébergeur doit être titulaire de l’autorisation d’hébergement de données de santé qui correspond au service qu’il compte proposer. 

L’organisme certificateur choisi par l’hébergeur procède à un audit en deux étapes : 

  • Audit documentaire : une revue documentaire du système d’information de l’hébergeur est réalisée. L’objectif derrière cette étape est de déterminer la conformité documentaire du système en se basant sur les exigences prévues par le référentiel de certification ;
  • Audit sur site : Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation

 

Plusieurs organismes de certification sont habilités à délivrer des certificats HDS : AFNOR Certification (Accrédité le 29/08/2019), BSI GROUP France SARL (Accrédité le 20/06/2019), Bureau Veritas Certification France (Accrédité le 17/04/2019), etc. 

french tech Hébergement de données de santé HDS

📋 Hébergement de données de santé en France

Les données de santé à caractère personnel doivent être hébergées sur des HDS situés en France ou à l’Union Européenne. Dans le cas contraire, des garanties suffisantes doivent être apportées en vue de prouver un niveau de protection élevé.

Les données à caractère personnel considérées comme étant sensibles par la CNIL incluent toutes les données médicales, et les informations d’identification, qui sont collectées et traitées par un organisme. Cela peut être dans le cadre de prestations de soins, de prévention ou de diagnostic. 

Tout organisme de santé (professionnel de santé, établissement de santé, organisme de recherche) est dans l’obligation de s’assurer que les données qu’il traite sont hébergées dans un serveur HDS en France, ou du moins, en Europe, à moins que des garanties suffisantes ne soient apportées. Cela revient aux différents organismes de certifications, habilités à délivrer un certificat, de vérifier la conformité des hébergeurs aux règles de sécurité et de confidentialité en sa basant sur les réglementations et règles en vigueur. 

🔥 Deux sociétés concernées par l'obligation d'héberger leurs données de santé sur un HDS

👩‍⚕️ Docorga, l’un des principaux concurrents de Doctolib, propose une plateforme qui permet aux professionnels de santé de simplifier la gestion du parcours de soin de leurs patients et ce, depuis la demande de prise en charge, en passant par les différents outils de gestion de documents sécurisés, et en allant jusqu’à la facturation des actes. Tout ça sur une application sécurisée, qui prend en considération la protection de la vie privée des personnes concernées. 

Il faut noter que Docorga héberge les données de santé à caractère personnel qu’elle traite sur un HDS situé en France.

Parmi les outils que la plateforme de santé propose :

  • Une messagerie sécurisée qui permet d’échanger des fichiers sensibles en toute sécurité ;
  • Des fiches patients qui permettent de personnaliser la prise en charge des patients et d’y mettre des observations ;
  • Des notes et rappels pour diminuer le nombre de consultations oubliées par les patients en leur envoyant des notifications de rappel par SMS.

De par son service de traitement de données de santé à caractère personnel, Docorga traite des données de santé, considérées comme étant sensibles par la CNIL. Chose qui nécessite une prise en considération des différentes règles sur l’hébergement de données de santé, prévues par la loi.

Dipeeo est leur référent à la CNIL et gère l’ensemble des sujets RGPD de la startup.

👨‍⚕️ Viabeez est une plateforme qui facilite la venue des professionnels de santé sur les lieux de travail et dans les collectivités. Selon eux, 59% des français renoncent aux soins par manque de temps et d’accès. 

Avec +10 000 salariés qui bénéficient de leurs services santé, la plateforme propose : 

  • Un outil de prise de rendez-vous simple et automatisé pour vos collaborateurs ;
  • Accès aux spécialités les plus recherchées des Français ;
  • Une meilleure prise en charge santé de vos salariés.

Ce qui nécessite, également, une prise en considération des règles prévues par la loi en matière d’hébergement de données de santé à caractère personnel.

Dipeeo est leur référent à la CNIL et gère l’ensemble des sujets RGPD de la startup.

⚡ La conformité globale n'est pas assurée par les Hébergeurs des Données de Santé

La conformité RGPD est un point clé pour toute structure. Ça implique de mettre en place des pratiques et usages conformes aux règles prévues par le RGPD, notamment en ce qui concerne les pratiques en matière de ressources humaines, de prospection commerciale, des sous-traitances (gestion de données personnelles), de sensibilisation des employés, etc.

Par ailleurs, il faut souligner que le RGPD a prévu d’autres règles et exigences à prendre en considération. Autrement dit, héberger ses données de santé à caractère personnel n’est qu’un point parmi d’autres pour se mettre en conformité RGPD. 

En plus des hébergeurs de données de santé, tout autre organisme qui traite, collecte et gère des données à caractère personnel, est dans l’obligation de se mettre en conformité RGPD.  

✅ Conformité de la plateforme digitale : Mettre en conformité RGPD une plateforme digitale est crucial, puisque c’est souvent là que transitent le plus de données à caractère personnel. Ce qui fait que les risques de violation de la vie privée sont de plus en plus élevés. Les Saas qui s’occupent de la mise en conformité RGPD comme Dipeeo dans le cadre de mise en conformité RGPD d’une plateforme digitale, procèdent, en premier lieu, à un audit, afin de faire le point sur tout élément qui nécessite d’être pris en considération pour une bonne mise en conformité RGPD. A ce sujet, il faut noter que ce qui est fortement recommandé c’est de penser au respect de la vie privée dés la conception de la plateforme digital. Ce que l’on appelle le Privacy by Design

✅ Prospection Commerciale : La conformité RGPD doit être prise en considération pour toute activité de Prospection Commerciale, vu que cela a pour effet la manipulation des données à caractère personnel. Respecter les règles RGPD c’est protéger efficacement la vie privée de vos prospects et ce, en protégeant les données qui les concernent.  

😯 Pour prospecter dans les règles de l’art, il faut connaître les règles RGPD pour 2 raisons :

  1. ne pas prendre de risque de sanction ou de baisse de réputation.
  2. pour ne pas se limiter dans ses pratiques commerciales !

 

En respectant toutes ces règles, vous n’aurez ni plaintes ni réclamations, pour la simple raison que vous serez plus susceptibles de respecter la vie privée de vos prospects. Vous pouvez consulter notre article qui parle des règles à respecter pour prospecter efficacement

Sensibilisation des employés : Certes, il est difficile de contrôler toutes les pratiques en matière de protection de données personnelles et tous les employés d’une structure. Mais en revanche, il est, tout à fait, possible de sensibiliser les employés aux bonnes pratiques du RGPD et ce, pour qu’ils puissent avoir des connaissances en termes de règles et des normes à respecter. 

Règles RGPD & RH :  Il faut noter que le sujet de protection de données personnelles est devenu l’un des plus sensibles dernièrement. 💥 En effet, le nombre de plaintes RGPD déposées par des employés contre leur employeur n’a cessé d’augmenter ces dernières années. 

D’un côté, l’employeur doit respecter les règles de base, comme ne collecter que des données nécessaires au bon fonctionnement et de réaliser une analyse d’impact pour s’assurer qu’il est autorisé à collecter certaines données. D’un autre côté, il est obligatoire d’informer les employés sur la collecte et le traitement des données qui les concernent, des droits dont ils disposent, sans oublier les durées de conservation.

Une politique de confidentialité exhaustive doit être mise en place afin qu’une information claire et transparente soit présentée à tous les employés. 

✅ Respect des consentements : 

Selon la CNIL, la Prospection Commerciale en B2B est fondée sur, ce que la CNIL appelle, « l’intérêt légitime » de l’entreprise. Toutefois, pour être conforme au RGPD, tout organisme doit informer les personnes concernées que leurs données personnelles seront utilisées à des fins de prospection commerciale, et lui donner la possibilité de s’opposer facilement à cette utilisation, en proposant un bouton de désabonnement.

De ce fait, toute Prospection Commerciale en BtoB peut se faire sans consentement préalable, tant que les entreprises que vous contactez sont susceptibles d’avoir un intérêt pour pour votre produit ou service.

✅ Respect des durées de conservation : La CNIL a défini des durées de conservation maximales qu’il ne faut pas dépasser pour être conforme. Etant donnée que le consentement préalable n’est pas requis en prospection B2B, il n’y a pas de limites de conservation de données personnelles. En revanche, en ce qui concerne la prospection B2C, la durée définie par la CNIL est de 3 ans à compter du dernier contact.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Play Video about Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié “tout inclus” qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 09 86 23 21 29

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.

Les ressources disponibles