Agrément HDS

L’agrément de santé HDS répond à un référentiel précis sur lequel OVH vous accompagne et s’engage en qualité d’hébergeur jusqu’au partage des responsabilités.

Qu'est-ce que l'agrément HDS ?

Les données de santé à caractère personnel et les systèmes d'information de santé sont particulièrement sensibles. Ils constituent un élément essentiel de la vie privée des patients, une brique essentielle du parcours de soin et un outil pour les professionnels de santé. Le régulateur encadre progressivement les pratiques associées à un développement rapide des systèmes d'information de santé.

À ce titre, les professionnels et les établissements de santé ainsi que les patients doivent faire appel à des prestataires agréés pour l'hébergement de données de santé à caractère personnel pour tout hébergement externe. L'agrément ministériel offre une garantie supplémentaire dans le domaine éthique et financier, en matière de respect des droits des patients et de sécurité des données.

Le cadre juridique de l'hébergement de données de santé à caractère personnel est issu de l'article L.1111-8 du code de la santé publique, créé par la loi dite « Kouchner » (loi n°2002-303 du 4 mars 2002 relative aux droits des patients). Le décret n°2006-6 du 4 janvier 2006 définit, quant à lui, les conditions d'agrément des hébergeurs de données de santé sur support informatique. Ses dispositions ont été insérées aux articles R.1111-9 et suivants du code de la santé publique.

Vous êtes :

Un établissement de santé ou un personnel de santé


L'établissement/personnel de santé est en lien direct avec les personnes concernées par les données de santé à caractère personnel. Vous êtes responsable des traitements mis en œuvre par votre système d'information de santé et vous portez les obligations liées à cette responsabilité. En accord avec les obligations légales, vous devez faire appel à un hébergeur agréé par le ministère de la santé pour l'hébergement de vos systèmes d'information par un tiers.

Les conditions particulières OVH Healthcare définissent les responsabilités et obligations d'OVH et de l'établissement/personnel de santé dans le cadre du système d'information de santé. Le respect de ces obligations par OVH et l'établissement/personnel de santé garantit la mise en œuvre d'un système d'information de santé en phase avec la sensibilité des données de santé et la criticité des traitements.

Un acteur de la chaîne d'approvisionnement d'un système d'information de santé

(Société de service, éditeur de solution Saas, etc.)


La mise en œuvre d'un sytème d'information de santé adaptés aux enjeux liés à la sensibilité des données et des traitements de santé implique le respect des bonnes pratiques par tous les acteurs impliqués.

Les responsables de traitements, l'hébergeur de données de santé agréé et les intermédiaires dans la chaîne d'approvisionnement du système d'information de santé ont tous un rôle à jouer dans la mise en place d'un système fiable et sécurisé. Chaque acteur sur son domaine de responsabilité fonctionnel doit mettre en œuvre les pratiques adaptées dans cet objectif.

En tant que client d'un hébergeur agréé, vous vous engagez à respecter les obligations liées aux système d'information de santé et à vous assurer que l'ensemble des acteurs de la chaîne d'approvisionnement avec lesquels vous collaborez respectent également ces obligations.

Les CP OVH Healthcare définissent les rôles et responsabilités d'OVH et de nos clients et incluent l'ensemble des responsabilités que nos clients doivent imposer à leurs client et partenaires intervenants sur la mise en œuvre et l'exploitation du système d'information de santé.

Rôles et responsabilité d'OVH et des clients en environnement de santé

Prendre en compte les droits des personnes concernées, c'est-à-dire s'assurer de l'information préalable des Patients et du recueil du consentement des Patients.

Gérer les droits d'accès aux données, c'est-à-dire gérer les informations à exclure de ce droit, effectuer les vérifications préalables, respecter les délais de mise à disposition des accès, définir les modalités d'accès et gérer les cas particuliers comme la présence d'une tierce personne ou la demande d'un tiers.

Contrôler l'effectivité des droits des personnes concernées et assurer le respect des droits de rectification, d'opposition et d'effacement ainsi que le maintien et la mise à disposition de l'historique des accèset des opérations

En plus de ces obligations, le clients s'engage à mettre en œuvre les pratiques adaptées pour assurer la sécurité des données, notamment une politique de confidentialité et de sécurité, la sensibilisation et la formation des personnels, le cloisonnement du sytème d'information de santé, la gestion des incidents de la continuité et de la reprise d'activité et gérer son activité pour maîtriser les évolutions et la fin du service d'hébergement.

Gérer les accès aux données et les différentes situations comme l'accès par les personnels de santé ou les patients et mettre en œuvre les dispositifs adaptés à chaque cas, notamment les moyen d'authentification.

Les engagements d'OVH

Disposer de l'Agrément d'hébergeur de données de santé pour son service d'OVH Healthcare conformément à l'article L.1111-8 du code de la santé publique et de tout mettre en œuvre pour son renouvellement.

Veiller au respect des exigences légales et réglementaires en vigueur, notamment en matière de protection des données personnelles et d'hébergement de données de santé, et s'assurer de la conformité de tout sous-traitant ou prestataire. Cet engagement se matérialise notamment par la revue des contrats clients OVH Healthcare par le médecin de l'hébergeur et la clause d'audit des clients prévues dans les CP OVH Healthcare.

Mettre en œuvre son devoir de conseil auprès des acteurs de la chaine d'hébergement, par le présent document, par l'intervention du médecin de l'hébergeur et l'accompagnement des clients sur le périmètre.

Respecter les règles éthiques et notamment le respect du secret des données de santé et du secret professionnel. À ce titre, OVH a au sein de ses équipes un médecin, en charge de l'activité d'hébergement de données de santé.

Garantir l'effectivité des droits des patients en s'assurant du recueil de leur consentement exprès à l'hébergement de données de santé, de leur information préalable claire et complète, de la gestion de leur droit d'accès, de rectification, d'opposition et d'effacement dans le respect des dispositions érigées par la loi « Informatique et Libertés » et par le code de la santé publique.

Maintenir un niveau de sécurité renforcé des données de santé conformément à l'état de l'art et aux exigences légales et réglementaires en vigueur. Les mesures déployées sont tant organisationnelles que techniques. Une attention particulière est apportée quant au contrôle des accès aux données, à l'authentification forte et à la traçabilité de l'ensemble des opérations réalisées sur les données. Une politique de confidentialité et de sécurité est formalisée, mises en œuvre et évaluée.

Sensibiliser et former son personnel aux enjeux liés à la sensibilité des données de santé, tant en termes de respect de la vie privée des patients, d'éthique médicale que de sécurité renforcée.

Héberger les données de santé à caractère personnel sur ses infrastructures situées en France.

Maîtriser la chaîne de sous-traitance en transférant toute obligation, en particulier en matière de sécurité, de localisation des données et d'effectivité des droits des patients, à ses sous-traitants et en imposant un transfert contractuel similaire à ses propres sous-traitants.

Accompagner ses clients en cas d'évolution ou de fin de service. OVH s'engage à remettre à tout moment au client, l'ensemble des données qu'il aurait déposé sur son infrastructure.