• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Parcours de soins > Quelles sont les 205 sociétés certifiées pour l’hébergement des données de santé (HDS) ?

Quelles sont les 205 sociétés certifiées pour l’hébergement des données de santé (HDS) ?

Activités couvertes, positionnement, nationalité... mind Health a analysé, pour la troisième fois, les sociétés qui ont réussi l'audit pour stocker des données de santé en France. Et selon les chiffres actualisés au printemps 2022, leur nombre a doublé depuis juillet 2020.

Par Aymeric Marolleau avec Sara Chaouki et Romain Bonfillon. Publié le 14 juin 2022 à 7h00 - Mis à jour le 03 janvier 2023 à 14h38
  • Ressources

Les 3 points à retenir : 

  • 205 sociétés étaient certifiées pour l’hébergement de données de santé en avril 2022.
  • Il s’agit pour l’essentiel de sociétés spécialisées dans l’hébergement / infogérance et des entreprises de services numériques (ESN). Mais des utilisateurs finaux figurent aussi dans la liste (hôpitaux, GRADeS…). 
  • Une majorité d’acteurs (56,6 %) sont certifiés pour les six activités, une dizaine le sont pour une seule.

À l’été 2018, le groupement régional d’appui au développement de la e-santé (GRADeS) dans le Grand Est, baptisé Pulsy, l’un des 17 GRADeS de France – structures chargées de coordonner la numérisation du secteur à l’échelle locale -, est né de la fusion de GCS Alsace e-santé, e-santé Champagne-Ardenne et Télésanté Lorraine. Cette dernière disposait depuis 2016 de l’agrément pour l’hébergement des données de santé. 

“Lorsque cet agrément est arrivé à expiration, nous avons été placés face au choix de solliciter une certification. Il se trouve que nous traitons des données de santé pour le compte de tiers, donc nous faisons partie de la chaîne de responsabilité. Cela nous a demandé beaucoup d’efforts, témoigne le directeur de Pulsy, Jonathan Lotz. Nous avons été accompagnés par un cabinet, Adven, qui nous a aidés dans l’analyse des risques; la formalisation de nos processus, la définition de nos indicateurs de suivi de la sécurité et dans la rédaction de nos politiques et procédures. Nous avons recruté un responsable sécurité des systèmes d’information, qui pilote notre amélioration continue.” Pulsy a obtenu cette certification à l’automne 2020. “Nous poursuivons nos efforts sur de nombreux domaines. Même si c’est exigeant sur le plan financier et la mise en œuvre, c’est très structurant. Cela nous a permis de développer des réflexes qui nous font progresser”, poursuit Jonathan Lotz.

ESSENTIEL – Le cloud souverain

Le nombre de sociétés certifiées HDS a doublé depuis juillet 2020

Au total, 205 sociétés étaient certifiées pour l’hébergement de données de santé en avril 2022, contre une centaine en juillet 2020. L’analyse de leur positionnement principal confirme qu’une grande diversité d’acteurs ont obtenu le précieux sésame. Les plus représentés demeurent ceux de l’hébergement / infogérance puisqu’ils sont 78, soit 38 % – dont Amazon Web Services, Google Cloud, IBM Cloud, Oracle, OVHCloud, etc. -, devant les entreprises de services numérique (ESN, ex-SSII), qui sont 37 – dont Atos, Capgemini, Enovacom, etc. -, et les éditeurs de logiciels santé, qui sont 31 – dont Berger-Levrault, Softway Medical, Maincare Solutions, etc.

La liste des sociétés certifiées pour l’hébergement des données de santé

Comme nous le constations déjà mi-2020, nombre d’utilisateurs finaux ont également obtenu cette certification. Nous avons ainsi dénombré 11 établissements de santé (AP-HP et AP-HM, les CHU de Nantes et de Rennes, ou encore les groupes de cliniques privées Almaviva et Vivalto), quatre GRADeS, dont Pulsy, et deux groupements d’intérêt publics dédiés aux systèmes d’information hospitaliers (SIB et SILPC). Pour rappel, les établissements de santé qui choisissent d’héberger uniquement leurs propres données de santé ne sont pas soumis à la certification. Mais ils doivent l’obtenir dès lors qu’ils hébergent celles de patients dont ils n’assurent pas la prise en charge, une activité qui leur permet de générer des revenus. De même, dans le cadre de la mise en place des groupements hospitaliers de territoire (GHT), les établissements-support qui voudraient héberger les données de l’ensemble des établissements du GHT doivent disposer de la certification.

L’évolution vers la certification HDS en France

Dès 2002, la loi relative aux droits des malades et à la qualité du système de santé, ou “loi Kouchner”, a institué l’agrément pour l’hébergement des données de santé : “les professionnels de santé, les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet”. Cela afin de garantir que les hébergeurs respectent plusieurs exigences comme le recueil du consentement du patient, l’authentification forte, le cryptage des flux ou encore la traçabilité des accès.

Les premiers agréments ont été accordés en 2009. En 2018, pour renforcer la confiance dans les tiers chargés de stocker les données des patients, l’État a remplacé cet agrément par une certification, délivrée au terme d’un audit par des organismes spécialisés tels qu’Afnor et Bureau Veritas (la liste des organismes de certification sur le site de l’ANS). Huit organismes sont aujourd’hui habilités. Pour autant, les acteurs agréés n’ont pas été obligés de passer aussitôt à l’étape supérieure, puisque leur agrément reste valide jusqu’à son échéance, soit trois ans maximum. Et si leur agrément se terminait avant le 31 mars 2019, il voyait sa durée automatiquement prolongée de six mois. 

Pour en savoir plus, consultez nos études sur ce sujet : 

  • Octobre 2020
  • Juillet 2018

Quelles sont les activités les plus couvertes par la certification ? 

La certification HDS couvre six activités différentes (sites physiques, infrastructure matérielle ou virtuelle, administration, sauvegarde…  voir encadré ci-dessous), mais il est possible de ne l’obtenir que pour une partie d’entre elles seulement. Chaque activité est en moyenne couverte à 82 %. Les activités les plus couvertes sont celles ayant trait aux plateformes d’hébergement et infrastructures virtuelles, puisque 179 sociétés les ont choisies, soit 87 % d’entre elles. Elles devance la sauvegarde des données (83 %).

LES 6 ACTIVITÉS COUVERTES PAR LA CERTIFICATION HDS

L’Asip délivre deux types de certificats qui couvrent six activités :

– un certificat “hébergeur d’infrastructure physique” pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle :

1. la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;

2. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;

– un certificat “hébergeur infogéreur” pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée :

3. la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;

4. la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;

5. l’administration et l’exploitation du système d’information contenant les données de santé ;

6. la sauvegarde de données de santé.

57 % des hébergeurs certifiés le sont pour les six activités, contre 63,5 % en 2020. C’est notamment le cas du GRADeS Pulsy : “Nous avons fait le choix de solliciter l’agrément sur la totalité des volets, y compris l’hébergement et l’infogérance, car nous disposons de notre propre infrastructure, avec trois salles de serveurs : deux pour la continuité d’activité des services en production, une pour la reprise d’activité en cas d’incident critique sur la production, explique Jonathan Lotz. Nous nous sommes demandés s’il fallait réinvestir dans la montée en version, la mise en conformité des salles, ou la sous-traitance à un hébergeur tiers. Économiquement, il s’avérait plus intéressant de continuer à porter ce rôle. Les éditeurs de logiciels santé ont des stratégies variées, du tout SaaS au tout on-premise (sur site). Être hébergeur nous permet de mettre leurs solutions en cohérence avec le socle régional : annuaire, single-sign on (SSO), bureau applicatif métiers, entrepôt de données statistiques… Pour certains services métiers comme la cancérologie et la gestion d’urgence, il n’existe pas d’alternative SaaS.”

Enovacom, la filiale santé numérique d’Orange Business Services (OBS) depuis 2020, a également opté pour les six activités : “OBS est historiquement spécialisé dans l’infogérance, avec les infrastructures et les services associés. Avec Orange Cyber Défense, le groupe dispose aussi d’une histoire forte dans la sécurité informatique. Enfin, avec le rachat en 2018 d’Enovacom, spécialisé dans les solutions d’interopérabilité du système de santé, nous couvrons toutes les activités mentionnées dans la certification”, explique Olivier Méry, chef de produit – interopérabilité chez Enovacom.

3 sociétés certifiées sur 4 sont françaises

11 acteurs ne sont certifiés que pour une activité – contre quatre il y a deux ans – , dont 10 sociétés spécialisées dans l’hébergement et l’infogérance, généralement certifiés pour la gestion de sites physiques, et une compagnie d’assurance, VYV 3IT, pour l’administration et l’exploitation d’un système d’information.

Comme en 2020, trois sociétés certifiées sur quatre sont françaises et un peu plus d’une sur dix sont américaines, dont les géants du cloud Amazon Web Services, Google Cloud, Microsoft et Oracle, déjà cités, ainsi que des éditeurs de logiciels santé – Brightinsight, Cerner Corporation, Foresight, Veeva Systems -, des fabricants de dispositifs médicaux – St Jude Medical (Abbott), Medtronic, Boston Scientific Corporation -, ou encore des éditeurs de logiciels qui ne se destinent pas spécifiquement à la santé – Zendesk, Salesforce, Selligent.

Méthodologie

Nous avons récupéré les données présentes sur le site de l’ANS en avril 2022. Nous avons ensuite qualifié chaque société selon deux critères. Premièrement, son positionnement principal, tel qu’il ressort sur son site internet et sa page LinkedIn. Deuxièmement, sa nationalité.

Les données ainsi qualifiées sont disponibles dans notre rubrique Data 

Une remarque, une question ? Contactez-nous : datalab@mind.eu.com

Aymeric Marolleau avec Sara Chaouki et Romain Bonfillon
  • Données de santé
  • éditeur
  • hébergeurs

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

La liste des sociétés certifiées pour l’hébergement des données de santé
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email