Hébergement des données de santé : que révèle l’analyse des entreprises certifiées ?

OVHcloud, créé en 1999 par Octave Klaba, a commencé à héberger les sites d’acteurs de la santé au début des années 2000. “À l’époque, ces sites ne contenaient pas de données sensibles et l’État imposait peu de contraintes à leur hébergement”, se souvient Emmanuel Meyrieux, responsable conformité au sein du pôle qualité chez OVHcloud. Dès 2002, la loi relative aux droits des malades et à la qualité du système de santé, ou “loi Kouchner”, a institué l’agrément : “les professionnels de santé, les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet”. Cela afin de garantir que les hébergeurs respectent plusieurs exigences comme le recueil du consentement du patient, l’authentification forte, le cryptage des flux ou encore la traçabilité des accès. 

“Notre ambition était de fournir un produit qui corresponde aux attentes de nos clients, quelque soit le secteur. Celui de la santé représente une part significative du PIB, nous ne pouvions donc pas ignorer ses besoins”, explique Emmanuel Meyrieux. 

Les premiers agréments ont été accordés en 2009, la société installée à Roubaix a commencé à travailler sur le sujet en 2015 et l’a obtenu en 2016. “Nous étions alors le premier fournisseur de cloud à le décrocher, sur notre produit Cloud Privé (VMware as a service). Notre chiffre d’affaires dans la santé est significatif, avec plusieurs centaines de clients de tous ordres”. Les éditeurs de logiciels métiers représentent le plus grand segment d’OVHcloud dans ce secteur, mais il travaille aussi avec des établissements de santé, des assureurs et mutuelles, des intégrateurs, des centres de recherche clinique, des laboratoires de biologie médicale, etc. 

En 2018, pour renforcer la confiance dans les tiers chargés de stocker les données des patients, l’État a remplacé cet agrément par une certification, délivrée au terme d’un audit par des organismes spécialisés tels qu’Afnor et Bureau Veritas (la liste des organismes de certification sur le site de l’ANS). Huit organismes sont aujourd’hui habilités. Pour autant, les acteurs agréés n’ont pas été obligés de passer aussitôt à l’étape supérieure, puisque leur agrément reste valide jusqu’à son échéance, soit trois ans maximum. Et si leur agrément se terminait avant le 31 mars 2019, il voyait sa durée automatiquement prolongée de six mois. 

OVH a obtenu sa certification en 2019 pour le cloud privé, puis l’a étendue au produit Serveurs dédiés. Quels efforts financiers et humains OVHcloud a-t-il dû consentir pour obtenir la certification ? “C’est difficile à chiffrer, car c’est un travail continu. Nous en avions déjà fourni une partie pour l’agrément et pour la norme internationale de sécurité des systèmes d’information, ISO 27001, qui compte 150 mesures dans sa déclaration d’applicabilité et est pour grande partie commune à la certification HDS. Pour des acteurs qui commenceraient de zéro, l’effort serait conséquent”, explique le responsable conformité. 

Les acteurs de l’hébergement et les ESN en première ligne

Plus de 100 sociétés ont obtenu le précieux sésame depuis 2018. Pour la deuxième année consécutive, mind Health a étudié la liste qui figurait sur le site de l’ANS en juillet 2020. Premier constat : le nombre de sociétés certifiées est passé de 19 en juin 2019 à 104 en juillet 2020, ce régime remplaçant progressivement celui de l’agrément. 

L’analyse du positionnement principal des sociétés certifiées montre qu’une grande diversité d’acteurs l’ont obtenu. De nombreux prestataires figurent dans la liste, dont un tiers de spécialistes de l’hébergement, du cloud et de l’infogérance : des géants internationaux du cloud comme Microsoft, Google Cloud, Amazon Web Services ou le français OVHcloud, ainsi que des acteurs plus modestes comme Bretagne Telecom, Cheops Technology, A2com (Resadia) ou encore ASP Serveur (Econocom). Le deuxième contingent le plus important est constitué de 21 entreprises de services numériques (ESN, ex-SSII) : Orange Healthcare (intégré dans Enovacom), Sopra Steria I2S, AZNetwork, Capgemini TS France, Smile, etc. 

Cliquez sur l’image pour l’agrandir : 

Les utilisateurs finaux sont aussi très représentés

Outre les hébergeurs et les ESN, nombre d’utilisateurs finaux ont également obtenu cette certification. C’est par exemple le cas de groupements d’intérêt public dédiés aux SI hospitaliers (GIP MiPih Midi Picardie, GIP SIB), deux groupes de cliniques privées (GIE Almaviva Santé, Vivalto Santé Services Partagés), un centre hospitalier (la direction des services numériques de l’Assistance Publique – Hôpitaux de Marseille) ou encore la chaîne de maisons de retraite et de cliniques de soins Orpéa. Pour rappel, les établissements de santé qui choisissent d’héberger uniquement leurs propres données de santé ne sont pas soumis à la certification. Mais ils doivent l’obtenir dès lors qu’ils hébergent celles de patients dont ils n’assurent pas la prise en charge, une activité leur permet de générer des revenus. De même dans le cadre de la mise en place des groupements hospitaliers de territoire (GHT), les établissements-support qui voudraient héberger les données de l’ensemble des établissements du GHT doivent disposer de la certification. 

Des acteurs plutôt inattendus y figurent aussi, comme la Direction interarmées des réseaux d’infrastructures et des systèmes d’information (DIRISI) CNMO-SI Suresnes, l’assureur MGEN, via sa structure MGEN Technologies, le spécialiste du marketing automation Selligent, celui du paiement numérique Worldline, ou encore le fabricant d’objets connectés français Withings, qui s’est détaché de Nokia Technologies en 2018 avec l’ambition de devenir le premier fournisseur de données de santé aux industriels, notamment aux États-Unis. 

“Cette diversité de positionnements montre que le marché des données de santé concerne une grande variété d’acteurs. Ce qui est nouveau avec la certification, c’est qu’elle a permis aux grands hébergeurs généralistes, tels qu’Amazon et Microsoft, d’aborder ce marché, alors qu’ils s’en étaient jusqu’alors tenus à l’écart”, indiquait à mind Health François Kaag, directeur général d’IDS et ancien président de l’Association française des hébergeurs agréés de données de santé à caractère personnel (AFHADS), en juin 2019.

Quelles sont les activités les plus couvertes par les certifications ?

La certification HDS couvre six activités différentes (sites physiques, infrastructure matérielle ou virtuelle, administration, sauvegarde…  voir encadré ci-dessous), mais il est possible de ne l’obtenir que pour une partie d’entre elles seulement.

63,5 % des sociétés certifiées ont obtenu le sésame pour l’ensemble de ces activités. Quatre sociétés se sont contentées d’un seul. Il s’agit de trois acteurs de l’hébergement, EBRC, C.I.V. France et Be Kortalys – dont le datacenter a été conçu en 2014 pour traiter les flux financiers du dispositif de tiers-payant santé -, qui ne l’ont obtenu que pour la mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé, et de l’éditeur de logiciels santé Suédois Ivbar, pour l’administration et l’exploitation du système d’information.

Par ailleurs, les six activités sont presque toutes couvertes par le même nombre d’entreprises. Ainsi, 89,4 % des sociétés certifiées le sont pour l’infrastructure virtuelle du système d’information et 81,7 % pour son infrastructure matérielle.

OVHcloud a demandé et obtenu la certification sur cinq des six activités. Seule exception, l’administration et l’exploitation du système d’information. “Nous ne pouvons prétendre à cette activité car nous ne travaillons jamais sur les systèmes d’exploitation et les logiciels qui manipulent les données de santé”, justifie le responsable conformité au sein du pôle qualité chez OVHcloud Emmanuel Meyrieux. 

Cette activité 5 constitue d’ailleurs un cas particulier, puisqu’elle est susceptible d’évoluer. Sur son site, l’Agence du numérique en santé (ANS), précise ainsi : “Conscient que cette activité est effectivement à la limite de ce qu’on qualifie normalement d’hébergement, mais que cette activité est néanmoins importante dans la chaîne de sécurité des données de santé à caractère personnel, le ministère chargé de la Santé a décidé d’engager des travaux pour étudier l’opportunité et les modalités d’encadrement de l’activité d’administration et d’exploitation d’applications. Ces travaux sont en cours. Ils sont conduits par un groupe de travail composé d’acteurs concernés par cette activité 5.”

11 nationalités sont représentées

Par ailleurs, 75 des 104 sociétés certifiées sont françaises et 12 sont originaires des États-Unis. Dont les GAFAM pour leurs services de cloud (Microsoft Azure, Google Cloud et Amazon Web Services), déjà cités, mais également des fabricants de matériel médical St. Jude Medical (Abbott) et Boston Scientific et l’éditeur de logiciels marketing Salesforce. L’invalidation du Privacy Shield en juillet par la Cour de justice de l’Union européenne fait peser une menace sur leur activité dans l’Hexagone. Le 29 octobre 2020, le Comité européen à la protection des données (CEPD) allait jusqu’à “encourager vivement” les institutions de l’Union européenne “à éviter les transferts de données personnelles vers les États-Unis dans le cadre de nouvelles opérations de traitement ou de nouveaux contrats avec des fournisseurs de services” (lire notre interview sur le sujet de Corinne Thiérache, avocat au Barreau de Paris et associée du cabinet Alerion, spécialiste en droit des nouvelles technologies). 

Neuf autres nationalités, toutes européennes, sont représentées, dont les Pays-Bas avec la biotech Bluebee et le fabricant de matériel médical Philips, l’Allemagne avec l’ESN Fresenius Netcare et le Royaume-Uni avec l’hébergeur Claranet. 

Si des entreprises américaines et européennes s’intéressent au marché français, la réciproque est vraie. “Notre objectif est désormais d’étendre les offres que nous avons fait certifier ici à d’autres pays européens, indique ainsi Emmanuel Meyrieux, chez OVHcloud. Il n’y a pas de certification chez nos voisins, tout est encadré par la législation, si bien que nous devons adapter notre contrat à chaque droit national. Heureusement, la nouvelle mandature européenne s’est donnée pour mission d’harmoniser les lois en faisant pour les données sensibles ce que le RGPD a fait pour les données personnelles”.