Quel provider cloud pour vos données santé ?

La certification HDS (Hébergement de Données de Santé) se base en grande partie sur la norme ISO 27001 (sécurité des systèmes d’information) et emprunte quelques exigences des normes ISO 20000 (système de gestion de la qualité des services) et ISO 27018 (protection des données à caractère personnel).

Deux types de certifications correspondant à différents périmètres :

1- Prestation d’hébergeurs d’infrastructure physique

• Mise à disposition et maintien en conditions opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
• Mise à disposition et maintien en conditions opérationnelles de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.

2- Prestation d’hébergeur infogéreur

• Mise à disposition et maintien en conditions opérationnelles de la plateforme d’hébergement d’applications du système d’informations;
• Mise à disposition et maintien en conditions opérationnelles de l’infrastructure virtuelle du système d’information utilisé pour le traitement de données de santé;
• Administration et exploitation du système d’informations contenant les données de santé;
• Sauvegarde externalisée des données de santé.

Cas pratiques :

• Est-ce qu’un éditeur de solution SAAS exploitant des données de santé et utilisant un hébergeur est concerné ?
  Ce cas est à la limite de l’activité 5, hors cette activité est justement sujette à discussion et devrait être prochainement retirée, voir : https://esante.gouv.fr/actualites/modification-du-perimetre-dactivite-hds
• Je suis un éditeur de solution de santé et effectue l’hébergement des données dans mon propre datacenter, ai-je besoin de la certification ?
  Oui, une certification correspondant à l’activité 1

Le site du gouvernement dédié au sujet propose une liste des hébergeurs certifiés (chaque hérbergeur peut avoir plusieurs niveaux de certifications) : https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifies dans laquelle on retrouve quelques noms du cloud : AWS, Claranet, Microsoft, GCP, OVH …

À noter que Google et Microsoft ont obtenu la certification à la fois pour la partie cloud mais aussi pour leur suite bureautique Office 365, et G Suite. Le personnel médical pourra utiliser les outils bureautiques alors que jusqu’à présent seules les données administratives des patients, et non les données de santé, pouvaient transiter par des serveurs externes.

À ce sujet, un accord cadre a été signé entre le CAIH (Centrale d’Achat de l’Informatique Hospitalière) et Microsoft, en mars 2019, pour justement l’usage de cette suite bureautique (soit quelques mois après l’obtention de la certification HDS).

Très clair tout ca, mais est-ce que cela implique que les données soient hébergées en France ?
Pas nécessairement, l’exemple de GCP est assez flagrant, il est bien certifié HDS mais sans pour autant avoir une “région” France, les plus proches étant en Belgique ou Pays Bas.

Compatibilité avec le Cloud Act ?

Pour rappel le cloud act est cette loi Américaine, ratifiée 2 mois avant l’entrée en vigueur de RGPD, en mars 2018, permettant aux autorités américaines de contraindre les fournisseurs de cloud (CSP) soumis aux lois américaines de fournir les données stockées sur leurs serveurs, y compris ceux situés à l’étranger, en cas de mandat ou d’assignation en justice.

À noter que si le Cloud Act permettrait potentiellement de récupérer les données, elle ne permet pas aux CSP de fournir les clés de chiffrement utilisées. Sachant qu’aujourd’hui la plupart des providers proposent du chiffrement au repos avec des services permettant de gérer à différents niveaux ces clés :

• Pour AWS, KMS permettant d’avoir ses propres clé privées (cela est d’ailleurs plus ou moins explicitement dis sur la page dédiée https://aws.amazon.com/fr/compliance/cloud-act/)
• Pour GCP, Cloud KMS
• Pour Azure, Key Vault

À noter que ces 3 CSP proposent du HSM (Hardware Security Module) pour le stockage de ces clés, et pour certains il est même possible d’importer ses propres clés.

Et dans les autres pays, ça se passe comment ?

Au Royaume-Uni

Le National Health Service (NHS), fournit un guide légitimant l’utilisation du cloud public pour le stockage des données de santé et sociales sous certaines conditions. En effet, la souveraineté des données doit être respectée : les données doivent être hébergées dans la zone économique européenne ou aux US dans des entreprises couvertes par le Privacy Shield (entreprises établies aux États-Unis qui sont reconnues par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis).

A noter que ce guide :

• Date d’avril 2018, et sera donc peut-être revu suite à la sortie du Royaume Uni de l’Union Européenne (notamment concernant la référence à RGPD et la localisation de l’hébergement)
• Va dans la droite lignée de la mouvance du Government Digital Service ayant annoncé que l’usage du cloud est sécurisé pour la plupart du secteur public.

Aux Etats-Unis

Les exigences en terme de sécurité des données relatives aux Données de Santé Protégées (DSP) sont encadrées par 2 textes de loi :

1. Le Health Insurance Portability and Accountability Act (HIPAA) de 1996 qui s’applique à toute organisation traitant des données de santé (hôpitaux, prestataires de services médicaux, régime de santé employeur, centre de recherche, etc.). Conformément à la loi, le département de la Santé et des Services sociaux des États-Unis (HHS) a par la suite édité plusieurs règles, dont celles-ci :
   • “Privacy rule” : qui exige que des mesures de protection appropriées soient mises en œuvre pour protéger la confidentialité des informations personnelles sur la santé. Elle fixe également des limites et des conditions à l’utilisation et à la divulgation de ces informations sans l’autorisation du patient.
   • “Security rule” : qui définit les mesures qui doivent être appliquées sur les DSP and transit et au repos, ces règles sont applicables à tous système ou utilisateur qui a accès à des données de santé.
2. Le Health Information Technology for Economic and Clinical Health Act (HITECH) de 2009, vient compléter le HIPAA notamment sur la section privacy rule, par exemple en ajoutant une contrainte sur le signalement des failles incluant une fuite de données utilisateurs.

Dans le cas de l’hébergement, la section la plus applicable au cloud est la section concernant les security rules qui se déclinent en 3 grandes mesures de protection :

1. Technical safeguards (controle des accès, audits, contrôles d’intégrité, transmissions sécurisées)
2. Physical safeguards (limitation physique des accès, sécurité des points d’accès)
3. Administrative safeguards (politique de sécurité, évaluation des risques, information au personnel et formation)

Lorsqu’une entité/organisation soumise au HIPAA utilise un CSP, celui-ci devient alors de facto un Business Associate soumis au HIPAA. De ce fait, l’organisation et le fournisseur doivent signer un contrat partenaire (BAA).

Il n’existe pas, à proprement parlé, de certification HIPAA pour les CSP. Cependant, la signature d’un BAA est quelque peu engageante et oblige de facto le CSP à respecter ces mêmes contraintes de sécurité HIPAA, il se doit de fournir toutes les documentations / audits permettant d’assurer à son partenaire que les niveaux de sécurité requis sont satisfaisants.

Cela implique aussi que l’entité utilise les services du CSP en conformité avec HIPAA. Concernant la localisation des données, il n’y a pas de restriction à les héberger hors US. Ici aussi, la plupart des gros CSP ont une page dédiée expliquant leur niveau de conformité avec HIPAA.

En conclusion

Le marché français s’est extrêmement simplifié depuis le passage à la certification HDS et ouvre une brèche dans laquelle les grands fournisseurs se sont engouffrés. Le choix sera donc certainement conditionné, dans l’ordre, par l’offre de service, la localisation des données, et la capacité à gérer le chiffrement au repos.

Références :

• HDS officiel
• Accord cadre CAIH / Microsoft
• NHS Guidance for use of public cloud
• GDS Public sector use of the public cloud
• HHS Summary of the HIPAA Security Rule
• HHS Guidance on HIPAA & Cloud Computing

Acronymes :

• HDS : Hébergeur de données de santé
• DSP : Données de santé protégées
• CSP : Cloud Solution Provider
• NHS : National Health Service
• HHS : Health and Human Services
• KMS : Key Management Service