Hébergeurs de Données de Santé (HDS)

Tableau de cartographie des accès à distance et des transferts de données.

Le champ d'application des processus et des activités d'Oracle Health qui prennent en charge les services d'hébergement des données de santé françaises dans le cadre du référentiel d'hébergement des données de santé (HDS) publié par l'organisme français ASIP Santé : Référentiel de certification HDS – Exigences et contrôles le 23 mai 2018 et mis à jour le 26 avril 2024.

La certification HDS d'Oracle Health répond à une exigence réglementaire vis-à-vis de l'hébergement et/ou du traitement des données de santé pour les clients français. Les spécifications pour la certification reposent sur :

  • ISO/IEC 27001:2022 ; et
  • d'autres spécifications pour l'hébergement des données de santé des clients français comme l'article R.1111-11 du code de la santé publique

Les centres de données en colocation suivants sont utilisés pour le stockage des données de santé des clients français :

Fournisseur de centre de données Emplacement Utilisé pour Statut de certification HDS
Actuellement utilisé
Equinix – France Pantin (PA4) Site d'hébergement pour les systèmes cliniques (DPI) Certifié HDS
Equinix – Suède Stockholm (SK2) Hébergement d'eService et du portail de données sécurisé
Site d'hébergement pour l'identité et l'authentification des systèmes client et d'entreprise 		Certifié HDS
Stack Infrastructure-Suède Upplands Väsby, Stockholm (STO01) Sauvegarde du portail de données sécurisé Non certifié en HDS

Le tableau suivant détaille les activités d'hébergement fournies par Oracle Health pour les clients français :

Raison sociale de l'acteur Rôle dans le cadre de la prestation d'hébergement Certifié HDS (oui/non/exempté) Qualifié SecNumCloud 3.2 Activités d'hébergement sur lesquelles l'acteur intervient Accès aux données de santé à caractère personnel depuis des pays tiers à l'Espace économique européen, par l'hébergeur ou l'un de ses sous-traitants (exigence n° 29 du référentiel HDS) Hébergeur ou sous-traitant soumis à un risque d'accès aux données de santé à caractère personnel depuis des pays tiers à l'Espace économique européen, imposé par la législation d'un pays tiers en violation du droit de l'Union européenne (exigence n° 30 du référentiel HDS)
Oracle Health Hôte Oui Non Les activités et les processus d'Oracle Health prennent en charge l'hébergement des données de santé françaises. Les activités incluent :
  • L'installation des baies de serveurs où les serveurs d'Oracle Health et autres infrastructures physiques hébergeant les systèmes des clients français sont situés au sein de leur cage de centre de données en colocation.
  • L'installation de serveurs physiques, de pare-feux, de tableaux de connexion, de câblage, de stockage, etc.
  • La mise à disposition et la maintenance des systèmes d'exploitation pour les systèmes cliniques et non cliniques contenant des données de santé.
  • La mise à disposition et la maintenance d'infrastructures virtuelles pour les applications contenant des données de santé.
  • La configuration, la maintenance, la mise à niveau, la mise à jour corrective et la prise en charge des systèmes cliniques et non cliniques (applications/bases de données) contenant des données de santé.
  • La sauvegarde des systèmes contenant des données de santé.
Oui
L'accès à distance pour des services tels que la résolution des incidents et la maintenance peut être fourni par des employés d'Oracle Health dans certains pays hors EEE, y compris les États-Unis, le Royaume-Uni, l'Inde et l'Australie, en fonction des instructions du client.
  • Pays couverts par une décision d'adéquation au sens de l'article 45 du RGPD :
    • États-Unis
    • Royaume-Uni
  • Pays non couverts par une décision d'adéquation au sens de l'article 45 du RGPD :
    • Inde
    • Australie
 Non
Equinix France (Pantin (PA4)) et Equinix Sweden (Stockholm (SK2)) Site d'hébergement pour les systèmes cliniques et le portail de données sécurisé Oui Non
  • Site d'hébergement pour les systèmes cliniques (DPI)
  • Hébergement d'eService et du portail de données sécurisé
  • Site d'hébergement pour l'identité et l'authentification des systèmes client et d'entreprise
Non
Equinix n'a pas accès aux données de ses clients. Il fournit uniquement le site d'hébergement. 		Non
Stack Infrastructure- Upplands Väsby, Sweden Site de sauvegarde du portail de données sécurisé Non Non Fournit un site pour le serveur de sauvegarde du portail de données sécurisé Non
Stack n'a pas accès aux données des clients. Il fournit uniquement le site. 		Non
Iron Mountain Site de stockage des bandes de sauvegarde des systèmes cliniques hébergés dans PA4 Non Non Fournit un site pour stocker les bandes de sauvegarde Non
Iron Mountain n'a pas accès aux données de ses clients. Elle fournit uniquement un site de stockage pour les bandes de sauvegarde. 		Non

L'accès à distance pour des services tels que la résolution des incidents et la maintenance peut être fourni par des employés d'Oracle Health dans certains pays hors EEE, y compris les États-Unis, le Royaume-Uni, l'Inde et l'Australie, en fonction des instructions du client. Alors que les États-Unis et le Royaume-Uni bénéficient d'une décision d'adéquation de la Commission européenne, Oracle dispose d'un accord de mandat et de transfert de données intragroupe pour des pays comme l'Inde et l'Australie, en plus des règles d'entreprise contraignantes (BCR) du sous-traitant. Cet accord décrit les pratiques de confidentialité et de sécurité appliquées par Oracle Corporation et ses filiales lors du traitement et du transfert de données à caractère personnel pour les services de conseil, les services client avancés, le support technique et d'autres services à leurs clients et aux clients affiliés. En outre, elles sont incluses dans la certification d'entreprise ISO 27001:2022 d'Oracle Health et suivent des processus SMSI centralisés.