Hébergeurs de Données de Santé (HDS)
Tableau de cartographie des accès à distance et des transferts de données.
Le champ d'application des processus et des activités d'Oracle Health qui prennent en charge les services d'hébergement des données de santé françaises dans le cadre du référentiel d'hébergement des données de santé (HDS) publié par l'organisme français ASIP Santé : Référentiel de certification HDS – Exigences et contrôles le 23 mai 2018 et mis à jour le 26 avril 2024.
La certification HDS d'Oracle Health répond à une exigence réglementaire vis-à-vis de l'hébergement et/ou du traitement des données de santé pour les clients français. Les spécifications pour la certification reposent sur :
- ISO/IEC 27001:2022 ; et
- d'autres spécifications pour l'hébergement des données de santé des clients français comme l'article R.1111-11 du code de la santé publique
Les centres de données en colocation suivants sont utilisés pour le stockage des données de santé des clients français :
| Fournisseur de centre de données | Emplacement | Utilisé pour | Statut de certification HDS |
|---|---|---|---|
| Actuellement utilisé | |||
| Equinix – France | Pantin (PA4) | Site d'hébergement pour les systèmes cliniques (DPI) | Certifié HDS |
| Equinix – Suède | Stockholm (SK2) |
Hébergement d'eService et du portail de données sécurisé Site d'hébergement pour l'identité et l'authentification des systèmes client et d'entreprise |
Certifié HDS |
Le tableau suivant détaille les activités d'hébergement fournies par Oracle Health pour les clients français :
| Raison sociale de l'acteur | Rôle dans le cadre de la prestation d'hébergement (Hébergeur/sous-traitant de l'Hébergeur) | Certifié HDS (oui/non/exempté) | Qualifié SecNumCloud 3.2 | Activités d'hébergement sur lesquelles l'acteur intervient | Accès aux données de santé à caractère personnel depuis des pays tiers à l'Espace économique européen, par l'hébergeur ou l'un de ses sous-traitants (exigence n° 29 du référentiel HDS) | Hébergeur ou sous-traitant soumis à un risque d'accès aux données de santé à caractère personnel depuis des pays tiers à l'Espace économique européen, imposé par la législation d'un pays tiers en violation du droit de l'Union européenne (exigence n° 30 du référentiel HDS) | ||
|---|---|---|---|---|---|---|---|---|
| Oracle Health | Hôte | Oui | Non |
Les activités et les processus d'Oracle Health prennent en
charge l'hébergement des données de santé françaises. Les
activités incluent :
|
Oui L'accès à distance pour des services tels que la résolution des incidents et la maintenance peut être fourni par des employés d'Oracle Health dans certains pays hors EEE, y compris les États-Unis, le Royaume-Uni, l'Inde et l'Australie, en fonction des instructions du client.
|
Non | ||
| Equinix France (Pantin (PA4)) et Equinix Sweden (Stockholm (SK2)) | Sous-traitant | Oui | Non |
|
Non Equinix n'a pas accès aux données de ses clients. Il fournit uniquement le site d'hébergement. |
Non | ||
L'accès à distance pour des services tels que la résolution des incidents et la maintenance peut être fourni par des employés d'Oracle Health dans certains pays hors EEE, y compris les États-Unis, le Royaume-Uni, l'Inde et l'Australie, en fonction des instructions du client. Alors que les États-Unis et le Royaume-Uni bénéficient d'une décision d'adéquation de la Commission européenne, Oracle dispose d'un accord de mandat et de transfert de données intragroupe pour des pays comme l'Inde et l'Australie, en plus des règles d'entreprise contraignantes (BCR) du sous-traitant. Cet accord décrit les pratiques de confidentialité et de sécurité appliquées par Oracle Corporation et ses filiales lors du traitement et du transfert de données à caractère personnel pour les services de conseil, les services client avancés, le support technique et d'autres services à leurs clients et aux clients affiliés. En outre, elles sont incluses dans la certification d'entreprise ISO 27001:2022 d'Oracle Health et suivent des processus SMSI centralisés.