Hébergeur de Données de Santé

La certification HDS fournit les garanties nécessaires de sécurité des informations aux sociétés qui souhaitent héberger les données de santé de citoyens français dans le cloud.

Introduite par l’Agence du Numérique en Santé (ANS) en 2024, la version 2.0 du HDS renforce la sécurité et la protection des données personnelles de santé régies par le droit français. Les principaux changements comprennent ce qui suit :

• Des exigences en matière de souveraineté des données imposant que le stockage des données de santé (activités 1 et 2) se fasse exclusivement au sein de l’Espace économique européen (EEE).
• Des obligations de transparence renforcées concernant les sous-traitants et l’exposition potentielle à la législation non européenne.
• Alignement avec les normes européennes de cybersécurité et exigences renforcées en matière de portabilité et de réversibilité des données.

Conformément au modèle de responsabilité partagée, il incombe aux clients d’évaluer leurs propres exigences de conformité, y compris l’impact de la version 2.0 du HDS. Les exigences du HDS peuvent être consultées sur le site Web de l’ANS.

La certification HDS v1.1 a été remplacée par la certification v2.0 obtenue lors de l’audit de transition. AWS est désormais certifié selon le framework v2.0 actuel.

Oui. AWS détient la certification HDSv2 dans 27 régions. Pour les clients soumis à l’obligation de résidence des données des activités 1 et 2 de l’EEE, les six régions de l’EEE (Francfort, Irlande, Milan, Paris, Stockholm, Espagne) garantissent une conformité ininterrompue au-delà de la date limite de transition obligatoire du 16 mai 2026. Les 27 régions certifiées restent éligibles aux activités 3 à 6.

AWS a obtenu la certification HDSv2 le 21 avril 2026, couvrant les six activités du framework HDS :

• Activités 1 et 2 – Infrastructure physique (régions de l’EEE uniquement)
      1. Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
      2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
• Activités 3 à 6 – Infrastructure virtuelle, plateforme, opérations et sauvegardes (l’ensemble des 27 régions sont certifiées)
      3. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement de données de santé.
      4. Fourniture et maintenance en état de fonctionnement de la plateforme d’hébergement des applications du système d’information.
      5. Administration et exploitation du système d’information contenant les données de santé.
      6. Sauvegarde des données de santé.

Important – Résidence des données pour l’hébergement physique (activités 1 et 2) : les activités 1 et 2 du framework HDSv2 exige exigent que les données de santé soient stockées physiquement exclusivement dans l’Espace économique européen (EEE). Cela signifie que si vous êtes soumis aux exigences du HDS, vos données de santé stockées doivent résider dans l’une des régions de l’EEE répertoriées ci-dessous. Les activités 3 à 6 (infrastructure virtuelle, hébergement de plateforme, administration/exploitation et sauvegardes) ne sont pas soumises à cette restriction géographique et peuvent être réalisées depuis n’importe quelle région certifiée.

Europe (EEE) : éligible pour toutes les activités (1 à 6)

• Europe (Francfort, Allemagne)
• Europe (Irlande)
• Europe (Milan, Italie)
• Europe (Paris, France)
• Europe (Espagne)
• Europe (Stockholm, Suède)

Europe (hors EEE) : éligible pour les activités 3 à 6 uniquement

• Europe (Londres, Royaume-Uni)
• Europe (Zurich, Suisse)

Amériques – éligibles pour les activités 3 à 6 uniquement

• USA Est (Virginie du Nord)
• USA Est (Ohio)
• USA Ouest (Oregon)
• USA Ouest (Californie du Nord)
• Canada (Centre)
• Canada-Ouest (Calgary)
• Amérique du Sud (São Paulo, Brésil)

Asie-Pacifique et Océanie : éligibles pour les activités 3 à 6 uniquement

• Asie-Pacifique (Tokyo, Japon)
• Asie-Pacifique (Sydney, Australie)
• Asie-Pacifique (Melbourne, Australie)
• Asie-Pacifique (Singapour)
• Asie-Pacifique (Mumbai, Inde)
• Asie-Pacifique (Séoul, Corée du Sud)
• Asie-Pacifique (Hong Kong)
• Asie-Pacifique (Jakarta, Indonésie)
• Asie-Pacifique (Osaka, Japon)
• Asie-Pacifique (Hyderabad, Inde)

Moyen-Orient et Israël : éligibles pour les activités 3 à 6 uniquement

• Moyen-Orient (Dubaï, Émirats arabes unis)
• Israël (Tel Aviv)

Pour être certifié HDS, un fournisseur informatique doit être certifié ISO 27001. Les services couverts par la certification AWS ISO 27001 sont inclus dans le champ d’application de HDS. Les services AWS concernés par la norme ISO/IEC 27001:2022 sont disponibles sur la page Web dédiée à la certification ISO.

Conformément au modèle de responsabilité partagée, il incombe aux clients d’évaluer leurs propres exigences de conformité. Veuillez consulter le site Web de l’ANS pour plus de détails. La norme HDS est disponible sur le site Web de l’ANS.

Conformément au modèle de responsabilité partagée, la certification HDS d’AWS démontre la « sécurité du cloud », permettant aux clients de concentrer leurs ressources sur les objets liés à la « sécurité dans le cloud » en lien avec leur processus de certification HDS.

Oui. Le certificat AWS HDSv2 peut être téléchargé depuis AWS Artifact. La liste des hôtes certifiés se trouve sur le site Web de l’ANS.

L’AWS European Sovereign Cloud n’entre pas encore dans le champ d’application de la certification HDS v2.0. La région a obtenu des certifications de conformité fondamentales (ISO 27001, SOC 2, C5), et AWS évalue l’inclusion de cette région dans le périmètre de certification HDS. Une nouvelle mise à jour sera fournie en temps voulu.

La référence centralisée pour tous les sous-traitants participant à des activités d’hébergement certifiées HDS est disponible sur la page Sous-traitants AWS. En outre, les clients peuvent accéder à la vérification de la certification via le site Web de l’ANS, qui fournit le statut officiel de la certification et des informations sur les sous-traitants impliqués dans les activités d’hébergement certifiées HDS.

Cela garantit aux clients un accès clair et centralisé pour vérifier le statut de conformité et de certification de tous les sous-traitants gérant les données de santé au sein de l’infrastructure conforme HDS d’AWS.

AWS dispose de mécanismes complets de portabilité des données et de contrôle client permettant aux clients de récupérer leurs données de santé dans de nombreux formats conformes aux normes du secteur et de migrer les charges de travail à l’aide de méthodes bien documentées.

Propriété et contrôle des données des clients

En vertu du modèle de responsabilité partagée d’AWS, du contrat client AWS (section 6.1) et de l’addendum HDS v2 (section 12), les clients conservent la propriété et le contrôle complets de leur contenu. AWS permet de récupérer des données à tout moment à l’aide des fonctionnalités de service natives, sans nécessiter l’assistance d’AWS.

Principales fonctionnalités de portabilité

• Clauses contractuelles : le Code de la santé publique impose l’exécution de conditions contractuelles spécifiques entre l’hébergeur des données de santé et ses clients. Les clients AWS peuvent consulter l’AWS Data Processing Addendum (AWS DPA) et les conditions spécifiques applicables.
• Santé et sciences de la vie : AWS propose des architectures de référence, des guides de bonnes pratiques et des solutions spécialisées pour le secteur de la santé. Pour en savoir plus, consultez AWS pour la santé.
• Accélérateur de zone de destination AWS pour le secteur de la santé : une implémentation de référence pour le déploiement d’une infrastructure conforme à la norme HDS. Pour en savoir plus, rendez-vous sur GitHub.