Hébergement des données
de santé
Cartographie des transferts et des risques d’accès
Référentiel HDS v2.0
Atos France est certifiée ISO/IEC 27001 et Hébergeur de Données de Santé (HDS).
La présente page décrit la cartographie des transferts de données de santé à caractère personnel pour les activités d’hébergement et d’infogérance certifiées HDS réalisées par Atos France, dans le cadre de son périmètre de certification HDS.
Cette information est rendue publique conformément aux exigences du référentiel de certification Hébergeur de Données de Santé (HDS) – version 2.0, et vise à garantir la transparence vis-à-vis des clients, des autorités et du public.
Périmètre concerné
Cette page couvre les activités d’hébergement et d’infogérance certifiées HDS opérées par Atos France dans le cadre de son périmètre HDS certifié.
Elle s’applique aux contrats et prestations clients relevant de ce même périmètre, sans identification individuelle des clients ou des contrats, conformément aux exigences de confidentialité et aux bonnes pratiques du référentiel HDS.
Localisation des données de santé
Dans le cadre des activités certifiées HDS :
– Les données de santé à caractère personnel sont hébergées, stockées et traitées exclusivement au sein de l’Espace Économique Européen (EEE) ;
– Les infrastructures utilisées sont localisées en France ;
– Les prestations sont assurées par Atos France et, le cas échéant, par des sous traitants certifiés HDS, intervenant dans le respect des exigences réglementaires applicables.
Aucune donnée de santé à caractère personnel n’est transférée, stockée ou traitée hors de l’Espace Économique Européen.
Accès aux données depuis des pays hors EEE
Dans le cadre du périmètre HDS certifié :
– Aucun accès aux données de santé n’est réalisé depuis un pays situé hors de l’EEE,
– Que ce soit par des personnes physiques (administration, exploitation, support),
– Ou par des moyens techniques automatisés.
Les accès aux systèmes sont strictement réalisés depuis des sites localisés au sein de l’EEE et font l’objet de mesures de sécurité, de contrôle et de traçabilité conformes au Système de Management de la Sécurité de l’Information (SMSI).
Législations extra européennes
L’analyse de la chaîne d’acteurs intervenant dans les activités couvertes par le périmètre HDS certifié n’a pas mis en évidence :
• D’exposition à des législations extra européennes susceptibles d’imposer un accès aux données de santé,
• Ni de dépendance à des acteurs soumis à des obligations juridiques incompatibles avec le droit de l’Union européenne.
Le risque résiduel d’accès non autorisé aux données de santé du fait d’une législation extra européenne est évalué comme nul.
Tableau synthétique des transferts
| Elément analysé | Situation |
|---|---|
| Transfert de données de santé hors EEE | Aucun |
| Accès distant depuis un pays hors EEE | Aucun |
| Acteurs soumis à des législations extra UE | Aucun |
| Garanties appropriées au sens des articles 45 et 46 du RGPD | Non applicables |
| Risque résiduel identifié | Nul |
Information réglementaire
La présente information est mise à disposition du public conformément à l’exigence EXI 31 du référentiel de certification HDS v2.0.
L’URL de cette page est communiquée à l’Organisme de Certification (OC) dans le cadre des audits de certification HDS réalisés sur le périmètre concerné.
À propos de la certification Hébergeur de Données de Santé (HDS)
La certification Hébergeur de Données de Santé (HDS) est une certification réglementaire française encadrant l’hébergement et l’infogérance de données de santé à caractère personnel. Elle repose sur la norme internationale ISO/IEC 27001, complétée par des exigences spécifiques au secteur de la santé, et vise à garantir un niveau élevé de sécurité, de confidentialité, de disponibilité et de traçabilité des données hébergées.
La certification HDS est délivrée par un organisme de certification accrédité, sous l’autorité de l’Agence du Numérique en Santé (ANS).