Hébergement de données de santé

Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux


Avec le développement des logiciels en mode SaaS (pour "Software as a Service"), un nombre croissant de fabricants de logiciels dispositifs médicaux est concerné par l'hébergement de données de santé.

Ces traitements de données à caractère personnel concernent des données sensibles et, de ce fait, sont soumis à des exigences réglementaires particulières.

Cependant, appréhender la notion d'hébergement de données de santé et les exigences qui en découlent n'est pas forcément simple.

Penchons-nous sur ce sujet à l'occasion de cet article.

Hébergement de données de santé

Qu'est-ce qu'un hébergeur de données de santé ?

L'article R1111-9 du Code de la Santé Publique nous indique que six grandes activités constituent des hébergements de données de santé.

Et ces activités sont énoncées dans l'ordre des couches dans lesquelles elles sont mises en œuvre.

La figure ci-dessous vous présente ces activités.

Hébergement de données de santé

Sur cette base, deux grands types d'hébergeurs de données de santé sont définis :

  • les hébergeurs d'infrastructure physique et
  • les hébergeurs infogéreurs.

Les hébergeurs d'infrastructure physique sont des hébergeurs de données de santé qui

  • mettent à disposition et maintiennent en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé et / ou
  • mettent à disposition et maintiennent en condition opérationnelle l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé.

Quant aux hébergeurs infogéreurs, il s'agit des hébergeurs de données de santé qui

  • mettent à disposition et maintiennent en condition opérationnelle l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé et / ou
  • mettent à disposition et maintiennent en condition opérationnelle la plateforme d'hébergement d'applications du système d'information et / ou
  • administrent et exploitent le système d'information contenant les données de santé et / ou
  • sauvegardent des données de santé.
Types d'hébergeurs de données de santé

Dans ce contexte, l'activité d'administration et d'exploitation du système d'information contenant les données de santé peut retenir notre attention quand on considère les fabricants de logiciels dispositifs médicaux (ou SaMD pour "Software as Medical Device").

Administration et exploitation du système d'information contenant les données de santé

L'activité d'administration et d'exploitation du système d'information contenant les données de santé est aussi dénommée activité numéro 5 des hébergeurs de données de santé.

Elle concerne la couche logicielle du système d'information contenant les données de santé et recouvre des opérations telles que

  • la configuration de la base de données,
  • l'installation et la mise à jour du logiciel,
  • la configuration du logiciel…

Dans la plupart des cas, les fabricants de logiciels dispositifs médicaux en mode SaaS font appel à un hébergeur de données de santé pour mettre le logiciel à disposition des utilisateurs.

Néanmoins, dans le cadre de ces prestations, c'est souvent le fabricant du dispositif médical qui déploie le logiciel sur le serveur d'applications.

De ce fait, le fabricant du dispositif doit assurer la sûreté de son logiciel à deux niveaux :

  • la conception et le développement du logiciel ainsi que
  • le déploiement et l'exploitation du logiciel.

Sûreté de conception et développement du logiciel

La sûreté de conception et développement du logiciel est assurée via le système de management de la qualité (SMQ) pour dispositifs médicaux du fabricant.

En effet, ce système de management assure le respect des exigences de sûreté de conception et développement du logiciel prévues par la réglementation applicable aux dispositifs médicaux.

De plus, des normes dédiées à la sûreté des dispositifs médicaux sont en cours d'harmonisation pour la mise en œuvre de cette réglementation.

Sûreté de déploiement et d'exploitation du logiciel

La sûreté du déploiement et de l'exploitation du logiciel doit être assurée via un système de management de la sécurité de l'information (SMSI) basé sur la norme EN ISO/IEC 27001 (Technologies de l'information – Techniques de sécurité – Systèmes de management de la sécurité de l'information – Exigences).

En effet, la mise en œuvre de l'activité d'administration et d'exploitation du système d'information contenant les données de santé fait du fabricant de logiciels dispositifs médicaux un hébergeur infogéreur.

Et la qualification du fabricant en hébergeur de données de santé au sens du Code de la Santé Publique emporte des conséquences réglementaires.

Implications pour les fabricants de logiciels dispositifs médicaux

Les activités d'hébergement de données de santé sont des traitements de données à caractère personnel au sens du Règlement (UE) 2016/679 (ou RGPD).

Et l'article 42 de ce Règlement invite les Etats membres de l'Union Européenne à mettre en place des certifications pour la protection des données.

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.


Source : Règlement (UE) 2016/679, Article 42

Ainsi, le Code de la Santé Publique prévoit la certification HDS des hébergeurs de données de santé par son article L1111-8.

Dans ce contexte, les fabricants de logiciels dispositifs médicaux et, de façon générale, les éditeurs de logiciels de santé ont fait valoir

  • qu'ils sous-traitent l'hébergement des données de santé à des hébergeurs certifiés et
  • que l'exigence de certification HDS pour la mise en œuvre de l'activité numéro 5 des hébergeurs de données de santé semble exagérée.

Par voie de conséquence, l'éventualité d'une modification de la législation est à l'étude depuis 2019.

Question 5 : Quels sont les acteurs qui doivent être certifiés au titre de l'activité 5 (administration et exploitation du système d'information de santé) ?

Cette activité, relative à l'application métier, a conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s'interroger sur la nécessité d'être certifiés. Conscient que cette activité est effectivement à la limite de ce qu'on qualifie normalement d'hébergement, mais que cette activité est néanmoins importante dans la chaîne de sécurité des données de santé à caractère personnel, le ministère chargé de la Santé va engager des travaux pour étudier l'opportunité et les modalités d'encadrement de l'activité d'administration et d'exploitation d'applications. Ces travaux pourront déboucher sur la mise en place d'un dispositif spécifique pour la gestion des applications. Une modification du décret HDS est en tout état de cause prévue pour retirer l' «activité 5 administration et exploitation».

La réflexion sera conduite dans une approche globale du sujet de sécurité et de qualité des applications, du point de vue de la confidentialité des données de santé à caractère personnel comme de celui du bon fonctionnement des applications.


Source : Ministère des solidarités et de la santé – 16 mai 2019 – Explicitation du champ d'application du cadre juridique de l'hébergement de données de santé par le ministère chargé de la Santé, représenté par la Délégation à la stratégie des systèmes d'information de santé

Il semble donc important, pour les fabricants de logiciels dispositifs médicaux concernés, d'inclure ce point dans leur veille réglementaire.

Pour en savoir plus

La certification HDS vient à l'appui du Règlement (UE) 2016/679 (ou RGPD).

Le RGPD dans le cadre des logiciels de santé

Le Règlement (UE) 2016/679 (ou RGPD) protège les traitements de données concernant la santé

Parmi les normes de cybersécurité en cours d'harmonisation pour la mise en œuvre de la réglementation relative aux dispositifs médicaux on note la norme CEI EN 81001-5-1.

Qu'est-ce que la norme CEI EN 81001-5-1 ?

La norme CEI EN 81001-5-1 traite de cybersécurité des logiciels (de) dispositifs médicaux

Maurice Navarro

Maurice Navarro

Consultant qualité & logiciel pour dispositifs médicaux

Depuis plus de 15 ans, j'accompagne la réalisation de projets logiciels et la mise en place de systèmes de gestion de la qualité pour assurer le marquage CE de dispositifs médicaux fiables, sûrs et commercialisables sans délais.

Le 01 / 06 / 2023