La révolution numérique, qui a d’ores et déjà transformé beaucoup de secteurs économiques, est aujourd’hui à l’œuvre dans l’univers médical. Et, comme le souligne le rapport de la DGE sur l’e-santé (2), les nouvelles technologies « permettent aujourd’hui le développement de nouveaux services dans l’ensemble des domaines de la chaîne de valeur : bien-être, information, prévention, soins ou accompagnement du patient. » Le parcours de soin des patients s’appuie encore beaucoup sur les systèmes d’information historiques des établissements de santé, gérés de manière décentralisée et non coordonnée (SI hospitaliers, SI de professionnels de santé et systèmes d’archivage électronique). Mais les choses changent. Et la e-santé est un secteur dynamique, qui compte 30 % de startup parmi ses acteurs (2). Lesquelles innovent principalement dans les domaines de la télémédecine, de l’IoT médical ou des applications de santé.

Dans ce contexte, l’obtention par OVH de l’agrément HDS (hébergement des données de santé) est un signal fort. Car OVH, avec son offre Healthcare, entend accélérer l’innovation et le développement de la e-santé en France et en Europe. Un secteur crucial, tant par son potentiel économique que sa contribution à l’amélioration de la santé publique. Explications avec Julien Levrard, chef de projet sécurité et santé chez OVH.

De gauche à droite : le « médecin de l’hébergeur » employé par OVH, Thibaud Saudrais, responsable de l’équipe Qualité, Julien Levrard, chef de projet sécurité et santé et Grégory Gitsels, de l’équipe juridique.

La solution OVH Healthcare est désormais agréée pour l’hébergement de données de santé à caractère personnel. Qu’est-ce qu’une « donnée de santé à caractère personnel » ?

C’est une notion qui n’est pas évidente à saisir, et pour cause : elle n’a pas d’existence juridique en tant que telle. Seules ont une définition légale les données de santé et les données à caractère personnel. Aussi, il est généralement admis qu’une donnée de santé à caractère personnel est une donnée de santé relative à une personne identifiée ou identifiable, et susceptible de révéler son état de santé physique ou mental. Une donnée de santé anonymisée n’est ainsi plus considérée comme une donnée à caractère personnel. Mais les technologies actuelles de traitement des données rendent parfois possible la réidentification d’une information par le croisement de jeux de données. Voilà pourquoi la donnée de santé à caractère personnelle est une notion qui va probablement évoluer dans le temps, et certainement recouvrir un panel de données de plus en plus large.

Pourquoi OVH se lance-t-il aujourd’hui dans l’hébergement des données de santé ?

Il y a dans le modèle d’OVH deux ingrédients fondamentaux : l’innovation et l’industrialisation. L’industrialisation c’est le fait de viser une masse critique d’utilisateurs, en automatisant tout ce qui peut l’être : la configuration et la livraison des serveurs par exemple. L’humain intervient uniquement lorsque cela est nécessaire, sur des tâches à haute valeur ajoutée. Ces processus industriels nous permettent de proposer nos services au prix le plus juste, et de rendre l’innovation technologique accessible au plus grand nombre. L’innovation consiste quant à elle à ne jamais se satisfaire de ce qui existe déjà. Nous repensons chaque service sous un angle inédit (technologies, usages…), tout en essayant d’anticiper les besoins futurs de nos clients, avant même qu’ils ne les expriment.
C’est ainsi qu’est née la solution Private Cloud en 2010. S’appuyant sur des ressources hardware 100 % dédiées à l’utilisateur et managées par OVH, elle permet de bénéficier de la souplesse et de la haute disponibilité du cloud, sans ses inconvénients (ressources partagées, surallocation, imprévisibilité des coûts, etc.). Cette solution, qui a conquis plusieurs milliers de clients à travers le monde, fait l’objet depuis plusieurs années d’une démarche de certification et d’attestation pour répondre aux cahiers des charges de plus en plus stricts de nos utilisateurs. Après la certification ISO 27001 obtenue début 2013, puis la publication des rapports SOC 1 (ISAE 3402 et SSAE 16) et SOC 2 Type II depuis 2014, le Private Cloud (avec l’offre dédiée « OVH Payment Infrastructure ») a obtenu la certification PCI-DSS niveau 1 en 2015, qui permet à nos clients de stocker et traiter des données de cartes bancaires.
Nous avons entrepris en mars 2015 la procédure d’agrément HDS auprès de l’agence française de la santé numérique (ASIP) et de la CNIL, de façon à proposer une offre d’hébergement de données de santé à caractère personnel. Cet agrément HDS, obtenu en novembre 2016, s’inscrit dans la continuité des démarches précédentes visant à étendre les usages du Private Cloud, une solution nativement pensée pour les applications critiques, qui s’appuie sur les technologies VMware SDDC (vSphere, NSX, vRealize Operation) pour simplifier la gestion de la plateforme et bénéficier des dernières innovations du leader des technologies de virtualisation.
Mais, en premier lieu, l’agrément HDS répond à une attente forte de la part de nos clients. Et nous sommes convaincus qu’elle suscitera l’intérêt de nombreux acteurs de la e-santé, un secteur en pleine effervescence dont le développement a été pénalisé par des coûts d’hébergement démesurément élevés et des offres souvent opaques.

En quoi l’arrivée d’OVH sur le marché de l’hébergement de santé va-t-elle favoriser le développement de la e-santé en France et l’innovation dans ce secteur ?

Prenons l’exemple de la startup française Betterise Health Tech qui se décrit comme un créateur de thérapies digitales intelligentes. En 2011, Betterise Health Tech a démarré sa collaboration avec OVH pour l’hébergement d’applications de coaching santé (Betterise, puis Moi, Bientôt Maman). Ils ont ensuite souhaité étendre leur panel de produits, en mettant leur expertise au service de solutions visant le statut de dispositif médical, à l’instar de leur application mobile à destination des malades du diabète. Satisfaits du Private Cloud d’OVH, ils se heurtaient à une contrainte légale : l’obligation de faire appel à un hébergeur agréé HDS. Assez présents dans les médias, ils n’ont pas tardé à être démarchés par les hébergeurs agréés, ou des intermédiaires, et se sont trouvés face à une offre opaque, avec des devis allant du simple au quadruple pour des prestations techniques similaires. Des sociétés telles que Betterise Health Tech ou Sovinty], qui inventent la médecine de demain, il en existe un certain nombre, et il va s’en créer encore davantage dans les années à venir – nous n’hésiterons d’ailleurs pas à les soutenir via le Digital Launch Pad, notre programme d’accompagnement des startups. C’est notamment pour ce type de société que nous avons conçu OVH Healthcare.
Dans le paysage actuel des offres d’hébergement de données de santé, l’offre OVH Healthcare détonne par sa transparence : les caractéristiques techniques de notre solution sont accessibles à tous, sur notre site web, de même que son tarif. Il est possible de commander en ligne, puis d’être livré très rapidement. En quelques minutes, l’utilisateur dispose d’une infrastructure prête à l’emploi, et peut commencer à déployer ses machines virtuelles en attendant la relecture par notre équipe qualité des documents qu’il aura fournis et la signature du « contrat agréé », qui interviendra sous une à deux semaines maximum. Si les démarches se font en ligne, l’utilisateur n’est pas pour autant livré à lui-même : OVH l’accompagne dans la mise en conformité de son infrastructure et lui donne accès à une base documentaire afin qu’il puisse se tenir informé des bonnes pratiques et évolutions réglementaires s’appliquant à l’hébergement des données de santé.

En dehors des applications web et mobile en lien avec la santé, quels peuvent être les usages de l’offre OVH Healthcare ?

Le marché de la e-santé est aujourd’hui largement dominé par les systèmes d’information de santé (SIS). Il s’agit des SI hospitaliers (SIH), SI de professionnels de santé et systèmes d’archivage électronique. Une partie de ces systèmes est encore hébergée localement par les établissements de santé (qui sont dispensés d’agrément HDS), mais avec l’informatisation quasi totale des dossiers des patients, le SIS est devenu complexe à gérer (compétences nécessaires, budget pour renouveler le parc de serveurs et le sécuriser…). Beaucoup d’établissements ont naturellement fait appel à des prestataires pour les aider, et ont externalisé tout ou partie de leur SI. L’objet de la loi de 2006 qui encadre l’attribution de l’agrément HDS était d’ailleurs de réglementer cette externalisation, et d’apporter des garanties dans les domaines éthique et financier, en matière de respect des droits des patients et de sécurité des données.
Parmi les hébergeurs agréés HDS figurent de gros acteurs IT, mais aussi et surtout beaucoup d’éditeurs de logiciels de santé et d’intégrateurs (SSII spécialisées dans le domaine de la santé), dont l’hébergement n’est pas le cœur de métier. Ils ont simplement pris en charge cet aspect pour pouvoir offrir un service clé en main à leurs clients.
Nous pensons que nous avons aujourd’hui tout intérêt à travailler main dans la main avec ces acteurs (certains ont d’ailleurs déjà commencé à se rapprocher de nos équipes). Nous pouvons les libérer d’une partie de leur activité qui n’est pas celle où ils apportent le plus de valeur ajoutée (administrer des serveurs, gérer les pannes…) et qui est probablement la plus risquée dans leur business (assurer la sécurité des données et la disponibilité d’une infrastructure nécessite des moyens importants, et des compétences spécifiques : c’est le cœur de métier d’un hébergeur).
Aujourd’hui, en ce qui concerne les applications de santé, la couche applicative et la couche hébergement sont encore très souvent liées et gérées par un même prestataire. Nous défendons un modèle différent, dans lequel chaque couche métier est prise en charge par un spécialiste.

Dans le cadre de son offre OVH Healthcare, quelles garanties OVH apporte-t-il quant à la protection des données de santé ?

Le cadre juridique de l’hébergement de données de santé à caractère personnel est issu du code de la santé publique, et plus précisément de la loi dite « Kouchner » (du 4 mars 2002, relative aux droits des patients). Le décret du 4 janvier 2006 définit, quant à lui, les conditions d’agrément des hébergeurs de données de santé sur support informatique.
Le cadre réglementaire mis en place par le législateur vise à « encadrer le dépôt, la conservation et la restitution des données de santé à caractère personnel, dans des conditions propres à garantir leur confidentialité et leur sécurité. » Il n’en résulte pas un cahier des charges précis en termes de procédures ou standards techniques à respecter ; le prestataire doit en fait exposer à l’ASIP, à travers un imposant dossier, comment il opère la prestation qu’il soumet à l’agrément (les méthodes) et détailler l’ensemble des mesures prises pour garantir les meilleures conditions de sécurité et de confidentialité aux données de santé qu’il aura à héberger. Après quoi l’ASIP et la CNIL examinent conjointement ce dossier et rendent un avis favorable ou défavorable au ministère de la Santé, qui prend la décision d’attribuer ou non l’agrément.
Le parti pris d’OVH, pour bâtir l’offre OVH Healthcare, a été de capitaliser sur le système de gestion de la sécurité de l’information (SMSI) ainsi que les bonnes pratiques qui lui ont permis d’obtenir les certifications précédentes, et notamment le standard PCI-DSS (norme internationale de sécurité de l’industrie des cartes de paiement), qui est parmi les normes les plus contraignantes en matière de sécurité des données. Nous avons ajouté à cela des options de sécurité avancées ainsi que les fonctionnalités adéquates pour permettre à nos clients de mettre en œuvre une politique de continuité d’activité adaptée à leurs projets. Enfin, avons intégré les spécificités liées à l’hébergement des données de santé, à l’instar de la présence d’un « médecin de l’hébergeur » au sein d’OVH ou du régime de responsabilité partagé entre l’hébergeur et l’utilisateur.

Il faut noter que la procédure d’agrément HDS actuelle (qui doit être renouvelée tous les 3 ans) va évoluer vers une procédure de certification. OVH a d’ailleurs participé à la consultation publique organisée par l’ASIP et émis quelques recommandations en vue d’une meilleure standardisation technique des offres agréées HDS. Cela va, selon nous, contribuer à simplifier, clarifier et assainir le marché de l’hébergement des données de santé, et faire tomber les barrières à l’entrée pour ceux qui veulent se lancer.

L’offre OVH Healthcare est basée sur une solution de Cloud privé développée par OVH, le Private Cloud. Qu’est-ce qui justifie le surcoût d’un pack Private Cloud Healthcare par rapport à une offre Pirvate Cloud standard ?

Le surcoût s’explique en partie par les options de sécurité avancée fournies dans le cadre de l’offre HDS. Il s’agit notamment des ACL d’accès à l’infrastructure, du time out de session, du monitoring SMS et validation d’actions par token, de l’analyse du trafic et monitoring des actions frauduleuses, du rapport quotidien des actions sensibles, de la gestion fine des comptes utilisateurs et administrateurs, du traitement spécifique des mises au rebut des médias physiques et de la traçabilité renforcée.
Mais, au-delà de ces mesures de sécurité, le surcoût s’explique par le besoin d’accompagnement accru des utilisateurs et la mise à leur disposition d’experts de l’hébergement de santé (dont fait partie notre « médecin de l’hébergeur »), ainsi que par la responsabilité renforcée d’OVH en cas d’incident relatif à la confidentialité des données. De la même façon que pour PCI-DSS, nous facturons à nos clients le risque juridique et financier lié à l’hébergement de ce type de données très sensibles. Un risque que nous minimisons, via des moyens techniques, des processus de gestion de sécurité renforcés et des contrats très explicites quant à la responsabilité de chaque partie prenante (les utilisateurs ayant notamment le devoir d’utiliser les options de sécurité avancée que nous mettons à leur disposition).

Quel est le rôle du « médecin de l’hébergeur » ?

La présence d’un médecin de l’hébergeur est une obligation ajoutée à la loi de 2006. Son rôle n’est pas réellement précisé dans le décret, aussi nous avons souhaité donner une véritable mission à « notre » médecin, qui est un généraliste lillois concerné par l’utilisation des nouvelles technologies dans le secteur de la santé.
Ce médecin a des pouvoirs qui sont loin d’être négligeables : la loi impose que toute société utilisant l’offre OVH Healthcare doit prévoir une procédure pour ouvrir un accès aux applications hébergées, si notre médecin en fait la demande, de sorte qu’il puisse observer de quelle manière sont utilisées les données et émettre des recommandations.
Ce médecin est fortement impliqué dans l’examen des documents fournis par les clients dans le cadre du contrat HDS, ainsi que dans l’accompagnement offert aux utilisateurs pour les guider dans le respect des bonnes pratiques.
Par ailleurs, une équipe de gestionnaires de risque accompagne notre médecin et effectue pour chaque client une revue de la finalité des traitements mis en œuvre, de façon à s’assurer de l’adéquation entre notre plateforme et les enjeux de sécurité de ces projets. En cas d’écart manifeste ou de doute, OVH va alerter son client sur le risque associé et formuler des recommandations.

En quoi le régime de responsabilité relatif à l’hébergement des données de santé se démarque-t-il de celui qui encadre l’hébergement traditionnel ?

L’agrément HDS (tout comme la conformité HIPAA, cf. question suivante) repose sur le partage des responsabilités entre OVH, l’utilisateur et, le cas échéant d’autres tiers impliqués dans le projet ( en savoir plus). Une plateforme SDDC Healthcare ne peut être utilisée pour des données de santé à caractère personnel qu’après la signature d’un contrat spécifique formalisant ce partage de responsabilités.
Dans le cadre d’un hébergement traditionnel, l’hébergeur, dont le statut a été clarifié par la LCEN (loi de confiance dans l’économie numérique) du 21 juin 2004, bénéficie d’un régime de responsabilité atténué. Sa responsabilité ne peut ainsi être engagée que s’il est averti d’un contenu illicite et qu’il ne suspend pas promptement sa diffusion.
Dans le cadre de l’hébergement de données de santé, l’hébergeur a une responsabilité sur toute la chaîne d’hébergement des données, du serveur jusqu’à l’application utilisée par les patients, alors que certaines activités sont réalisées uniquement par nos clients et leurs partenaires sans intervention d’OVH. C’est le cas pour la gestion des systèmes d’exploitation des machines virtuelles, des couches middleware et des applications. OVH s’engage sur cette responsabilité en accompagnant ses clients grâce une équipe d’avant-vente et d’experts à l’écoute de nos clients, une riche base documentaire, et des activités de contrôles (revue des finalités des traitements, droit d’audit, accès du médecin de l’hébergeur aux applications, etc.).

HDS est un agrément français. Des sociétés étrangères, et notamment européennes, peuvent-elles héberger des données de santé sur l’offre OVH Healthcare ?

L’agrément HDS est nécessaire pour héberger des données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins sur le territoire français.
Rien n’interdit, au passage, d’héberger ces données en dehors du territoire français, à la condition que le prestataire soit détenteur de l’agrément HDS. La réglementation concernant l’hébergement des données de santé à caractère personnel n’est pas encore harmonisée au sein de l’Union européenne, mais des initiatives sont à noter dans ce sens. Néanmoins, la réglementation française, qui est parmi les plus protectrices en matière de données à caractère personnel, sert souvent de modèle en Europe. Si bien qu’aujourd’hui, un établissement de santé ou une société étrangère peuvent parfaitement envisager l’utilisation de notre offre OVH Healthcare, qui s’avère conforme, voire mieux-disante, que la réglementation de leur propre pays.
En ce qui concerne les États-Unis, OVH est en train de mettre en conformité son offre Healthcare à la loi HIPAA (Health Insurance Portability and Accountability Act). Cette loi, votée par le Congrès des États-Unis en 1996, impose à tous les intervenants du secteur des soins de santé aux USA de protéger les informations sur les patients. Une offre SDDC HIPAA Readyest d’ailleurs d’ores et déjà disponible, permettant aux utilisateurs de tester l’infrastructure à prix réduit dans l’attente de la disponibilité d’un contrat conforme à la loi HIPAA.

(1) drees.social-sante.gouv.fr
(2) entreprises.gouv.fr

Publié par Hugo Bonnaffé le 5 décembre 2016 dans https://www.ovh.com/

Pour en savoir plus :

 OVH Healthcare : comment OVH accélére le développement de la e-santé depuis 2016
 OVH ouvre cinq nouveaux datacenters, dont un au Canada et un aux Etats-Unis en 2017.
 Sovinty améliore la prise en charge des patients avant et après une intervention chirurgicale en 2016
 Mounir Mahjoubi, secrétaire d’Etat au numérique en visite à l’Université Technologique de Troyes le 23 mars 2018
 Doctolib : le patron dévoile les plans de la nouvelle licorne française mardi 19 mars 2019
 La French Tech démarre en trombe ses levées de fonds 2019
 Meero, Doctolib, Blablacar… quel est le véritable nombre des licornes françaises ?
 Bernard Nordlinger : « La santé est l’un des premiers domaines d’application de l’intelligence artificielle »
 Intelligence Artificielle : Elle permet de diagnostiquer plus vite les maladies rares
 « Pourquoi l’intelligence artificielle est devenue incontournable, y compris dans les PME » en aout 2019.
 Macron débloque 5 milliards d’euros pour doper le financement des startup le 17 septembre 2019 à Paris.
 Next40 : qui sont les futurs champions de la French Tech dévoilés le 17 septembre 2019 à Paris ?
 Les startups strasbourgeoises chassent en meute en octobre 2019 à Boston
 "Les ministères français ignorent que leurs données sont hébergées sur des serveurs américains" selon OVH le 09 novembre 2019
 Le conseil d’administration de la French Tech Boston a eu lieu jeudi 28 novembre 2019
 Dans les coulisses de la French Tech le 09 décembre 2019
 "La vraie menace pour la French Tech, c’est la crise des talents" (Kat Borlongan) le 19 décembre 2019
 A Bordeaux,Treefrog Therapeutics, une usine à cellules souches ouvre la voie aux thérapies cellulaires en janvier 2020.
 Cédric O offre 2 nouveaux moyens aux startups pour attirer les talents en France le 20 janvier 2020
 French Tech 120 : Découvrez les startups du médical le 20 janvier 2020
 "Les critères du FT120 sont perfectibles parce que l’écosystème French Tech est extraordinairement divers", selon Kat Borlongan le 03 février 2020