Hébergement des données
LA PROTECTION DES DONNEES PERSONNELLES EST UNE DES VALEURS CLÉ DE CEGEDIM SANTE
CEGEDIM Santé accorde une attention prioritaire à la protection des données personnelles de santé qu’elle traite, en appliquant les mesures nécessaires pour garantir leur sécurité et leur confidentialité.
Qu’est-ce que la certification HDS ?
Les données personnelles de santé sont des informations sensibles, protégées par diverses textes qui régulent notamment leur accès et impose des mesures de sécurité adaptées. La certification française Hébergeur de Données de Santé (HDS) vient renforcer leur protection tout en harmonisant les pratiques avec les standards internationaux.
Où sont hébergées vos données ?
Les données traitées dans les solutions de Cegedim Santé sont hébergées en France auprès d’une société française cegedim.cloud, certifiée Hébergeur de Données de Santé pérenne sur les activités 1 à 6 incluse, ISO 27001, ISO 20000, ISO 27017 et ISO 27018, qui fait l’objet d’audits de sécurité réguliers par des organismes agréés.
L’ensemble des certifications de cegedim.cloud est consultable depuis le site internet de cegedim.cloud à l’adresse : https://cegedim.cloud/a-propos/
CEGEDIM Santé fait appel à des sous-traitants, y compris hors de l’Espace Économique Européen, pour certains services, en veillant à ce qu’ils respectent des standards de sécurité tout aussi rigoureux.
La liste complète de ces sous-traitants pour chaque solution est précisée dans les politiques de données personnelles des solutions et sites web concernés.
Transferts transfrontaliers
Lorsque le transfert de données est réalisé dans un pays tiers dans lequel la législation n’a pas été reconnue comme offrant un niveau de protection adéquat des Données personnelles, CEGEDIM Santé veille à ce que les garanties nécessaires soient mises en place conformément à la règlementation applicable et notamment le RGPD et le référentiel HDS v2.
Ces garanties comprennent notamment :
- La mise en place de Clauses Contractuelles Types (CCT).
- Un hébergement des données en France.
- Un accès aux données personnelles strictement réservé aux personnes dûment habilitées et afin de réaliser les finalités de traitement.
Transferts des données de santé à caractère personnel vers un pays n’appartenant pas à l’Espace Economique Européen :
| Raison sociale de l’acteur | CEGEDIM SANTE |
| Rôle dans le cadre de la prestation d’hébergement (Hébergeur/sous-traitant de l’Hébergeur) | HEBERGEUR1 |
| Certifié HDS (oui / non / exempté) | EN COURS |
| Qualifié SecNumCloud 3.2 | NON |
| Activités d’hébergement sur laquelle l’acteur intervient | ACTIVITE 1 : La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé. ACTIVITE 2 : la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ACTIVITE 3 : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé ACTIVITE 4 : la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ACTIVITE 5 : l’administration et l’exploitation du système d’information contenant les données de santé ACTIVITE 6 : la sauvegarde externalisée des données de santé |
| Accès aux données de santé à caractère personnel depuis des pays tiers à l’Espace Economique Européen, par l’Hébergeur ou l’un de ses sous-traitants (exigence n°29 du référentiel HDS) | OUI MAROC PAYS NON COUVERT PAR UNE DECISION D’ADEQUATION AU SENS DE L’ARTICLE 42 DU RGPD2 |
| Hébergeur ou sous-traitant soumis à un risque d’accès aux données de santé à caractère personnel depuis des pays tiers à l’Espace Economique Européen, imposé par la législation d’un pays tiers en violation du droit de l’Union (exigence n° 30 du référentiel HDS) | OUI PAYS : MAROC3 |
1 L’hébergement est réalisé en France par CEGEDIM.cloud, filiale de CEGEDIM, certifiée HDS.
2 CEGEDIM Outsourcing MAROC, filiale de CEGEDIM au Maroc, réalise les prestations de support. CEGEDIM Outsourcing MAROC peut accéder à certaines données, en visualisation uniquement, sans téléchargement ni stockage, en cas de prise en main à distance du PC de l’Utilisateur l’ayant autorisé. Les garanties appropriées au sens de l’article 46 du RGPD sont assurées par des CCT module 3 ST-ST entre CEGEDIM SANTE et CEGEDIM Outsourcing MAROC.
3La Constitution du Maroc, notamment son article 24, peut permettre à la justice marocaine, dans les conditions et selon les formes prévues par la loi, l’accès à certaines données. Cet accès éventuel est encadré par des garanties essentielles et a fait l’objet d’une AITD positive.
Pour toute question relative à la gestion des données personnelles, vous pouvez contacter notre délégué à la protection des données (DPO) à l’adresse : dpo@CEGEDIM-sante.com