Hébergement de données de santé

La direction des services numériques de l’Assistance publique – hôpitaux de Paris (AP-HP) est titulaire d’un certificat de conformité pour l’hébergement de données de santé à caractère personnel sur support numérique au sens du II de l'article L. 1111-8 du Code de la Santé Publique. Le certificat de conformité est valable à compter du 4 juin 2025 jusqu'au 7 septembre 2026.
 

Les activités d’hébergement concernées sont les suivantes :

1. La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé
2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé
3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé
4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information
5. L'administration et l'exploitation du système d'information contenant les données de santé
6. La sauvegarde des données de santé.
    

Pour l’hébergement physique et l’infogérance technique et applicative des applications : E-NADIS (GESTION DOSSIER VIH), BAMARA (GESTION DE MALADIES RARES) et CYBERLAB (PUBLICATION DES RESULTATS DES ANALYSES DE LABORATOIRES).

Les activités d’hébergement sont rendues depuis trois sites situés en Île-de-France :

1. 33, boulevard de Picpus 75012 Paris
2. Kyndryl France : 7-9, rue Petit 92582 Clichy
3. Ville de Paris : 55 ter, rue de la Chapelle 75018 Paris

La langue française est utilisée pour les activités d’hébergement ainsi que le support de premier niveau.

Transparence sur les transferts de données de santé à caractère personnel

Dans le cadre de notre engagement en matière de protection des données de santé et en conformité avec les exigences du référentiel Hébergeur de données de santé (HDS), nous mettons à disposition du public une cartographie détaillée des transferts des données de santé à caractère personnel (DSCP) en dehors de l’Espace économique européen (EEE). Cette transparence permet d'assurer une gestion conforme aux exigences de sécurité et de protection des données sensibles. Ces informations sont mises à jour régulièrement.

Situation au 19/06/2025 :

Aucun transfert de données de santé à caractère personnel vers un pays tiers à l’Espace économique européen n’est réalisé pour les services certifiés BAMARA, CYBERLAB et E-NADIS.

Sous-traitance

Pour délivrer ses activités d’hébergement, la direction des services numériques de l’Assistance publique – hôpitaux de Paris (AP-HP) fait appel à plusieurs sous-traitants :

Kyndryl France :

• 8-14 Colisée Gardens - 8, avenue de l’Arche 92400 Courbevoie France ;
• RCS Nanterre B 894 880 194 ;
• agissant en qualité de sous-traitant certifié hébergeur de données de santé, non qualifié SECNUMCOUD, pour la prestation de mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
• sans accès aux données de santé ;
• sans risque d’accès aux données de santé à caractère personnel depuis des pays tiers à l’Espace économique européen, imposé par la législation d’un pays tiers en violation du droit de l’Union ;
• certificat HDS : https://www.kyndryl.com/fr/fr/compliance/certifications.

Ville de Paris :

• Mairie de Paris – 4, place de l’Hôtel de ville 75004 Paris France ;
• agissant en qualité de sous-traitant certifié hébergeur de données de santé, non qualifié SECNUMCOUD, pour la prestation de mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
• sans accès aux données de santé ;
• sans risque d’accès aux données de santé à caractère personnel depuis des pays tiers à l’Espace économique européen, imposé par la législation d’un pays tiers en violation du droit de l’Union ;
• certificat HDS : https://www.lne.fr/recherche-certificats/ et sélectionner « Ville de Paris » depuis « Titulaire du certificat ».

OVH SAS :

• OVHCLOUD -2, rue Kellermann, 59100 Roubaix France ;
• SIRET 424 761 419 00045 ;
• Agissant en qualité de sous-traitant certifié hébergeur de données de santé, non qualifié SECNUMCOUD, pour les prestations de mise à disposition et le maintien en condition opérationnelle :
  • Des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  • De l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
  • De la plateforme d’hébergement d’applications du système d’information ;
  • De l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
• Sans accès aux données de santé depuis des pays tiers à l’Espace économique européen ;
• Sans risque d’accès aux données de santé à caractère personnel depuis des pays tiers à l’Espace économique européen, imposé par la législation d’un pays tiers en violation du droit de l’Union ;
• Certificat HDS : https://www.lne.fr/recherche-certificats/ et sélectionner « OVH » depuis « Titulaire du certificat ».

Si un sous-traitant titulaire d’un certificat de conformité pour l’hébergement de données de santé (HDS) venait à perdre sa certification ou à la voir suspendue, l’AP-HP procéderait au transfert de l’activité vers un autre de ses sous-traitants titulaire d’un certificat de conformité pour l’hébergement de données de santé (HDS).