Données de Santé — Souveraineté et Localisation

Localisation des données

ANA Healthcare héberge les données de santé dans la région AWS eu-west-3 (Paris).

Transferts internationaux

L'architecture est conçue pour qu'aucune donnée de santé à caractère personnel ne transite vers un pays tiers à l'espace économique européen.

Aucun accès distant aux données de santé à caractère personnel n'est autorisé depuis un pays situé hors de l'Espace économique européen dans le cadre des opérations HDS ANA Cohort.

Sous-traitant d'infrastructure

ANA Healthcare utilise Amazon Web Services (AWS) comme sous-traitant d'infrastructure. AWS est certifié HDS pour les activités d'infrastructure applicables et soumis au US CLOUD Act (18 U.S.C. § 2713).

Mesures d'atténuation

• •Chiffrement au repos (AES-256) avec clés gérées par ANA Healthcare
• •Chiffrement en transit (TLS 1.2+)
• •Stockage exclusif en France (eu-west-3)
• •Contrat de sous-traitance conforme RGPD Article 28
• •Garanties contractuelles AWS et engagement de contestation des demandes d'accès non conformes au droit applicable
• •Notification au client sous 24h en cas de demande d'accès

Risques résiduels

Un risque théorique subsiste qu'une autorité américaine obtienne un accès aux données via le CLOUD Act. La probabilité est jugée très faible compte tenu des protections techniques et juridiques en place. Aucun cas connu d'application du CLOUD Act à des données de santé françaises à ce jour.

Cette page constitue la page publique d'information d'ANA Healthcare relative à la souveraineté, aux transferts éventuels et aux risques d'accès non autorisé au sens du référentiel HDS v2.

Certification HDS

ANA Healthcare prépare sa certification HDS v2 pour ANA Cohort. Le périmètre visé couvre les activités HDS applicables au service, notamment les activités 1 à 5. Les sauvegardes nécessaires à la continuité du service sont traitées comme une composante intrinsèque du service hébergé et non comme une activité autonome de sauvegarde externalisée.