Données de Santé — Souveraineté et Localisation

Localisation des données

L'infrastructure d'ANA Healthcare est conçue pour l'hébergement exclusif de données de santé en France (AWS eu-west-3, Paris). La certification HDS (activités 1 à 6) est prévue pour novembre 2026.

Transferts internationaux

L'architecture est conçue pour qu'aucune donnée de santé à caractère personnel ne transite vers un pays tiers à l'espace économique européen.

Sous-traitant d'infrastructure

ANA Healthcare utilise Amazon Web Services (AWS) comme sous-traitant d'infrastructure. AWS est certifié HDS pour les activités 1 à 3 et soumis au US CLOUD Act (18 U.S.C. § 2713).

Mesures d'atténuation

• •Chiffrement au repos (AES-256) avec clés gérées par ANA Healthcare
• •Chiffrement en transit (TLS 1.2+)
• •Stockage exclusif en France (eu-west-3)
• •Contrat de sous-traitance conforme RGPD Article 28
• •Notification au client sous 24h en cas de demande d'accès

Risques résiduels

Un risque théorique subsiste qu'une autorité américaine obtienne un accès aux données via le CLOUD Act. La probabilité est jugée très faible compte tenu des protections techniques et juridiques en place. Aucun cas connu d'application du CLOUD Act à des données de santé françaises à ce jour.

Certification HDS

ANA Healthcare prépare sa certification HDS v2 (Hébergeur de Données de Santé) pour les activités 1 à 6. L'audit de certification est prévu pour novembre 2026, combiné avec la certification ISO 27001:2022. AWS, en tant que sous-traitant d'infrastructure, est déjà certifié HDS pour les activités 1 à 3.