Hébergeur de données de santé à caractère personnel

EpiConcept a mis en place une politique de sécurité permettant de répondre aux exigences légales et éthiques liées à l’hébergement de données médicales à caractère personnel.

EpiConcept met en œuvre les pratiques issues des Systèmes de Management de la Sécurité de l'information (SMSI) permettant de garantir la disponibilité, l’intégrité et la confidentialité des données qui lui sont confiées.

Depuis le 11 mai 2012, EpiConcept est agréé “hébergeur de données de santé à caractère personnel.” L'agrément est délivré par le ministre de la santé, après avis motivé d'un comité d'agrément (CAH) et de la CNIL, pour une durée de trois ans. La certification a été reconduite dernièrement en Mai 2015. Le périmètre lié à l’agrément d’EpiConcept concerne les applications développées sur la base de Voozanoo. Les exigences techniques en matière de sécurité, l’analyse des risques et la mise en place d’une PSSI (Politique de Sécurité des Systèmes d’Information) nécessaires à l’obtention de cet agrément sont très proches de celles répondant à la norme ISO 27001. (lien vers le site de l'ASIP Santé).

Organisation de la sécurité 

EpiConcept a notamment adopté les mesures suivantes :

  • création d’un comité de pilotage sécurité,
  • diagnostic du niveau de sécurité (plateforme de développement, développement et hébergement),
  • mise en œuvre d’un plan d’actions pour couvrir les risques (formalisation des pratiques, processus de gestion de la sécurité,  plan de formation des salariés…),
  • accompagnement par des experts de la sécurité de l’information (parmi lesquels la société HSC).

Architecture de la plateforme d’hébergement

Tous les développements informatiques d’EpiConcept sont effectués à partir de la plateforme Voozanoo. Parmi les mesures permettant d’assurer sa sécurité : 

  • utilisation systématique de la cryptographie,
  • segmentation du réseau par l’utilisation de sous-réseaux distincts,
  • choix de systèmes d’exploitation réputés pour leur robustesse et optimisés par des experts, 
  • veille technologique et intégration immédiate des mises à jour de sécurité proposées par les éditeurs des formats ouverts, 
  • formation des développeurs à la programmation sécurisée. 

Pour plus d'information contacter notre responsable de la sécurité de systèmes d'information contact-pssi@epiconcept.fr.