Heva avec Ludovic Lamarsalle - la Mise en Conformité des données sensibles
Après avoir fait appel à Certilience pour des audits de sécurité, HEVA a missionné l’expert en sécurité informatique pour assurer sa mise en conformité vis-à-vis d’un référentiel exigeant.
Ludovic Lamarsalle, son co-dirigeant, revient sur ce partenariat gagnant-gagnant.
Spécialisée dans le traitement statistique des données de santé, HEVA réalise et publie des études pour le compte des laboratoires pharmaceutiques ou des organismes sanitaires. L’entreprise propose aussi des services de « data visualisation » visant à communiquer de manière intelligible auprès de publics non experts. L’activité de l’entreprise requiert d’héberger des données sensibles qui lui sont confiées par le Ministère de la Santé dans un cadre réglementaire précis.
Mise en conformité et sécurisation
Pour se mettre en conformité avec le référentiel sécurité applicable au Système National des Données de Santé publié en avril 2017, HEVA se devait de ne pas être juge et partie et de déléguer l’intégralité de la prestation à « un tiers de confiance ». Elle a donc fait appel à Certilience pour répondre aux exigences de sécurisation des données du référentiel.
La mission a consisté à séparer l’hébergement des données de santé brutes – dont il s’agit de préserver l’anonymat – de celui des données agrégées, avec l’installation d’une bulle sécurité sur une infrastructure interne (Cloud Privé HEVA).
Certilience a ainsi conseillé et accompagné HEVA sur les choix de solutions, mis en production la bulle sécurité, pris en charge la migration des données sur le Cloud Privé et assure depuis l’infogérance du système complet.
Garantir l’anonymat des données
L’enjeu était de garantir la sécurité des informations de santé brutes qui même si elles sont anonymes, restent suffisamment exhaustives pour permettre l’identification des personnes concernées. Pour cela, la solution préconisée et mise en place par Certilience repose sur une sécurisation très poussée du Cloud Privé HEVA, avec une double authentification des collaborateurs autorisés à traiter et à extraire les informations agrégées de la base de données, et un enregistrement en temps réel de toutes les activités réalisées sur la bulle.
« Nous devons atteindre un niveau d’excellence »
Pour Ludovic Lamarsalle, Certilience est « un bon partenaire pour nous aider à atteindre le niveau d’excellence requis par notre métier, en termes de conseil comme de production. Les experts qui nous accompagnent nous comprennent bien et sont de bon conseil sur le choix des solutions. Ils sont aussi très réactifs car nous avons souvent des délais serrés. L’équipe de support est, elle aussi, au point, dans la prise en compte des appels comme le traitement des anomalies ou des problèmes détectés. »
Avec l’appui de Certilience, HEVA a pu prendre une longueur d’avance sur sa mise en conformité, avec un taux de 84 % atteint bien avant l’échéance de 2019.
« Il ne reste qu’à mettre en place les actions de sensibilisation et de formation des salariés pour être à 100 % » précise Ludovic Lamarsalle qui envisage déjà d’aller encore plus loin.
« Demain, nous devrons avoir la possibilité d’héberger des données de santé nominatives de manière externalisée, et pour cela, nous devrons répondre à des normes de sécurité encore plus poussées. »