Représentation des garanties de la certification d'Hébergement de Données de Santé (HDS) sur les produits OVHcloud

Contactez-nous

Base de connaissances

KB0063047

7051 vues

24.02.2025

Informations du compte

Objectif

Ces tableaux sont publiés préalablement à la certification effective d'OVHcloud sur la version 2024 du référentiel HDS. Ils permettent aux clients d'OVHcloud d'alimenter leur propre démarche de conformité par rapport au référentiel HDS version 2024. OVHcloud a réalisé et publié ces tableaux en s'efforçant d'appliquer au mieux les différentes exigences du référentiel. Les versions vérifiées par les auditeurs ont été mises en ligne avant février 2024.

1 - Dedicated Server

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur laquelle l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

2 - Dedicated Server 3AZ

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Global Switch SAS (SIREN : 424 224 897)	Sous-traitant	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Oui. Pays : Etats-Unis d'Amérique, Chine³
Digital Realty (SIREN : 519 287 833)	Sous-traitant	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé;	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Oui. Pays : Etats-Unis d'Amérique⁴
Data4 Service SAS (SIREN : 493 254 643)	Sous-traitant	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé;	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Non ¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Le sous-traitant fournit des infrastructures physiques passives utilisées pour la fourniture du service. En conséquence, il n'y a pas d'accès à distance possible sur ces infrastructures.
³ : Global Switch SAS (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Global Switch)	- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau) - Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant. - Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Global Switch)

- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau)
- Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant.
- Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

⁴ : Digital Realty (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Global Switch)	- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau) - Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant. - Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Global Switch)

- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau)
- Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant.
- Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

3 - Dedicated Pod - SecNumCloud

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Oui, aucun risque d’accès non autorisé aux données visé par l’exigence n°30 du référentiel HDS	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

4 - File Storage

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

5 - Block Storage

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

6 - Managed Mutualized Virtualization

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

7 - Managed Private Cloud

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur laquelle l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6. La sauvegarde des données de santé.	Oui. Pays concerné couvert par une décision d’adéquation au sens de l’article 45 du RGPD : Canada.	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

8 - Private Cloud SecNumCloud

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur laquelle l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Oui, aucun risque d’accès non autorisé aux données visées par l’exigence n°30 du référentiel HDS	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

9 - Public Cloud Instances

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

10 - Managed Containers

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

11 - Notebook Interface

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

12 - Managed Distributed Computing Cluster

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

13 - Orchestration

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

14 - Managed Search Engine Software Platform

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)	- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement. - Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données. - L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

15 - Managed Timeseries

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)	- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement. - Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données. - L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

16 - Managed In-Memory Database

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)	- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement. - Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données. - L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

17 - Managed Document Database

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

18 - Managed Relational Database

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)	- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement. - Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données. - L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

19 - Managed Column-Oriented Database

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés	Mesures de réduction du risque déployées
19.6.b relatif au capital social et aux droits de vote 19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)	- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement. - Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données. - L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

20 - Managed Message Broker

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

21 - Managed Data Visualization

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Aiven OY	Sous-traitant	Exempté²	Non	4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Oui. Pays concernés couverts par une décision d’adéquation au sens de l’article 45 du RGPD : Canada, Royaume-Uni.	Oui³ : Voir le tableau ci-dessous. Canada, Royaume-Uni.

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption de Aiven au titre du contrôle exercé par OVHcloud sur la prestation de son sous-traitant Aiven OY, vérifié lors des audits de certification.
³ : Voir le tableau ci-dessous.

Critères du 19.6 de SecNumCloud non respectés

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Aiven)

- Durée de conservation des données liées aux opérations relatives à OVHcloud limitée contractuellement.
- Négociation d'un DPA sur la base de l'article 28 du RGPD, avec l'ajout d'une clause interdisant le transfert de données venant d'OVHcloud en-dehors de l'Union Européenne sans accord écrit d'OVHcloud. Un accord a été donné pour les entités d'Aiven au Canada et au Royaume Uni. Dans tous les cas, une demande explicite sera faite au client avant de permettre techniquement l'accès aux données.
- L'accès technique des personnels d'Aiven est réalisé au travers de Bastions opérés par OVHcloud et dont les traces d'accès sont audités par OVHcloud.

22 - Managed OCI artifact Registry

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

23 - Log Data Manager

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

24 - Managed Dedicated E-mail Infrastructures

Cette offre ne comprend pas l'intégration à l'espace de confiance de la Messagerie Sécurisée de Santé.

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

25 - Object Storage

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.

26 - Object Storage 3AZ

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé ; 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5.5. L'administration et l'exploitation du système d'information contenant les données de santé ; 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
Global Switch SAS (SIREN : 424 224 897)	Sous-traitant	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé;	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Oui. Pays : Etats-Unis d'Amérique, Chine³
Digital Realty (SIREN : 519 287 833)	Sous-traitant	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé;	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Oui. Pays : Etats-Unis d'Amérique ⁴
Data4 Service SAS (SIREN : 493 254 643)	Sous-traitant	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé;	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Non ¹

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Le sous-traitant fournit des infrastructures physiques passives utilisées pour la fourniture du service. En conséquence il n'y a pas d'accès à distance possible sur ces infrastructures.
³ : Global Switch SAS (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Global Switch)

- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau)
- Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant.
- Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

⁴ : Digital Realty (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe Global Switch)

- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau)
- Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant.
- Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

27 - Cold Storage

Raison sociale de l'acteur	Rôle dans le cadre de la prestation d'hébergement	Certfié HDS	Qualifié SecNumCloud 3.2	Activités d'hébergement sur lesquelles l'acteur intervient	Exigence n°29 du référentiel HDS	Exigence n°30 du référentiel HDS
OVHcloud	Hébergeur	Oui	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. 2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé. 3. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information utilisé pour le traitement des données de santé. 4. La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information. 5. L'administration et l'exploitation du système d'information contenant les données de santé. 6. La sauvegarde des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen	Non¹
IBM (SIREN : 552 118 465)	Sous-traitant	Exempté²	Non	2. La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle du système d'information utilisé pour le traitement de données de santé.	Oui⁴	Oui. Pays : Etats-Unis d'Amérique⁴
DXC Technology France (SIREN : 315 268 664)	Sous-traitant	Exempté²	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen³	Oui. Pays : Etats-Unis d'Amérique⁵
EXA Infrastructure France SAS (SIREN : 428 616 577)	Sous-traitant	Exempté²	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen³	Oui. Pays : Royaume-Uni⁶
Terralpha (SIREN : 844 899 906)	Sous-traitant	Exempté²	Non	1. La mise à disposition et le maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé.	Non, aucun accès aux données depuis un pays tiers à l’Espace Économique Européen²	Non

¹ : OVHcloud respecte l'ensemble des exigences du chapitre 19.6 du référentiel SecNumCloud relatif à la protection vis-à-vis du droit extra-européen.
² : Exemption des sociétés IBM, DXC Technology France, EXA Infrastructure France SAS, Terralpha au titre du contrôle exercé par OVHcloud sur la prestation de ses sous-traitants, vérifié lors des audits de certification.
³ : Le sous-traitant fournit des infrastructures physiques passives utilisées pour la fourniture du service. En conséquence il n'y a pas d'accès à distance possible sur ces infrastructures.
⁴ : IBM (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe IBM)

- Prestation limitée à la télémaintenance du matériel acheté à la société sous-traitance en vue du fonctionnement optimal du service.
- Les données manipulées par le matériel soumis à la télémaintenance sont chiffrées à l'état de l'art préalablement à leur traitement sur le matériel télémaintenu.
- Les clés de chiffrement utilisées sont stockées sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

⁵ : DXC Technology France (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe DXC)

- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau)
- Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant.
- Les clés de chiffrement utilisées sont stockées hors site sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

⁶ : EXA Infrastructure France SAS (voir le tableau ci-dessous) :

Critère de l'exigence 19.6 de SecNumcloud non respectées

Mesures de réduction du risque déployées

19.6.b relatif au capital social et aux droits de vote
19.6.c relatif au recours à des sociétés tierces (sociétés appartenant au groupe EXA)

- Prestation limitée à la fourniture d'un site d'hébergement physique avec les utilités nécessaires à l'installation d'un datacenter (énergie, refroidissement, câblages divers y compris réseau)
- Les données manipulées dans les murs du sous-traitant sont chiffrées à l'état de l'art préalablement à leur envoi sur le site fourni par le sous-traitant.
- Les clés de chiffrement utilisées sont stockées hors site sur des infrastructures appartenant à OVHcloud sans aucun droit d'accès à la société sous-traitante.

Cette page vous a-t-elle aidé ?

Oui

Non

Articles associés

Phishing - Comment reconnaître des e-mails frauduleux ?

902515 2026-03-09 07:32:12 Informations du compte
Sécuriser son compte OVHcloud avec la double authentification

217678 2026-03-09 07:32:17 Informations du compte
Politique de sécurité du système d'information (PSSI)

29168 2026-03-09 07:32:01 Informations du compte
OVHcloud products HDS certification

11091 2026-03-09 07:31:52 Informations du compte