Représentation des garanties de l'hébergement de données de santé (HDS)
Dernière mise à jour : 2025-09-19
Périmètre visé : Exoscale Compute (IaaS) et Exoscale DBaaS (services managés de bases de données)
Objectif
Cette page décrit les garanties HDS mises en œuvre par Exoscale pour ses offres Compute et DBaaS, conformément au référentiel HDS v2 (2024).
Elle vise à aider les clients à préparer leur propre conformité et à documenter les exigences EXI 28 à EXI 31 (localisation, accès depuis pays tiers, exposition à des droits extra-UE, transparence).
⚠️ Les informations présentées ici ont une valeur informative. En cas de divergence, les contrats et annexes DPA prévalent.
Note: This document is also available in English.
1 — Exoscale Compute (IaaS)
1.1 — Régions CH / DE (Equinix)
| Élément | Valeur |
|---|---|
| Acteur principal | Exoscale SA |
| Rôle | Hébergeur (IaaS) |
| Certifié HDS | En cours (v2) |
| Activités HDS | 2, 3, 4 |
| EXI 29 – Accès depuis pays tiers | Non |
| EXI 30 – Droit extra-UE | Oui (risque résiduel maîtrisé) |
| Élément | Valeur |
|---|---|
| Sous-traitant | Equinix (filiales locales CH/DE) |
| Rôle | Fourniture des sites physiques |
| Activités HDS | 1 |
| EXI 29 | Non |
| EXI 30 | Oui (risque maîtrisé – appartenance à groupe non-UE) |
Mesures de réduction de risque :
- Prestation limitée aux utilités de site (énergie, refroidissement, baies) – aucun accès aux données.
- Chiffrement systématique au repos et en transit, clés détenues exclusivement par Exoscale.
- Accès opérateur contrôlé via bastions, MFA, PAM, journalisation auditée.
- Clauses contractuelles interdisant tout accès non justifié et garantissant un droit d’audit.
- Localisation exclusivement EEE (EXI 28).
1.2 — Région AT (A1 Telekom Austria)
| Élément | Valeur |
|---|---|
| Acteur principal | Exoscale SA |
| Rôle | Hébergeur (IaaS) |
| Activités HDS | 2, 3, 4 |
| EXI 29 | Non |
| EXI 30 | Non (acteur de droit UE) |
| Élément | Valeur |
|---|---|
| Sous-traitant | A1 Telekom Austria AG |
| Rôle | Fourniture des sites physiques |
| Activités HDS | 1 |
| EXI 29 | Non |
| EXI 30 | Non |
Mesures appliquées :
- Identiques à celles décrites pour CH/DE (EEE-only, chiffrement, segmentation, clauses contractuelles, auditabilité).
2 — Exoscale DBaaS (services managés de bases de données)
| Élément | Valeur |
|---|---|
| Acteur principal | Exoscale SA |
| Rôle | Fournisseur de service managé (hébergeur) |
| Activités HDS | 2, 3, 4 |
| EXI 29 | Non |
| EXI 30 | Non |
| Élément | Valeur |
|---|---|
| Sous-traitant | Aiven Oy |
| Rôle | Exploitation logicielle (plan de contrôle) |
| Activités HDS | 4, 6 |
| EXI 29 | Cas particulier : Non par défaut ; si support pays tiers → clauses SCC et mesures complémentaires |
| EXI 30 | Oui (risque résiduel maîtrisé) |
Mesures appliquées :
- Clauses contractuelles types (art. 46 RGPD) et DPA (art. 28).
- Interdiction de transfert hors EEE sans accord écrit d’Exoscale.
- Accès technique via bastions Exoscale, MFA, logs audités.
- Chiffrement à l’état de l’art, clés détenues par Exoscale.
- Données utilisées uniquement pour la fourniture du service.
- Processus formalisé d’effacement et de réversibilité (EXI 17–27).
3 — Lignes directrices communes
- Localisation (EXI 28) : stockage et traitement exclusivement dans l’EEE.
- Accès depuis pays tiers (EXI 29) : non autorisé par défaut, dérogations encadrées (art. 45/46 RGPD).
- Droits extra-UE (EXI 30) : contrôles contractuels, techniques et organisationnels.
- Traçabilité : journalisation auditable, droits d’audit client (selon DPA).
- Effacement et réversibilité : formalisation complète, effacement certifié.
Contact
- Référent HDS / CISO Exoscale : security@exoscale.com
- Demandes d’audit ou compléments : via votre canal de support Exoscale