Cartographie des transferts de données de santé à caractère personnel et des risques d'accès non autorisé
Page publiée en application de l'exigence n° 31 du référentiel de certification Hébergeur de Données de Santé (HDS).
1. Objet de la présente cartographie
LAFAB héberge, pour le compte de ses clients, des données de santé à caractère personnel (DSCP) au sens de l'article L. 1111-8 du Code de la santé publique. À ce titre, LAFAB est soumise au référentiel HDS et publie sur cette page la cartographie complète des sous-traitants qui participent à la chaîne de traitement de ces données, ainsi que les risques éventuels d'accès non autorisé aux DSCP au regard de législations extra-européennes.
Cette page a vocation à informer de manière transparente :
- les clients de LAFAB hébergeant des DSCP via la Solution ;
- les personnes concernées dont les données de santé sont hébergées ;
- les autorités de contrôle (CNIL, ANS, organisme certificateur) ;
- toute personne souhaitant exercer son droit à l'information.
L'URL de la présente page est communiquée à l'organisme certificateur de LAFAB conformément au référentiel HDS.
2. Périmètre de certification de LAFAB
LAFAB est certifiée Hébergeur de Données de Santé selon le référentiel HDS:2018, sur les périmètres :
- Activité 4 : mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information.
- Activité 5 : administration et exploitation du système d'information contenant les données de santé ;
Les certificats HDS et ISO/IEC 27001 de LAFAB sont consultables et téléchargeables sur la page d'accueil
3. Stockage des DSCP — Localisation exclusive en EEE
Les DSCP confiées par les clients de LAFAB sont stockées exclusivement au sein de l'Espace Économique Européen (EEE). La localisation précise par sous-traitant est détaillée à la section 5 ci-dessous.
LAFAB ne réalise aucun accès distant aux DSCP depuis un pays situé hors de l'Espace Économique Européen. Aucun accès distant hors EEE n'est opéré par les équipes de LAFAB ni par ses sous-traitants dans le cadre de la prestation d'hébergement.
4. Cartographie des acteurs participant au traitement des DSCP
| Raison sociale | Rôle dans la prestation d'hébergement | Certifié HDS | Qualifié SecNumCloud 3.2 | Activités d'hébergement HDS | Accès aux DSCP depuis pays tiers à l'EEE par l'Hébergeur ou ses sous-traitants | Risque d'accès aux DSCP imposé par la législation d'un pays tiers en violation du droit de l'Union |
|---|---|---|---|---|---|---|
| LAFAB | Hébergeur | Oui (HDS:2018) | Non | 4 et 5 | Non | Non |
| Scalingo | Sous-traitant de l'Hébergeur | Oui (HDS v2) | Non | 1, 2, 3, 4, 5, 6 (hébergement applicatif et bases de données) | Non | Non |
| Amazon Web Services (AWS) | Sous-traitant de l'Hébergeur | Oui (HDS:2018) | Non | 1, 2, 3, 4, 5, 6 (hébergement des fichiers et médias applicatifs, buckets S3) + mise à disposition d'un serveur SFTP pour les échanges entre la Solution et les Systèmes d'Information de Laboratoires de nos clients | Non | Oui, droit américain : CLOUD Act (2018) et FISA Section 702 |
5. Localisation détaillée des sous-traitants
| Sous-traitant | Localisation des centres de données | Pays |
|---|---|---|
| Scalingo | Magny-les-Hameaux, Pantin, Aubergenville | France |
| Amazon Web Services (AWS) | Région eu-west-3 (Paris) | France |
L'ensemble des sous-traitants est localisé au sein de l'Espace Économique Européen, conformément à l'exigence de souveraineté du référentiel HDS.
6. Risque d'accès lié à la législation d'un pays tiers — Cas d'AWS
LAFAB recourt à Amazon Web Services (AWS), filiale du groupe Amazon.com, Inc., société de droit américain, pour l'hébergement de fichiers et de médias applicatifs (buckets S3). À ce titre, AWS est susceptible d'être soumise à des réglementations extra-européennes, notamment :
- le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ;
- le FISA Section 702 (Foreign Intelligence Surveillance Act).
Ces réglementations pourraient, en théorie, contraindre AWS à autoriser un accès aux DSCP en violation du droit de l'Union européenne, au sens de l'article 48 du RGPD.
6.1 Mesures d'atténuation mises en œuvre par LAFAB
LAFAB a mis en place les mesures techniques, organisationnelles et contractuelles suivantes pour atténuer ce risque :
- Localisation exclusive en région européenne : les DSCP sont hébergées exclusivement dans la région AWS eu-west-3 (Paris, France), sans réplication hors EEE.
- Chiffrement : les données sont chiffrées au repos et en transit.
- Engagements contractuels renforcés : AWS est certifié HDS et dispose du EU Data Processing Addendum (DPA) intégrant les clauses contractuelles types adoptées par la Commission européenne.
- Vérification du comportement historique : LAFAB a vérifié qu'AWS n'a pas, à ce jour, donné suite à des demandes d'accès aux données de ses clients européens au titre du CLOUD Act dans le cadre de ses services HDS.
- Engagement de contestation : en cas de demande d'accès par une autorité d'un pays tiers, AWS s'engage contractuellement à contester toute demande disproportionnée et à en informer le client lorsque la loi le permet.
6.2 Risque résiduel
Malgré ces mesures, un risque résiduel d'accès non autorisé aux DSCP subsiste du fait de la soumission d'AWS au droit américain. Ce risque est documenté dans le registre des risques de LAFAB et porté à la connaissance de chaque client via le présent document et l'Annexe A du Data Processing Agreement.
7. Modalités de mise à jour et de notification
7.1 Périodicité de revue
Cette cartographie est revue au minimum une fois par an dans le cadre du Système de Management de la Sécurité de l'Information (SMSI) de LAFAB. Elle est également mise à jour à chaque ajout, retrait ou remplacement d'un sous-traitant participant au traitement des DSCP.
7.2 Notification des changements aux clients
Conformément à l'article 4.5 des Conditions Générales de Vente de LAFAB, toute modification substantielle de la chaîne de sous-traitance fait l'objet d'une information préalable du Client. Le Client dispose d'un délai de quinze (15) jours à compter de la réception de cette information pour formuler une objection motivée, par notification écrite à l'adresse support@agence-lafab.fr. À défaut de réponse dans ce délai, le nouveau sous-traitant est réputé accepté.
7.3 Demande d'information complémentaire
Toute personne, autorité de contrôle ou client souhaitant obtenir des informations complémentaires sur la cartographie ou sur les mesures de sécurité mises en œuvre peut adresser sa demande par courrier électronique à :
- support@agence-lafab.fr — pour toute question contractuelle ou technique ;
- dpo@agence-lafab.fr — pour toute question relative à la protection des données personnelles.
Ou par courrier postal à :
LAFAB
Technoparc Epsilon 1
97 rue Isaac Newton
83700 Saint-Raphaël (France)
8. Informations relatives à la présente publication
- Date de dernière mise à jour : 28 avril 2026
- Responsable de la mise à jour : Fanny ALIX, Déléguée à la Protection des Données (DPO)
- Vérification annuelle : Yonel BECERRA, Responsable de la Sécurité des Systèmes d'Information (RSSI)
- Prochaine revue annuelle : 28 avril 2027
9. Historique des mises à jour
| Date | Version | Modifications |
|---|---|---|
| 28/04/2026 | 1.0 | Publication initiale de la cartographie en application de l'exigence n° 31 du référentiel HDS |
Cette page constitue un engagement contractuel et certifiable. Toute modification du contenu fait l'objet d'une revue par le DPO et le RSSI de LAFAB et d'une notification à l'organisme certificateur si elle modifie substantiellement la chaîne de sous-traitance.