Aujourd’hui la protection des données privées des utilisateurs est au cœur des enjeux Internet. Cela est d’autant plus vrai quand ces données sont des données de santé. C’est pourquoi la protection de ces dernières est notre plus grande préoccupation chez Tomo. Nous allons vous expliquer comment nous mettons tout en place pour que votre vie reste privée chez Tomo.
Tomo permet aux individus d’échanger avec leurs pairs à propos de leur situation de santé et de leur pathologie, qu’elle soit nouvellement diagnostiquée ou présente depuis longtemps.
Tout commence par l’hébergement des données. Qu’est-ce que c’est et où vos données sont-elles hébergées ?
L’hébergement de vos données
Afin de vous offrir la meilleure expérience possible et de vous créer un compte personnel sur notre plateforme, nous récoltons un certain nombre de données (email, pseudo, mot de passe, les praticiens que vous recommandez, etc.). L’explication précise des données recueillies et leur utilité sont décrites dans la politique de confidentialité
Certaines données sont sensibles car ce sont des données de santé, et nous apportons donc un soin particulier à la protection de ces données.
Lorsque vous utilisez notre service, vous communiquez avec des serveurs où sont stockées les informations utiles pour fournir le service. Ces serveurs peuvent être directement gérés par l’entreprise (Tomo par exemple), ou l’entreprise peut utiliser un service tiers, spécialisé dans l’hébergement. C’est ce dernier choix qu’a fait Tomo par mesure de sécurité. En effet, avoir ses propres serveurs est une expertise que Tomo n’a pas, et nous n’aurions pas été en mesure de vous proposer une protection de données à la hauteur de ce que proposent les entreprises dont c’est le métier. Tomo n’a aujourd’hui pas la taille suffisante pour pratiquer le “self-hosting”, c’est-à-dire héberger lui-même ses données tout en garantissant un niveau de sécurité et de bon fonctionnement du service du niveau de grandes entreprises dont c’est le cœur de métier.
Ainsi Tomo a préféré se concentrer sur sa mission, qui est l'accompagnement des patients dans leur parcours de soin à travers la recommandation de praticiens de confiance et la prise de RDV avec des Patients Aidants ; et Tomo a donc choisi d’héberger ses données chez un service tiers. La question de ce service s’est alors posée. Tomo avait plusieurs choix et pouvait héberger ses données chez plusieurs hébergeurs de qualité :
Il y a d’abord les grands hébergeurs américains que sont AWS (Amazon Web Services), Azure Cloud (le “cloud” de Microsoft), ou GCP (Google Cloud Platform). Il y a aussi les hébergeurs français que sont OVH et Scaleway. Enfin il y a une multitude de plus petits hébergeurs mais qui n’ont pas les qualités suffisantes en termes de fiabilité ou de protection des données ou de services proposés pour répondre à nos attentes chez Tomo. En effet, en plus de la protection des données, élément clé de l’hébergement, il y a aussi toute une multitude de services qu’un hébergeur peut offrir à un client comme Tomo qui aide ce dernier à construire un service de qualité pour les utilisateurs. Enfin les petits acteurs de l’hébergement demandent parfois un engagement sur plusieurs années qui est incompatible avec le rythme de croissance d’une entreprise nouvellement lancée comme Tomo.
Le choix de notre hébergeur
Chez Tomo nous avons fait le choix d’utiliser OVH et Scaleway comme hébergeurs puisqu’ils sont français. Notre priorité était que les données de nos utilisateurs soient hébergées en France, par un acteur français. Ce choix a principalement été dicté par les garanties et la sécurité qu’offre un hébergeur français et le fait qu’il soit soumis aux lois françaises.
Contrairement aux mastodontes américains comme AWS, OVH et Scaleway ne sont pas soumises aux lois américaines, notamment le Cloud Act qui est une loi fédérale américaine permettant aux services de maintien de l'ordre des États-Unis de demander des données stockées aux États-Unis et à l'étranger.
Comme nous, beaucoup d’entreprises françaises dans la santé ont fait le choix d’utiliser un hébergeur français pour échapper au Cloud Act américain.
Les serveurs utilisés par Tomo, qu’ils soient chez OVH ou Scaleway, sont tous en France. Tomo utilise OVH pour tous les services d’hébergement hormis l’hébergement de documents, comme les photos, pièces-jointes, pdf que les utilisateurs peuvent ajouter sur la plateforme. Ces documents sont hébergés en France chez Scaleway, acteur français également, puisque l’entreprise proposait des fonctionnalités indisponibles chez OVH.
OVH occupe aujourd’hui la 3ème place des acteurs du Cloud en France, derrière Amazon et Microsoft.
Les mesures de sécurité supplémentaires que nous avons
D’autres mesures de sécurité viennent s’ajouter. D’abord, l'hébergement des données de santé est encadré par la loi depuis 2018 pour protéger les droits des personnes, et l’hébergeur doit ainsi être certifié HDS (Héberger des données de santé), ce qui est un gage de qualité pour la protection des données. Cette certification est délivrée par l’Agence du Numérique en Santé (l’ANS) qui est un groupement d'intérêt public rattaché au ministère de la Santé, à la Caisse Nationale de l’Assurance Maladie (CNAM) et la Caisse Nationale de Solidarité pour l‘Autonomie (CNSA). La certification HDS couvre différents niveaux d’activité, que vous pouvez retrouver ici, et vous aurez également la liste des hébergeurs ayant reçu la certification HDS. OVH et Scaleway en font partie, ce qui était un critère important pour nous.
Vous pouvez retrouver toutes les certifications d'OVH ici, et celles de Scaleway ici.
Nous utilisons également le chiffrement en transit pour nos données, c'est-à-dire qu’elles sont chiffrées lorsqu’elles se déplacent d’un endroit à un autre sur le réseau. Elles sont chiffrées avec un chiffrement de la couche de transport.
De plus, nous excluons toute donnée sensible dans les emails que nous envoyons à nos utilisateurs pour éviter tout risque de vol de données via ce mode de communication (piratage de compte email par exemple).
Et la suite ?
Ainsi la protection des données des utilisateurs est une priorité chez Tomo, encore plus étant un acteur de la santé où la sécurité des données est primordiale. Pour ce faire, nous avons déjà mis en place des mesures solides de protection de données et continuerons à l’avenir à être exigeant dans ce domaine. Nous communiquerons au fur et à mesure sur nos changements et améliorations.
Vous avez des questions, ou voulez en savoir plus ? N’hésitez pas à nous contacter à l’adresse suivante, nous reviendrons vers vous sous 48h : hello@jointomo.com