Héberger des données de santé à Maurice : les précautions à prendre

Les données de santé sont parmi les plus sensibles qu'une organisation puisse manipuler : un dossier médical divulgué ne se « réinitialise » pas comme un mot de passe. À Maurice, leur hébergement demande une combinaison de précautions juridiques, techniques et organisationnelles — chiffrement, traçabilité, contrôle des accès et choix réfléchi du lieu d'hébergement. Cet article donne des repères pratiques ; il ne constitue pas un conseil juridique.
Pourquoi les données de santé sont à part
Trois raisons rendent ces données singulières. L'irréversibilité, d'abord : un historique médical exposé le reste pour toujours, là où un identifiant compromis se remplace. Le potentiel discriminatoire, ensuite : une information de santé peut peser sur un emploi, un crédit, une assurance. La confiance, enfin : toute la relation de soin repose sur la certitude que ce qui est confié reste confidentiel.
Le périmètre est aussi plus large qu'on ne le croit. Cliniques et laboratoires, bien sûr, mais aussi pharmacies, assureurs, médecine du travail, applications de bien-être, ressources humaines qui gèrent des certificats médicaux : dès qu'une donnée renseigne sur l'état de santé d'une personne identifiable, elle mérite ce niveau de précaution. La bonne question n'est donc pas « sommes-nous conformes ? » mais « saurions-nous démontrer, après un incident, que nos précautions étaient proportionnées à la sensibilité ? ».
L'esprit du Data Protection Act mauricien
Sans entrer dans le détail des textes — c'est le rôle de vos conseils juridiques —, le Data Protection Act mauricien appartient à la même famille que le RGPD européen et repose sur des principes constants :
- Base légitime renforcée : traiter des données de santé exige une justification plus solide qu'une donnée ordinaire, le consentement éclairé en étant la forme la plus courante ;
- Finalité et minimisation : ne collecter que ce qui sert un objectif défini, ne pas le réutiliser pour autre chose, ne pas le conserver au-delà du nécessaire ;
- Sécurité proportionnée : des mesures techniques et organisationnelles à la hauteur de la sensibilité des données traitées ;
- Droits des personnes : accès, rectification, information sur l'usage qui est fait des données ;
- Responsabilité démontrable : pouvoir prouver ce qui a été mis en place, par qui et pourquoi.
Pour l'articulation entre le cadre mauricien et le RGPD lorsque des résidents européens sont concernés, notre analyse DPA et RGPD pour l'hébergement à Maurice approfondit le sujet.
Les mesures techniques qui comptent
Chiffrement, au repos et en transit
Les données de santé doivent être chiffrées sur les disques comme dans les flux entre applications. Le point le plus souvent négligé est la gestion des clés : qui les détient, où sont-elles stockées, l'hébergeur peut-il techniquement y accéder ? Notre guide du chiffrement des données d'entreprise détaille ces arbitrages.
Traçabilité des accès
Chaque consultation d'un dossier doit laisser une trace : qui, quoi, quand. Ces journaux doivent être protégés contre la modification, conservés sur une durée définie et réellement examinés — un journal que personne ne lit ne protège personne. La traçabilité est aussi votre meilleure défense : après un incident, elle démontre la diligence.
Cloisonnement et moindre privilège
Comptes nominatifs — jamais de compte partagé —, droits alignés sur le besoin réel de chaque fonction, authentification forte pour les accès distants, et séparation nette entre environnements : pas de données réelles de patients dans les environnements de test ou de formation.
Sauvegarde et reprise
La disponibilité fait partie de la sécurité : un dossier médical inaccessible au moment d'un soin est un risque en soi. Il faut des sauvegardes chiffrées, vérifiées par des restaurations régulières, et un plan de reprise dimensionné sur la criticité des applications de soin.
Héberger localement : ce que ça change
Héberger à Maurice les données de santé de patients mauriciens présente des avantages concrets : un cadre juridique unique et connu, un hébergeur que l'on peut auditer et visiter, une latence faible pour les applications cliniques, et pas de transfert international à justifier. C'est un pan entier de la souveraineté des données à Maurice.
Mais soyons précis : l'hébergement local n'exonère d'aucune mesure de sécurité. Un serveur mal protégé à Maurice protège moins bien qu'un serveur bien protégé ailleurs. La localisation répond à la question juridique et de juridiction ; le chiffrement, la traçabilité et le cloisonnement répondent à la question de sécurité. Les deux se cumulent, ils ne se substituent pas l'un à l'autre.
Attention enfin aux fuites indirectes : un compte rendu envoyé à une IA publique pour être « résumé » sort du périmètre aussi sûrement qu'un serveur compromis. Les traitements d'IA sur données médicales doivent rester sur des modèles internes, dans le même périmètre de sécurité que les données elles-mêmes.
Checklist des précautions
- Cartographier les données de santé : où elles résident, qui y accède, par quels flux elles circulent.
- Valider la base juridique de chaque traitement avec un conseil spécialisé.
- Chiffrer au repos et en transit, et documenter qui détient les clés.
- Journaliser tous les accès aux dossiers, protéger les journaux, les examiner régulièrement.
- Imposer comptes nominatifs, moindre privilège et authentification forte.
- Tester les restaurations de sauvegarde et le plan de reprise sur les applications de soin.
- Interdire tout envoi de données de santé vers des IA publiques ou services grand public.
- Formaliser le contrat d'hébergement : localisation, sous-traitants, notification d'incident, réversibilité — autant de points à passer en revue avec votre hébergeur.
Comment SOVALYX peut vous aider
SOVALYX héberge les données sensibles sur un cloud privé opéré à Maurice, avec chiffrement au repos et en transit, journalisation des accès et sauvegardes testées dans le cadre d'un PRA sous SLA. Pour les traitements d'IA sur données médicales, les modèles tournent en interne : aucune donnée ne part vers une IA publique. L'équipe travaille aux côtés de vos conseils juridiques, sans jamais s'y substituer.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.