Héberger des données de santé à Maurice : les précautions à prendre

· 4 min de lecture · SOVALYX Technologies

PARTAGER

Les données de santé sont parmi les plus sensibles qu'une organisation puisse manipuler : un dossier médical divulgué ne se « réinitialise » pas comme un mot de passe. À Maurice, leur hébergement demande une combinaison de précautions juridiques, techniques et organisationnelles — chiffrement, traçabilité, contrôle des accès et choix réfléchi du lieu d'hébergement. Cet article donne des repères pratiques ; il ne constitue pas un conseil juridique.

Pourquoi les données de santé sont à part

Trois raisons rendent ces données singulières. L'irréversibilité, d'abord : un historique médical exposé le reste pour toujours, là où un identifiant compromis se remplace. Le potentiel discriminatoire, ensuite : une information de santé peut peser sur un emploi, un crédit, une assurance. La confiance, enfin : toute la relation de soin repose sur la certitude que ce qui est confié reste confidentiel.

Le périmètre est aussi plus large qu'on ne le croit. Cliniques et laboratoires, bien sûr, mais aussi pharmacies, assureurs, médecine du travail, applications de bien-être, ressources humaines qui gèrent des certificats médicaux : dès qu'une donnée renseigne sur l'état de santé d'une personne identifiable, elle mérite ce niveau de précaution. La bonne question n'est donc pas « sommes-nous conformes ? » mais « saurions-nous démontrer, après un incident, que nos précautions étaient proportionnées à la sensibilité ? ».

L'esprit du Data Protection Act mauricien

Sans entrer dans le détail des textes — c'est le rôle de vos conseils juridiques —, le Data Protection Act mauricien appartient à la même famille que le RGPD européen et repose sur des principes constants :

Pour l'articulation entre le cadre mauricien et le RGPD lorsque des résidents européens sont concernés, notre analyse DPA et RGPD pour l'hébergement à Maurice approfondit le sujet.

Les mesures techniques qui comptent

Chiffrement, au repos et en transit

Les données de santé doivent être chiffrées sur les disques comme dans les flux entre applications. Le point le plus souvent négligé est la gestion des clés : qui les détient, où sont-elles stockées, l'hébergeur peut-il techniquement y accéder ? Notre guide du chiffrement des données d'entreprise détaille ces arbitrages.

Traçabilité des accès

Chaque consultation d'un dossier doit laisser une trace : qui, quoi, quand. Ces journaux doivent être protégés contre la modification, conservés sur une durée définie et réellement examinés — un journal que personne ne lit ne protège personne. La traçabilité est aussi votre meilleure défense : après un incident, elle démontre la diligence.

Cloisonnement et moindre privilège

Comptes nominatifs — jamais de compte partagé —, droits alignés sur le besoin réel de chaque fonction, authentification forte pour les accès distants, et séparation nette entre environnements : pas de données réelles de patients dans les environnements de test ou de formation.

Sauvegarde et reprise

La disponibilité fait partie de la sécurité : un dossier médical inaccessible au moment d'un soin est un risque en soi. Il faut des sauvegardes chiffrées, vérifiées par des restaurations régulières, et un plan de reprise dimensionné sur la criticité des applications de soin.

Héberger localement : ce que ça change

Héberger à Maurice les données de santé de patients mauriciens présente des avantages concrets : un cadre juridique unique et connu, un hébergeur que l'on peut auditer et visiter, une latence faible pour les applications cliniques, et pas de transfert international à justifier. C'est un pan entier de la souveraineté des données à Maurice.

Mais soyons précis : l'hébergement local n'exonère d'aucune mesure de sécurité. Un serveur mal protégé à Maurice protège moins bien qu'un serveur bien protégé ailleurs. La localisation répond à la question juridique et de juridiction ; le chiffrement, la traçabilité et le cloisonnement répondent à la question de sécurité. Les deux se cumulent, ils ne se substituent pas l'un à l'autre.

Attention enfin aux fuites indirectes : un compte rendu envoyé à une IA publique pour être « résumé » sort du périmètre aussi sûrement qu'un serveur compromis. Les traitements d'IA sur données médicales doivent rester sur des modèles internes, dans le même périmètre de sécurité que les données elles-mêmes.

Checklist des précautions

Comment SOVALYX peut vous aider

SOVALYX héberge les données sensibles sur un cloud privé opéré à Maurice, avec chiffrement au repos et en transit, journalisation des accès et sauvegardes testées dans le cadre d'un PRA sous SLA. Pour les traitements d'IA sur données médicales, les modèles tournent en interne : aucune donnée ne part vers une IA publique. L'équipe travaille aux côtés de vos conseils juridiques, sans jamais s'y substituer.

Parler conformité avec un ingénieur

🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.

Relu et optimisé par IA.