Hébergement de Données de Santé (HDS) : Qui est réellement concerné ?
- Par Maéva MARMIN
- 10 min
- EXPERTISE & ÉDUCATION
L’Hébergement de Données de Santé (HDS) suscite encore beaucoup de confusion. Une idée reçue tenace voudrait que cette certification ne concerne que les "gros" acteurs comme les hôpitaux publics ou les cliniques privées.
Pourtant, la réalité réglementaire est tout autre. L'obligation ne dépend pas de votre statut, mais de la nature des données que vous manipulez. Startups, mutuelles, éditeurs SaaS : si vous touchez à la santé, vous êtes probablement concernés.
L'article L.1111-8 du Code de la santé publique est clair : toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic ou de soins doit être certifiée HDS ou faire appel à un hébergeur certifié.
Ce que dit la loi : La nature de la donnée prime
Beaucoup d'entreprises pensent être à l'abri car elles ne sont pas des établissements de soins. Voici un tableau pour démêler le vrai du faux.
| Idée Reçue (Mythe) | Réalité Juridique |
|---|---|
| "Je ne suis qu'un éditeur de logiciel, je ne suis pas médecin." | Si votre logiciel est en SaaS (Cloud) et stocke des dossiers patients, vous êtes considéré comme hébergeur de données de santé. |
| "Les données sont juste stockées, nous ne les regardons pas." | Le simple fait de stocker (conservation) pour le compte d'un tiers déclenche l'obligation de certification. |
| "C'est une app de Bien-être, pas de santé." | Attention : si vous croisez des données (poids, rythme cardiaque) pour faire du suivi ou du conseil personnalisé, cela peut être requalifié en données de santé. |
Mutuelles, Startups, Éditeurs : Le vrai périmètre
L'écosystème numérique a élargi le champ d'application. Voici les profils réellement concernés par l'obligation HDS (bien plus nombreux qu'on ne le pense) :
Hôpitaux et cliniques qui externalisent leurs serveurs ou font appel à un cloud. Même avec un hébergement "hybride", dès qu'une partie est externalisée, l'HDS s'applique.
Elles collectent des décomptes de soins, des questionnaires médicaux et des justificatifs. Tout cela constitue des données de santé stockées : l'obligation HDS s'impose en cas d'externalisation.
Prise de RDV, téléconsultation, gestion de cabinet... En passant du modèle "logiciel installé sur le PC du médecin" au modèle "Cloud", vous devenez légalement responsable de l'hébergement des données.
Vous connectez un objet (balance, capteur) à une application ? Si l'utilisateur est identifiable et que la donnée concerne sa physiologie, vous devez héberger ces données sur une infrastructure certifiée dès le MVP.
Les colonies de vacances, centres aérés et clubs sportifs qui collectent des fiches sanitaires de liaison (allergies, traitements) sont concernés s'ils externalisent le stockage de ces fiches.
Les questionnaires de santé obligatoires pour les assurances emprunteur contiennent des données sensibles. Si la banque externalise leur hébergement, l'HDS s'impose.
Pourquoi ne pas prendre de risques ?
Au-delà des sanctions pénales (qui existent : jusqu'à 3 ans d'emprisonnement), le risque est surtout business.
Aucun Centre Hospitalier (CHU), aucune clinique sérieuse et de plus en plus de professionnels de santé libéraux ne signeront avec un prestataire non conforme. L'absence de certification HDS est un frein bloquant dans 100% des appels d'offres publics hospitaliers.
L'accompagnement Sæpiens : Certification & Expertise CHU
Être certifié HDS ne s'improvise pas. C'est une démarche lourde qui touche à la sécurité physique, logique et organisationnelle.
Chez Sæpiens, nous sommes certifiés sur l'ensemble de la chaîne d'hébergement. Nous accompagnons quotidiennement des Centres Hospitaliers Universitaires (CHU) et des éditeurs critiques dans la sécurisation de leurs données.
- Certification Complète (6 Activités) : Infrastructure physique, virtuelle, plateformes applicatives, administration système et sauvegardes.
- Souveraineté garantie : Datacenters situés à Lyon, données hébergées exclusivement en France, aucun accès hors EEE (Espace Économique Européen).
- Solutions flexibles : Hébergement cloud privé, on-premise ou hybride. Compatible Kubernetes.
- Accompagnement de A à Z : De l'audit initial à la migration, nous vous guidons sans interruption de service.
Découvrir notre offre d'Hébergement Santé (HDS)
FAQ – Questions fréquentes
1. La pseudonymisation dispense-t-elle de l'HDS ?
Non, pas automatiquement.
Si une table de correspondance permet de ré-identifier le patient (même si elle est stockée ailleurs), la donnée reste une donnée à caractère personnel de santé. L'HDS s'applique. Seule une anonymisation irréversible permet de sortir du cadre RGPD/HDS.
2. Puis-je utiliser un cloud public (AWS, Azure) ?
Oui, mais attention à la responsabilité partagée.
Ces géants sont certifiés sur l'infrastructure (le matériel). Mais la couche logicielle, l'infogérance et la sauvegarde restent souvent sous VOTRE responsabilité. Si vous n'êtes pas certifié HDS vous-même, vous devez passer par un infogéreur certifié comme Sæpiens pour combler ce manque.
3. Combien de temps pour mettre en place un projet HDS ?
C'est rapide avec le bon partenaire.
Si vous migrez vers une infrastructure déjà certifiée comme la nôtre, le délai est principalement technique (migration des données, tests). Nous pouvons déployer des environnements conformes en quelques jours, vous permettant de démarrer votre activité immédiatement.
Sécurisez vos données de santé
sans compromis.
Certifié sur les 6 activités HDS, Sæpiens garantit la souveraineté et la sécurité de vos données médicales. Bénéficiez d'une infrastructure conforme et d'une expertise reconnue par les plus grands CHU.
Besoin d'auditer ou de migrer votre infra HDS ?
NOUS CONTACTER
