Un éditeur de logiciel de prise de rendez-vous médical m'a appelé l'an passé, paniqué : son client, un groupe de cliniques, venait de lui demander son attestation de conformité HDS avant de renouveler le contrat. Il hébergeait les données chez un fournisseur cloud grand public, pas certifié. Résultat, trois mois de migration en urgence et un risque juridique qu'il n'avait jamais mesuré. Un hébergeur de données de santé, c'est précisément le prestataire certifié à qui vous confiez le stockage de données médicales à caractère personnel, et le choisir n'est pas une option : c'est une obligation légale dès que vous traitez ce type de données pour le compte d'un tiers.
Posons le cadre. Beaucoup d'entreprises découvrent cette contrainte tard, souvent au moment d'un appel d'offres ou d'un audit client. Voyons ce que recouvre réellement cette notion, qui est concerné, et comment arbitrer entre les prestataires sans se faire endormir par des arguments commerciaux.
Qu'est-ce qu'un hébergeur de données de santé ?
Un hébergeur de données de santé est un prestataire dont l'activité de stockage de données médicales à caractère personnel a été certifiée conforme à un référentiel précis, la certification HDS (Hébergement de Données de Santé). Concrètement, pour une entreprise, ça veut dire que cet acteur a démontré, lors d'audits indépendants, qu'il sait protéger ces données contre la perte, la fuite, l'altération et l'accès non autorisé.
La donnée de santé est une catégorie particulière. Le RGPD (Règlement Général sur la Protection des Données, le texte européen qui encadre le traitement des données personnelles) la classe parmi les données dites sensibles, au même titre que les données génétiques ou biométriques. Elle couvre toute information relative à l'état de santé physique ou mentale d'une personne : un diagnostic, un résultat d'analyse, un compte rendu de consultation, mais aussi une simple prise de rendez-vous médical qui révèle une pathologie.
Ce statut sensible change tout. Une fuite de données de santé n'est pas un incident comme un autre. Elle expose la personne concernée à de la discrimination (à l'embauche, à l'assurance) et engage lourdement la responsabilité de celui qui détenait les données. C'est pour cette raison que le législateur a verrouillé leur hébergement.
Point clé à retenir : un hébergeur de données de santé n'est pas un simple fournisseur de serveurs. C'est un prestataire certifié, contrôlé, sur lequel repose une partie de votre conformité réglementaire et de votre responsabilité juridique.
Quelle différence entre l'agrément HADS et la certification HDS ?
C'est la première source de confusion que je rencontre sur le terrain, parce que les deux termes circulent encore. La distinction est pourtant simple une fois qu'on la pose.
L'ancien agrément ministériel
Jusqu'au milieu des années 2010, héberger des données de santé exigeait un agrément délivré par le ministère, après instruction d'un dossier. Ce système, lourd et peu adapté à la montée du cloud, a été abandonné. Si un prestataire vous parle encore d'« agrément » comme d'un dispositif en vigueur, c'est un signal : son discours n'est pas à jour.
La certification HDS, le dispositif actuel
L'agrément a été remplacé par la certification HDS, délivrée par des organismes certificateurs accrédités, pas par l'État directement. Le prestataire est audité sur la base d'un référentiel qui s'appuie sur les normes ISO 27001 (sécurité de l'information) et ISO 20000 (gestion des services), enrichies d'exigences propres à la santé. La certification se décline en plusieurs périmètres : hébergement d'infrastructure physique, hébergement infogéré, sauvegarde externalisée, administration et exploitation du système. Un prestataire peut être certifié sur certains périmètres seulement, et c'est exactement le détail qu'il faut vérifier.
En clair : ne vous contentez pas d'entendre « nous sommes HDS ». Demandez le certificat, vérifiez la date de validité et surtout les périmètres couverts. Un hébergeur certifié pour l'infrastructure physique mais pas pour l'infogérance ne vous couvre pas si c'est lui qui administre vos serveurs.
Qui est concerné par cette obligation ?
La règle est large, et c'est là que beaucoup tombent de haut. L'obligation s'applique à toute personne ou organisation qui héberge des données de santé pour le compte d'un tiers, dès lors que ces données ont été recueillies dans le cadre d'activités de prévention, de diagnostic, de soins ou de suivi.
Concrètement, sont concernés au premier chef :
- les éditeurs de logiciels médicaux ou de e-santé qui stockent les données de leurs clients en mode SaaS (logiciel hébergé et accessible en ligne) ;
- les établissements de santé qui externalisent leur hébergement plutôt que de tout gérer en interne ;
- les plateformes de téléconsultation, de prise de rendez-vous médical ou de suivi de patients à distance ;
- les prestataires de services numériques qui manipulent ces données pour le compte d'un professionnel ou d'un établissement de santé.
La vraie question n'est pas « suis-je un acteur de la santé ? », mais « est-ce que je détiens ou je stocke des données de santé pour quelqu'un d'autre ? ». Un éditeur de logiciel de planning pour kinésithérapeutes n'est pas un acteur médical, mais il héberge bel et bien des données de santé. Il est donc soumis à l'obligation, soit en se certifiant lui-même, soit en s'appuyant sur un hébergeur certifié.
Point de vigilance : si vous gérez vos données de santé en interne, sur vos propres serveurs et sans intervention d'un tiers, l'obligation de recourir à un hébergeur certifié ne s'applique pas de la même façon. Mais dès qu'un prestataire externe entre dans la chaîne, la certification devient incontournable. C'est souvent le moment où le sujet ressurgit.
Combien coûte un hébergement de données de santé ?
Personne ne vous donnera un prix au comptoir, parce qu'il dépend du volume de données, du niveau de service attendu et des périmètres couverts. Mais on peut poser des ordres de grandeur utiles pour ne pas se faire surprendre.
Pour une petite structure (un éditeur de logiciel avec quelques dizaines de clients, un volume de données modeste), un hébergement HDS mutualisé démarre souvent autour de quelques centaines d'euros par mois. Pour un projet plus conséquent, avec des engagements de service élevés, de la redondance géographique et de l'infogérance, on monte vite à plusieurs milliers d'euros mensuels.
Le coût caché, c'est rarement l'hébergement lui-même. C'est la migration, la mise en conformité de votre application, la rédaction des contrats et la maintenance de la conformité dans le temps. J'ai vu des projets où le surcoût de migration a dépassé une année d'abonnement à l'hébergement. Avant de signer quoi que ce soit, demandez un chiffrage complet, pas seulement le tarif mensuel affiché.
| Poste de coût | Ce qu'on facture souvent | Ce qu'on oublie de chiffrer |
|---|---|---|
| Hébergement | Abonnement mensuel selon volume et SLA | Les dépassements de volume, le trafic sortant |
| Migration | Parfois inclus, souvent en sus | L'adaptation de votre application, les tests |
| Infogérance | Forfait d'exploitation | Les interventions hors forfait, les astreintes |
| Conformité | Le certificat HDS du prestataire | VOTRE propre mise en conformité RGPD |
SLA, pour Service Level Agreement, désigne le niveau de service contractuel garanti par le prestataire : taux de disponibilité, délai de rétablissement en cas de panne. C'est un poste qui pèse lourd dans le prix, et il faut le calibrer sur votre besoin réel, pas sur le maximum proposé.
Comment choisir son hébergeur de données de santé ?
Une fois le cadre légal posé, le choix d'un hébergeur pour vos données de santé se joue sur quelques critères concrets. Voici ce qu'il faut arbitrer.
Vérifier la certification, dans le détail
C'est le préalable non négociable. Exigez le certificat HDS en cours de validité et lisez les périmètres couverts. Un prestataire sérieux vous le fournit sans difficulté. S'il tergiverse, passez votre chemin.
Privilégier un hébergement localisé en France ou dans l'Union européenne
La localisation des serveurs n'est pas un détail. Un hébergement en France ou dans l'UE vous protège des législations extraterritoriales, notamment le Cloud Act américain, qui peut donner à des autorités étrangères un droit de regard sur les données stockées par des prestataires soumis au droit américain, même si les serveurs sont en Europe. Pour des données de santé, ce point mérite une vraie attention juridique.
Examiner les engagements de service et la réversibilité
Le piège classique, c'est de ne regarder que le prix d'entrée et d'oublier la sortie. Que se passe-t-il si vous voulez changer de prestataire dans trois ans ? La réversibilité, c'est-à-dire votre capacité à récupérer vos données dans un format exploitable, doit être écrite noir sur blanc dans le contrat. Ce que les fournisseurs oublient souvent de préciser, c'est le coût et le délai de cette sortie.
Clarifier la répartition des responsabilités
L'hébergeur certifié sécurise l'infrastructure. Mais la conformité de votre traitement de données, l'information de vos utilisateurs, la gestion des consentements, tout cela reste votre responsabilité. La certification de votre prestataire ne vous dédouane pas de vos propres obligations RGPD. Le contrat doit délimiter clairement qui répond de quoi.
Le point clé pour décider : ne choisissez pas l'hébergeur sur son seul logo HDS. Choisissez-le sur la combinaison certification valide, localisation des données, qualité du contrat et clarté de la réversibilité. C'est cet ensemble qui détermine si vous serez tranquille dans trois ans, ou en train de gérer une migration en catastrophe.
Quel rôle pour le RGPD, la CNIL et le Health Data Hub ?
Trois acronymes reviennent en permanence sur ce sujet. Mettons-les à leur place.
Le RGPD fixe le cadre général de protection des données personnelles. Il impose des principes (finalité, minimisation, sécurité) qui s'appliquent par-dessus la certification HDS. La certification garantit la sécurité de l'hébergement ; le RGPD encadre l'usage que vous faites des données. Les deux se complètent, ils ne se remplacent pas.
La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française de contrôle. Elle veille au respect du RGPD, peut être saisie de plaintes, mène des contrôles et sanctionne les manquements. En cas de violation de données présentant un risque pour les personnes, c'est elle qu'il faut notifier dans les délais légaux.
Le Health Data Hub, enfin, est une plateforme publique destinée à faciliter l'exploitation de données de santé à des fins de recherche et d'intérêt général. Ce n'est pas un hébergeur que vous choisiriez pour votre application métier. Son hébergement par un acteur américain a d'ailleurs alimenté un débat nourri sur la souveraineté des données de santé. À retenir surtout comme illustration : la question de qui héberge, et sous quelle juridiction, n'est jamais neutre quand il s'agit de santé.
Ce qu'il faut retenir avant de décider
Héberger des données de santé n'est pas un choix technique parmi d'autres, c'est une obligation encadrée qui engage votre responsabilité. Si vous traitez ces données pour le compte d'un tiers, vous devez passer par un prestataire certifié HDS, ou vous certifier vous-même.
Pour décider sereinement, retenez trois réflexes. Vérifiez le certificat et ses périmètres exacts, pas le simple argument commercial. Chiffrez le coût complet, migration et conformité comprises, pas seulement l'abonnement. Lisez le contrat jusqu'à la clause de réversibilité, parce que c'est elle qui vous protège le jour où vous changerez d'avis.
La prochaine étape concrète, c'est de cartographier vos données : où sont-elles, qui y accède, qui les héberge aujourd'hui. À partir de cet état des lieux, vous saurez si vous êtes déjà conforme, ou si une mise à niveau s'impose. Si le sujet est sensible ou si un client vous réclame une attestation, un audit de conformité ciblé reste le moyen le plus rapide de savoir où vous en êtes vraiment.
