Héberger des données de santé ? Le guide de survie 2025
Quand il s’agit d'hébergement de données de santé, la première chose à comprendre, c’est que vous ne cherchez pas pas juste un “hébergement”.
Vous confiez vos données à quelqu’un. Et ce quelqu’un doit être digne de confiance, conforme, et disponible.
En 2025, héberger des données de santé, c’est un peu comme stocker de l’uranium : tout le monde a peur de mal faire, et à la moindre erreur tout peut exploser. Règlementations, certifications, enjeux de souveraineté… il ne s’agit plus seulement de “choisir un prestataire”, mais de prendre une décision pour la sécurité des données des patients et la crédibilité de votre entreprise.
Vous n'avez jamais entendu parler de HDS avant ? Faites un tour ici
Aujourd’hui, il existe mille façons d’héberger des données de santé.
Sur ses propres serveurs, dans un datacenter en France, dans le cloud d’un géant américain, dans une appli SaaS qu’on adore mais dont on ignore tout du backend...
Et pourtant, une seule constante : on est responsable de son choix.
Responsable de savoir où les données vivent, qui y accède, si c’est légal, et si c’est digne de confiance.
C’est justement là que ça coince. Parce que derrière le discours marketing et les beaux schémas d’architecture, la réalité est souvent un peu floue.
Vous éditez un logiciel de santé ?
Pour aller dans le dur dès le début, il faut être clair : Aujourd’hui, les professionnels de santé utilisent des logiciels métiers… sans toujours savoir où leurs données sont stockées, qui les héberge, et sous quelle responsabilité. En réalité, l’éditeur du dit logiciel devient l'acteur clé dans la chaîne de confiance.
C’est lui qui choisit le modèle d’hébergement, les partenaires, et qui assure (ou non) la conformité du traitement.
Et c’est donc à l’éditeur d’assumer toute la chaîne de conformité, HDS inclus.
Trois idées reçues qu’on entend (encore) beaucoup trop souvent
On a voulu les regrouper ici, pas pour pointer du doigt, mais parce que si les professionnels continuent à y croire, c’est aussi que l’écosystème est confus.
1. “Je suis hébergé dans un datacenter certifié HDS, donc je suis HDS.”
Non. Non et encore non. C’est un raccourci dangereux.
C’est l’équivalent de dire “je suis dans un hôpital, donc je suis chirurgien”.
La certification HDS n’est pas transitive. Elle concerne un acte d’hébergement, dans un cadre spécifique, avec une chaîne complète de responsabilités, procédures, audits, et sécurité opérationnelle.
Vous êtes conforme si VOUS êtes certifié, ou si vous sous-traitez à un prestataire qui est lui-même certifié, pour l’usage que vous en faites.
📚 Si ce sujet vous échappe encore un peu (et c’est normal), on a détaillé tout ça dans notre article dédié :
→ Comprendre la certification HDS (et éviter les raccourcis)
2. “Le datacenter est HDS, donc je peux manipuler des données de santé.”
Encore une fois, c'est un raccourcis dangereux !
Oui, il fait partie de l’équation, mais il ne la résout pas à lui seul.
Le datacenter est une brique de l’infrastructure (niveau 1), mais il ne garantit rien sur la gestion applicative, la sécurité logicielle, les accès à distance, les journaux, les sauvegardes, …
Ce n’est pas parce que vous posez vos données dans un environnement certifié que votre traitement, votre logiciel, votre usage est automatiquement conforme.
3. “Mon outil SaaS me dit qu’il est hébergé chez un prestataire HDS, donc je suis couvert.”
C’est un début, mais ce n’est pas une preuve.
Beaucoup de solutions SaaS se reposent uniquement sur le certificat de leur hébergeur, sans être elles-mêmes certifiées.
👉 Or, dès qu’un éditeur traite, stocke ou permet l’accès à des données de santé, il devient hébergeur au sens de la loi.
👉 Et à ce titre, il doit être certifié HDS pour son propre périmètre (niveau 6).
Pour faire simple : si vous êtes éditeur SaaS, c’est à vous de faire la démarche. Et si vous êtes client, c’est à vous de le vérifier.
hébergeur d’infrastructure physique & hébergeur infogéreur
Ce que dit la loi
« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. »
Agence du Numérique en Santé (ANS)
Donc si on résume :
✅ Si vous êtes un professionnel de santé (opticien, médecin, infirmier, etc.)
et que vous stockez et traitez les données de vos propres patients,
→ Vous n’avez pas l’obligation d’être certifié HDS, tant que tout est hébergé et sécurisé en interne.
🚨 En revanche, dès lors que vous faites héberger ces données par un tiers (prestataire, éditeur de logiciel, hébergeur, etc.),
→ Ce prestataire doit impérativement être certifié HDS, pour le périmètre concerné.
Et si vous êtes éditeur d’un logiciel de santé qui stocke ou traite des données pour le compte de professionnels ou d’établissements,
→ Vous êtes vous-même soumis à l’obligation de certification HDS (niveau 5 ou 6 le plus souvent), ou devez prouver que votre chaîne de sous-traitance est conforme.
| Vous êtes... | Vous traitez... | Données stockées localement | Données hébergées chez un tiers | Certification HDS ? |
|---|---|---|---|---|
| Professionnel de santé | Les données de vos propres patients | ✅ Possible, avec sécurité renforcée | ❌ Interdit si le prestataire n'est pas certifié | Non, sauf externalisation |
| Éditeur logiciel santé | Les données de vos clients ou patients | ❌ non conforme | ✅ Oui, chez prestataire certifié | Oui, ou via sous-traitance conforme |
Mais alors, pourquoi je devrais payer un hébergeur certifié HDS alors que je peux stocker mes données chez moi ?
En voila une bonne question !
Beaucoup professionnels de santé se la pose, en particulier au moment de se lancer ou de structurer leur activité numérique. Et elle est parfaitement légitime.
Mais honnetement, la majorité des professionnels de santé ne se posent même pas la question de l’hébergement.
Ils choisissent un logiciel, supposent qu’il est “certifié”, et espèrent que tout est conforme.
Ce qui rend la responsabilité de l’éditeur encore plus cruciale car c’est à l’éditeur d’assumer toute la chaîne de conformité, HDS inclus.
La réponse est : oui, il est possible d’héberger soi-même ses données de santé. Mais c’est une démarche qui engage entièrement votre responsabilité, et qui comporte des risques souvent sous-estimés.
En tant que professionnel de santé, vous avez le droit de stocker et de traiter les données de vos propres patients, à condition de :
- être le responsable légal du traitement,
- ne pas externaliser l’hébergement ou la gestion des données,
- respecter le RGPD et les exigences spécifiques aux données de santé : sécurité, traçabilité, accès restreint, conservation, etc.
Techniquement, vous pouvez donc acheter un serveur, l’installer dans votre local, et tout faire en interne.
Mais…
⚠️ La charge de la conformité repose entièrement sur vous.
Et cela représente bien plus que simplement "garder un serveur allumé".
Vous devrez :
- assurer la sécurité physique et logique (accès, surveillance, sauvegardes, chiffrement…),
- tenir un registre de traitement conforme RGPD,
- gérer les droits des patients (accès, rectification, effacement),
- rédiger une politique de confidentialité claire,
- garantir une disponibilité constante des données (y compris en cas de panne, sinistre, ou cyberattaque).
Autrement dit, vous devenez votre propre DPO, RSSI, administrateur système et juriste RGPD.
Le coût réel, ce n’est pas l’hébergement. C’est le risque.
Un hébergement HDS peut sembler plus coûteux à court terme qu’un serveur local. Mais les économies apparentes peuvent rapidement disparaître si :
- une fuite de données survient,
- la CNIL effectue un contrôle,
- une cyberattaque perturbe votre activité,
- ou qu’un incident met vos dossiers patients hors service.
Ces situations peuvent entraîner :
- une perte de confiance de vos patients,
- des amendes administratives,
- voire une suspension temporaire de votre activité.
“Le coût de la sécurité est toujours inférieur au coût de la négligence.”
Question bête : pourquoi la certification HDS existe-t-elle, en réalité ?
Parce qu’il ne suffit plus de dire qu’on protège les données : il faut pouvoir le prouver, et être évalué sur cette promesse.
La certification HDS, ce n’est pas juste un badge. C’est un engagement technique, organisationnel, juridique et contractuel qui démontre que :
- l’environnement est sécurisé,
- les process sont établis et vérifiés,
- le prestataire est prêt à être audité à tout moment.
Et en réalité, pour un opticien, un dentiste, un radiologue ou une startup e-santé, il est souvent plus simple, plus rassurant et plus rentable de faire appel à un hébergeur certifié, que de tenter de recréer ce niveau d’exigence seul, dans un local technique.
💾 Sauvegardes, anonymisation, externalisation : ce qu’on peut faire (ou pas)
Parce que le sujet ne s’arrête pas à "où héberger", voici trois points clés souvent mal compris — mais essentiels pour rester conforme.
Est-ce qu’un médecin est obligé de faire des sauvegardes ?
Il n’existe pas de texte de loi disant noir sur blanc “le médecin doit faire une sauvegarde quotidienne”.
Mais les obligations de sécurité, de disponibilité, et d’intégrité des données sont bien là.
➡️ Le RGPD impose de protéger les données contre la perte.
➡️ Le Code de la santé publique impose leur conservation.
➡️ L’Ordre des médecins insiste sur la responsabilité du praticien.
Pas de sauvegarde = mauvaise protection = non-conformité.
En cas d’incident ou de contrôle, l’absence de sauvegarde est considérée comme une faute.
Est-ce qu’un professionnel de santé peut externaliser ses sauvegardes ?
Oui, mais uniquement auprès d’un prestataire certifié HDS niveau 6. (Cf niveau HDS)
Même s’il ne s’agit “que” d’une sauvegarde, les mêmes exigences s’appliquent que pour l’hébergement principal :
- Chiffrement,
- Accès restreint,
- Disponibilité garantie,
- Et preuve de conformité.
Un disque dur dans un tiroir, un NAS branché sur une box, ou un cloud “personel” ne sont pas considérés comme des solutions sûres ni conformes.
Et les données anonymisées, alors ?
Et la c’est là que ça devient subtil.
Si les données sont réellement anonymisées (aucun moyen de ré-identifier la personne, même indirectement),
→ Alors ce ne sont plus des données personnelles, donc pas soumises à l’obligation HDS.
❗Mais dans beaucoup de cas, on se parle pas d'anonymisation mais de pseudonymisation :
➡️ Elles restent juridiquement des données de santé à caractère personnel.
➡️ Donc elles doivent être hébergées dans un environnement certifié HDS.
Quand vous pensez “anonymisation”, demandez-vous si un croisement de données ou un détail technique permettrait de retrouver l’identité d’un patient.
Si oui, alors... ce n’est pas anonyme. Et donc, HDS obligatoire.
Et Microsoft alors ? Pourquoi pas moi ?
C’est probablement la question que beaucoup de professionnels ou prestataires se posent en lisant cet article :
“Si l’État met les données de l’Assurance Maladie chez Microsoft Azure, pourquoi moi je devrais m’embêter avec un hébergeur certifié HDS en France ?”
C’est une vraie question. Et elle mérite une vraie réponse.
Déja, assez paradoxalement, Microsoft est bien certifié pour héberger les données de santé sur le sol Francais et cela fait débat (Lire l'article)
1. Parce que le projet EMC2 (Assurance maladie) est une exception, pas une règle.
Le choix de Microsoft par le GIE SESAM-Vitale et la CNAM a été validé par la CNIL faute d’alternative souveraine prête à temps.
Même la CNIL le dit : ce n’est pas satisfaisant, mais c’est un compromis politique et technique assumé dans un contexte précis.
2. Parce que le risque juridique n’est pas le même pour vous. (Coucou le Cloud Act)
Quand vous êtes un éditeur SaaS, un professionnel de santé ou un prestataire IT, vous n’avez ni la puissance contractuelle, ni le service juridique de l’État.
Si un jour les données sont compromises, mal accessibles, ou transférées à l’étranger…
c’est vous qui serez responsable.
Pas Microsoft. Pas le "cloud". Vous.
3. Parce que le “ils le font” n’est pas une stratégie.
Faire comme l’État, c’est tentant. Mais ce n’est ni un argument de conformité, ni une assurance en cas de contrôle.
Si vous stockez des données de santé pour le compte d’un tiers, vous devez garantir un hébergement HDS, point.
Le reste, c’est de la rhétorique... pas de la conformité.
En résumé : l’État peut faire des compromis stratégiques.
Vous, vous devez faire des choix responsables.
Et si tout ça vous semble encore flou...
C’est normal. La réglementation est complexe, l’écosystème parfois contradictoire, et les obligations pas toujours bien expliquées.
Chez TAS Cloud Services, notre métier n’est pas juste d’héberger des données, mais d’aider à comprendre ce que vous avez réellement besoin de faire. Nous savons que la conformité ne s’improvise pas, surtout dans des contextes aussi sensibles que la santé.
C’est pour cela que nous avons fait le choix d’une certification HDS complète, associée à une démarche ISO 27001, pour accompagner les professionnels de santé, éditeurs, et établissements dans une logique claire, transparente et exigeante.
Cet article est basé sur une lecture croisée de la réglementation et des recommandations officielles. Si vous constatez une imprécision, n’hésitez pas à nous le signaler.
Merci pour votre lecture !
Vincent
Besoin d’un avis sur votre situation ou d’un accompagnement clair ?
Recevez notre veille sur l’actualité cloud / IT
La veille technologique est primordiale dans notre industrie. Nous vous faisons bénéficier des dernières actualités en la matière. Abonnez-vous à notre newsletter pour les recevoir chaque mois dans votre boîte e-mail.
S'inscrire à notre newsletter
Votre hébergeur de proximité
Externalisez votre informatique en toute sérénité avec TAS Cloud Services. Hébergeur cloud de proximité, nous vous accompagnons à chaque étape pour vous permettre de bénéficier d’une solution parfaitement adaptée à vos besoins IT.
Contactez-nous
Nous sommes là pour répondre à toutes vos questions et demandes de renseignements.
Votre hébergeur de proximité
A Sophia-Antipolis, France