L’hébergement HDS (Hébergeur de Données de Santé) est obligatoire pour toute organisation manipulant, stockant ou traitant des données de santé à caractère personnel. Cette obligation concerne bien plus que les hôpitaux : cabinets médicaux, laboratoires, éditeurs de logiciels, plateformes SaaS santé, entreprises technologiques, établissements médico-sociaux, et même certains prestataires techniques sont soumis au référentiel HDS. Voici un guide clair pour comprendre si votre activité est concernée.
Les données de santé sont classifiées parmi les données les plus sensibles par le RGPD.
Elles regroupent toutes les informations permettant d’identifier une personne et de déduire son état de santé, son diagnostic, son traitement ou son historique médical.
Dossiers médicaux et DMP
Résultats d’imagerie, analyses, biologie
Diagnostics, prescriptions, comptes rendus
Données de suivi, télémédecine, télésurveillance
Données issues d’applications santé (SaaS, mobile, web)
Informations administratives liées aux soins (facturation, gestion patient)
Toute entité manipulant ces données doit utiliser un hébergeur certifié HDS.
Contrairement aux idées reçues, l’hébergement HDS ne concerne pas uniquement les hôpitaux.
Le champ d’application est large et inclut toute entreprise ou prestataire stockant ou traitant des données de santé.
Voici la liste exhaustive des acteurs concernés :
Les structures de soins sont évidemment directement concernées :
Hôpitaux publics et privés
Cliniques
Centres de santé
Plateformes hospitalières
Centres médico-psychologiques
EHPAD / structures médico-sociales
Laboratoires d’analyse et d’imagerie
Toute application interne ou externe traitant des données patient doit être hébergée en HDS.
Même un petit cabinet est soumis à l’obligation si :
il stocke des dossiers patients,
utilise un logiciel de gestion médicale,
échange des données avec un tiers,
réalise de la téléconsultation.
Professions concernées : médecins, généralistes, spécialistes, infirmiers, kinés, sages-femmes, psychologues, ostéopathes, etc.
Cette catégorie est la plus souvent oubliée, alors qu’elle est obligatoirement concernée dès qu’une application traite des données médicales.
Exemples :
Logiciels médicaux en SaaS
Plateformes de rendez-vous patients
Dossiers patients informatisés (DPI)
Solutions de télémédecine / télésurveillance
Portails patient
Plateformes de partage d’imagerie
Applications mobiles santé (IOS/Android)
Si votre logiciel traite des données personnelles de santé, l’hébergement HDS est obligatoire.
Beaucoup de startups ne savent pas qu’elles doivent être hébergées en HDS.
Vous êtes concerné si votre produit traite :
des données biométriques,
des données physiologiques (capteurs, wearables),
des données de suivi patient,
des signaux de santé (ECG, SPO2, monitoring),
des résultats d’analyse automatisée (IA médicale).
Même un POC (proof of concept) peut être concerné.
Certaines entreprises ne sont pas “dans la santé” mais utilisent des données médicales :
assurance, assistances, services RH, mutuelles, prévoyance…
Dès que l’entreprise manipule :
arrêts maladie,
données d’accidents du travail,
informations de diagnostic,
justificatifs médicaux → HDS obligatoire.
C’est souvent une zone grise, mais la loi est claire :
tout prestataire ayant accès à des données de santé DOIT être HDS.
Cela inclut :
sous-traitants techniques,
entreprises d’infogérance,
hébergeurs non HDS,
freelances tech manipulant les environnements,
services de sauvegarde, monitoring, automatisation…
Si le prestataire peut voir, transférer, sauvegarder ou administrer des données médicales identifiables, il doit être soumis à l’HDS.
Il existe quelques exceptions, mais elles sont strictes.
Données complètement anonymisées
Données statistiques impossibles à rattacher à un individu
Données simulées (environnements de test)
Outils ne stockant aucune donnée personnelle (tracking non médical, anonymisé)
Attention : un simple chiffrement n’est pas une anonymisation.
Si le fournisseur peut techniquement déchiffrer, l’HDS s’applique.
L’hébergement HDS concerne un large spectre d’entreprises dès lors que leurs systèmes manipulent des données de santé identifiables. Cette obligation légale vise à garantir la confidentialité, la traçabilité et la sécurité des informations médicales, qui figurent parmi les données les plus sensibles.
Pour les éditeurs SaaS, startups santé, cabinets et prestataires techniques, choisir un hébergeur certifié HDS est non seulement une question de conformité, mais aussi de confiance et de sécurité opérationnelle.
