L’hébergement des données de santé en France est strictement encadré par le Code de la Santé Publique, le RGPD et les exigences de l’Agence du Numérique en Santé (ANS). Toute organisation manipulant des données médicales identifiables doit respecter un ensemble d’obligations légales visant à garantir la confidentialité, l’intégrité et la disponibilité de ces informations sensibles. Ce guide détaille les règles essentielles pour être conforme.
Les données de santé sont considérées par le RGPD comme des données sensibles, soumises à des règles de protection renforcées.
Elles regroupent toutes les informations permettant d’identifier une personne et d’établir un lien avec son état de santé, ses traitements, son diagnostic ou ses habitudes de soins.
Historique médical et dossiers patients
Résultats d’examens, imagerie, biologie
Prescriptions, diagnostics, pathologies
Données de télésanté, télésurveillance, objets connectés
Informations administratives liées à la prise en charge
Données issues d’applications santé ou de plateformes SaaS médicales
Parce qu’elles touchent à la vie privée la plus intime, leur hébergement est strictement réglementé.
Le cadre principal repose sur les articles L.1111-8 et R.1111-9 du Code de la Santé Publique.
Toute personne physique ou morale hébergeant des données de santé pour le compte d’autrui doit recourir à :
un hébergeur certifié HDS,
audité et agréé selon le référentiel de l’ANS.
Cette obligation concerne :
établissements de santé,
cabinets médicaux,
éditeurs de logiciels santé,
SaaS manipulant des données médicales,
plateformes de rendez-vous ou téléconsultation,
solutions de télésurveillance,
prestataires techniques (infogérance, sauvegarde, monitoring…).
Le non-respect de cette obligation peut engager la responsabilité juridique de l’entreprise.
Le RGPD renforce le cadre légal avec des obligations spécifiques.
un traitement fondé sur une base légale valide (soins, intérêt public, consentement…),
un délégué à la protection des données (DPO) pour la majorité des acteurs,
la minimisation des données collectées,
le chiffrement systématique des données,
une documentation complète du traitement,
une sécurité adaptée aux risques (article 32),
une traçabilité des accès,
une gestion stricte des sous-traitants (article 28).
Le cloud souverain et l’hébergement HDS permettent de répondre efficacement à ces obligations.
L’ANS impose un référentiel strict pour certifier les hébergeurs HDS.
Le référentiel couvre :
infrastructures physiques
infrastructures virtuelles
hébergement applicatif
administration et exploitation
sauvegardes et PRA
infogérance applicative et BDD
Chaque rôle nécessite :
des procédures documentées,
un contrôle d’accès strict,
des mécanismes anti-ransomware,
une supervision continue,
une analyse de risque EBIOS,
des audits réguliers.
Le cadre légal impose un niveau très élevé de sécurité technique et opérationnelle.
Chiffrement des données au repos et en transit
Segmentation réseau et cloisonnement fort
Sauvegardes immuables ou hors ligne
Systèmes durcis (CIS, ANSSI)
Journalisation exhaustive
Supervision SOC/SIEM 24/7
Politique de patching et mises à jour contrôlées
Redondance multi-datacenters en France
gouvernance documentée,
gestion formelle des habilitations,
sensibilisation du personnel,
procédures d’incident,
politique de continuité (PCA, PRA),
revue de sécurité régulière.
Un hébergeur certifié HDS est audité annuellement pour garantir le respect permanent de ces exigences.
En théorie : oui, sous conditions extrêmement strictes.
En pratique : le plus souvent non, pour trois raisons majeures :
Toute entreprise dépendante d’un fournisseur américain (ou de sa filiale) devient exposée à des demandes d’accès par les autorités étrangères.
Les hyperscalers répliquent souvent les données sur plusieurs régions.
Cela rend l’hébergement à l’étranger incompatible avec les obligations françaises.
Conclusion : l’hébergement HDS doit être souverain et basé en France.
Il doit s’assurer :
que l’hébergeur est certifié HDS,
que les contrats et clauses RGPD sont conformes,
que le traitement est documenté,
que les droits des patients sont respectés.
Il doit garantir :
l’intégrité et la disponibilité des données,
la sécurité technique de l’environnement,
la confidentialité,
la traçabilité,
la conformité structurelle,
l’auditabilité.
Ils doivent toujours être sous contrat et également conformes HDS.
Le cadre légal de l’hébergement des données de santé repose sur une exigence majeure : assurer une protection maximale de l’information médicale. Entre le Code de la Santé Publique, le RGPD et le référentiel HDS, la réglementation impose une approche souveraine, sécurisée et auditable. Pour toute organisation manipulant des données de santé identifiables, l’hébergement HDS n’est pas une option mais une obligation légale structurante.
