Les hôpitaux, cliniques et établissements médico-sociaux gèrent des volumes massifs de données médicales critiques. Pour garantir la confidentialité, la continuité des soins et la conformité réglementaire, leur hébergement doit obligatoirement être réalisé sur des infrastructures certifiées HDS (Hébergeur de Données de Santé). Ce guide détaille les enjeux, obligations et bonnes pratiques pour les établissements de soins.
Les SI hospitaliers manipulent certaines des données les plus sensibles d’Europe : dossiers patients, imagerie lourde, prescriptions, données de laboratoire, comptes rendus opératoires…
Ces informations doivent être protégées contre toute fuite, corruption ou indisponibilité.
Selon les articles L.1111-8 et R.1111-9 du Code de la Santé Publique, les établissements de santé doivent impérativement recourir à un hébergeur certifié HDS pour tout stockage ou traitement de données médicales.
En environnement hospitalier, une interruption du SI peut avoir des conséquences graves :
retards de diagnostics,
blocages de salles d’opération,
indisponibilité du DPI,
impossibilité d’accéder aux antécédents,
désorganisation des services.
La certification HDS impose des garanties adaptées à cette criticité.
antécédents,
diagnostics,
traitements,
observations cliniques,
courriers médicaux.
PACS,
radiologie, IRM, scanner,
résultats de biologie, d’anapath.
admissions,
facturation,
gestion RH,
identités patient.
logiciel d’urgence,
bloc opératoire,
pharmacie,
chimiothérapie,
réanimation,
télésurveillance et télé-expertise.
La quasi-totalité du SI hospitalier entre dans le périmètre HDS.
Les besoins d’un hôpital ne sont pas ceux d’un cabinet : l’échelle, la criticité et les exigences réglementaires sont bien plus élevées.
Un hébergeur HDS doit garantir :
redondance multi-datacenters,
réplication synchrone ou asynchrone,
PRA/PCA documentés,
taux de disponibilité élevé (SLA).
La continuité du DPI est prioritaire.
chiffrement complet,
segmentation réseau avancée,
durcissement système (CIS/ANSSI),
anti-DDoS,
supervision SOC 24/7,
SIEM pour détection d’intrusions,
audits réguliers.
Les systèmes hospitaliers nécessitent :
sauvegardes immuables (WORM),
sauvegardes hors ligne (air-gap),
repository durci (hardened repository),
vérifications d’intégrité,
plan de restauration testés régulièrement.
Chaque action doit être journalisée :
accès,
modifications,
transferts,
administration,
mouvements des données.
La traçabilité est fondamentale pour la sécurité et les audits.
DPI
PACS
LIS (Lab Information System)
RIS
Dossiers anesthésiques
Logiciels pharmaceutiques
urgences
maternité
oncologie
gériatrie
psychiatrie
télémédecine
télésurveillance
Si une application SaaS manipule des données patient → HDS obligatoire.
Un établissement hospitalier doit systématiquement vérifier :
le certificat HDS (PDF + périmètre rôles 1 à 6),
la validité (3 ans + audits annuels),
la localisation des datacenters,
la conformité RGPD,
les mesures de sécurité opérationnelle,
les engagements PRA/PCA,
les procédures d’incident.
Le prestataire doit offrir une documentation complète permettant un audit ANS ou CNIL.
non-respect du Code de la Santé Publique,
non-conformité RGPD,
sanctions potentielles.
pertes d’accès au DPI,
impossibilité d’assurer la continuité des soins,
risque de data breach.
perte de confiance,
impact médiatique,
difficulté à contractualiser avec les autorités de santé.
Pour un hôpital ou une clinique, l’hébergement HDS est essentiel pour garantir la sécurité des informations médicales, la continuité des soins et la conformité juridique. Un hébergeur certifié doit offrir une infrastructure souveraine, résiliente, auditée et adaptée à la criticité des SI hospitaliers. C’est un choix stratégique pour la sécurité numérique et l’efficience des établissements de santé.
