Hébergement HDS : Guide complet pour éditeurs et professionnels de santé

Quand il s’agit d’hébergement de données de santé, la première chose à comprendre, c’est que vous ne cherchez pas juste un “hébergement”.
Vous confiez vos données à quelqu’un. Et ce quelqu’un doit être digne de confiance, conforme, et disponible.

En 2026, héberger des données de santé, c’est un peu comme stocker de l’uranium : tout le monde a peur de mal faire, et à la moindre erreur tout peut exploser. Règlementations, certifications, enjeux de souveraineté… il ne s’agit plus seulement de “choisir un prestataire”, mais de prendre une décision pour la sécurité des données des patients et la crédibilité de votre entreprise.

Vous n’avez jamais entendu parler de HDS avant ? Vous souhaitez plus d’informations ? Faites un tour ici

Aujourd’hui, il existe mille façons d’héberger des données de santé

Sur ses propres serveurs, dans un datacenter en France, chez un géant américain, dans une appli SaaS qu’on adore mais dont on ignore tout du backend…

Et pourtant, une seule constante : on est responsable de son choix.

C’est justement là que ça coince. Parce que derrière le discours marketing et les beaux schémas d’architecture, la réalité est souvent un peu floue.

Vous éditez un logiciel de santé ?

Pour aller dans le dur dès le début, il faut être clair : Aujourd’hui, les professionnels de santé utilisent des logiciels métiers… sans toujours savoir où leurs données sont stockées, qui les héberge, et sous quelle responsabilité. En réalité, l’éditeur du dit logiciel devient l’acteur clé dans la chaîne de confiance.

C’est lui qui choisit le modèle d’hébergement, les partenaires, et qui assure (ou non) la conformité du traitement.

Certification HAS

Concerne le logiciel en lui-même : fonctionnalités, interopérabilité, conformité aux référentiels métiers. Délivrée par la Haute Autorité de Santé.

Certification HDS

Concerne l’environnement d’hébergement dans lequel les données de santé sont stockées : sécurité, accès, sauvegardes, traçabilité. Obligatoire dès lors qu’un prestataire stocke ou traite des données de santé pour un tiers.

Trois idées reçues qu’on entend (encore) beaucoup trop souvent

1. “Je suis hébergé dans un datacenter certifié HDS, donc je suis HDS.”

Non. Non et encore non. C’est un raccourci dangereux…
2. “Le datacenter est HDS, donc je peux manipuler des données de santé.”

Encore une fois, c’est un raccourci dangereux !
3. “Mon outil SaaS me dit qu’il est hébergé chez un prestataire HDS, donc je suis couvert.”

C’est un début, mais ce n’est pas une preuve.

Voici les 6 niveaux de la certification HDS, divisés en deux périmètres

Les 6 niveaux de certification HDS

hébergeur d’infrastructure physique & hébergeur infogéreur

Mais alors, pourquoi je devrais payer un hébergeur certifié HDS alors que je peux stocker mes données chez moi ?

En voila une bonne question ! Beaucoup de professionnels de santé se la posent, surtout au moment de se lancer ou de structurer leur activité numérique. Et elle est parfaitement légitime.

Mais honnêtement, la majorité des professionnels de santé ne se posent même pas la question de l’hébergement. Ils choisissent un logiciel, supposent qu’il est “certifié”, et espèrent que tout est conforme.

Ce qui rend la responsabilité de l’éditeur encore plus cruciale car c’est à l’éditeur d’assumer toute la chaîne de conformité, HDS inclus.

La réponse est : oui, il est possible d’héberger soi-même ses données de santé. Mais c’est une démarche qui engage entièrement votre responsabilité, et qui comporte des risques souvent sous-estimés.

En tant que professionnel de santé, vous avez le droit de stocker et de traiter les données de vos propres patients, à condition de :

  • être le responsable légal du traitement,
  • ne pas externaliser l’hébergement ou la gestion des données,
  • respecter le RGPD et les exigences spécifiques aux données de santé : sécurité, traçabilité, accès restreint, conservation, etc.

Techniquement, vous pouvez acheter un serveur, l’installer dans votre local, et tout faire en interne.

Mais… ⚠️ La charge de la conformité repose entièrement sur vous.

Vous devrez assurer la sécurité physique et logique, tenir un registre RGPD, gérer les droits des patients, rédiger une politique de confidentialité, garantir la disponibilité 24/7… Autrement dit, vous devenez votre propre DPO, RSSI, administrateur système et juriste RGPD.

Le coût réel, ce n’est pas l’hébergement. C’est le risque.

« Le coût de la sécurité est toujours inférieur au coût de la négligence. »

💾 Sauvegardes, anonymisation, externalisation : ce qu’on peut faire (ou pas)

Parce que le sujet ne s’arrête pas à « où héberger », voici trois points clés souvent mal compris — mais essentiels pour rester conforme.

Et les données anonymisées, alors ?
Et là c’est là que ça devient subtil.
Si les données sont réellement anonymisées (aucun moyen de ré-identifier la personne, même indirectement), alors ce ne sont plus des données personnelles, donc pas soumises à l’obligation HDS.

❗Mais dans beaucoup de cas, on parle pas d’anonymisation mais de pseudonymisation : elles restent juridiquement des données de santé à caractère personnel. Donc elles doivent être hébergées dans un environnement certifié.

Quand vous pensez “anonymisation”, demandez-vous si un croisement de données ou un détail technique permettrait de retrouver l’identité d’un patient. Si oui, alors… ce n’est pas anonyme. Et donc, HDS obligatoire.

Et Microsoft alors ? Pourquoi pas moi ?

C’est probablement la question que beaucoup de professionnels ou prestataires se posent en lisant cet article :

“Si l’État met les données de l’Assurance Maladie chez Microsoft Azure, pourquoi moi je devrais m’embêter avec un hébergeur certifié HDS en France ?”

C’est une vraie question. Et elle mérite une vraie réponse.

1. Parce que le projet EMC2 (Assurance maladie) est une exception, pas une règle.
2. Parce que le risque juridique n’est pas le même pour vous. (Coucou le Cloud Act)
3. Parce que le “ils le font” n’est pas une stratégie.

En résumé : l’État peut faire des compromis stratégiques. Vous, vous devez faire des choix responsables.

Et si tout ça vous semble encore flou… C’est normal. La réglementation est complexe, l’écosystème parfois contradictoire, et les obligations pas toujours bien expliquées.

Chez Nubevia, notre métier n’est pas juste d’héberger des données, mais d’aider à comprendre ce que vous avez réellement besoin de faire. Nous savons que la conformité ne s’improvise pas, surtout dans des contextes aussi sensibles que la santé.

📚 À noter : la liste officielle des hébergeurs certifiés HDS est disponible publiquement sur le site de l’Agence du Numérique en Santé. Consulter la liste des hébergeurs HDS

🔚 À retenir

C’est pour cela que nous avons fait le choix d’une certification HDS complète, associée à une démarche ISO 27001, pour accompagner les professionnels de santé, éditeurs, et établissements dans une logique claire, transparente et exigeante.

Besoin d’un avis sur votre situation ou d’un accompagnement ? Contactez-nous

Vincent
Nubevia – Hébergement souverain certifié HDS