Héberger des données de santé n'a rien d'un hébergement ordinaire. La sensibilité de ces données et la réglementation imposent un cadre strict, dont la pierre angulaire est la certification HDS, pour hébergeur de données de santé. Tout acteur qui traite des données de santé à caractère personnel doit s'appuyer sur un hébergeur certifié. C'est un sujet de conformité avant d'être un sujet technique. Voici comment j'aborde l'hébergement de données de santé.
Qu'est-ce que la certification HDS ?
La certification HDS encadre l'hébergement des données de santé à caractère personnel. Elle garantit que l'hébergeur respecte des exigences strictes de sécurité, de confidentialité, de disponibilité et de traçabilité, adaptées à la sensibilité de ces données. En pratique, dès qu'une organisation traite ou héberge des données de santé identifiantes, dans le cadre d'un service de soin, d'une application médicale ou d'un logiciel de santé, elle doit recourir à un hébergeur certifié HDS. Ce n'est pas une option ni une bonne pratique, c'est une obligation réglementaire. Comprendre cela est essentiel, car héberger des données de santé chez un hébergeur non certifié expose à des risques juridiques sérieux, en plus du risque pour les personnes concernées.
Les hébergeurs certifiés HDS
Plusieurs hébergeurs disposent de la certification HDS et peuvent donc héberger des données de santé en conformité. OVHcloud propose des offres certifiées HDS, avec un ancrage français. Scaleway figure également parmi les acteurs proposant un hébergement conforme. Infomaniak s'inscrit aussi dans cette démarche de sérieux sur la sécurité et la conformité. Mon conseil est de toujours vérifier explicitement que l'offre précise que vous souscrivez est bien couverte par la certification HDS, car un hébergeur peut proposer à la fois des offres certifiées et non certifiées. La certification s'applique à des services précis, et c'est ce périmètre exact qu'il faut confirmer avant de confier des données de santé.
Au-delà de la certification : sécurité et souveraineté
La certification HDS est la condition de base, mais la sécurité des données de santé va au-delà. La localisation des données compte particulièrement : héberger en France ou en Europe, sous droit européen, renforce la protection face aux législations extra-territoriales, un enjeu sensible pour des données aussi personnelles. Les mesures de sécurité, la gestion des accès, la traçabilité et la capacité de l'hébergeur à accompagner votre conformité sont également déterminantes. Je conseille de traiter l'hébergement de données de santé comme un projet de conformité à part entière, où le choix de l'hébergeur n'est qu'une brique d'une démarche plus large incluant vos propres pratiques. La sensibilité de ces données ne laisse pas de place à l'approximation.
Responsabilités partagées et conformité globale
Choisir un hébergeur certifié HDS est nécessaire, mais ne suffit pas à être en règle, et c'est une nuance importante. La certification garantit que l'hébergement répond aux exigences, mais la conformité globale dépend aussi de vos propres pratiques. La responsabilité est partagée : l'hébergeur sécurise l'infrastructure, mais c'est à vous de gérer correctement les accès, les droits des utilisateurs, le consentement des personnes et le respect du RGPD dans le traitement des données. Un hébergement HDS impeccable ne compense pas des pratiques internes négligentes. Je conseille donc d'aborder le sujet comme une démarche de conformité d'ensemble, où l'hébergement certifié est une brique essentielle mais une brique parmi d'autres. Travailler avec un hébergeur qui sait accompagner ses clients sur ces questions est un vrai plus, car la conformité des données de santé est un domaine exigeant où l'erreur a des conséquences sérieuses, pour l'organisation comme pour les personnes dont les données sont en jeu.
Comment je choisis un hébergement de données de santé
Ma démarche est claire. Je vérifie en premier lieu et sans exception que l'hébergeur et l'offre précise sont bien certifiés HDS, je privilégie une localisation des données en France ou en Europe pour la souveraineté, je regarde les garanties de sécurité, de traçabilité et d'accompagnement à la conformité, et j'inscris ce choix dans une démarche globale de protection des données. Le meilleur hébergement de données de santé n'est pas le plus performant ou le moins cher, c'est celui qui garantit la conformité HDS et la sécurité que ces données exigent. Comparez les offres ci-dessous en faisant de la certification un critère non négociable.