L’Hébergement de Données de Santé (HDS) : qu’est-ce que c’est et comment ça marche ?

29 juillet 2025 - 10 min de lecture
L’Hébergement de Données de Santé (HDS) : qu’est-ce que c’est et comment ça marche ?

Héberger des données de santé ne s’improvise pas. Il s’agit de données particulièrement sensibles, encadrées par des règles strictes, tant sur le plan technique que réglementaire.

En France, cette exigence porte un nom : la certification HDS (Hébergement de Données de Santé). Elle garantit que les prestataires techniques respectent des standards élevés de sécurité, de traçabilité et de conformité.

Dans cet article, nous vous expliquons ce qu’est la certification HDS, à qui elle s’applique, pourquoi elle est indispensable… et comment Scalingo s’est engagé à couvrir l’ensemble des périmètres définis par la réglementation pour offrir une solution fiable, souveraine et conforme aux attentes du secteur santé.

Définition : Qu’est ce que l’Hébergement de Données de Santé (HDS) ?

L’Hébergement de Données de Santé (HDS) est une certification française obligatoire qui encadre les conditions dans lesquelles des données de santé à caractère personnel peuvent être hébergées.

Mise en place par l’Agence du Numérique en Santé (ANS), elle s’adresse à tous les prestataires techniques (hébergeurs, plateformes cloud, infogéreurs…) qui stockent ou traitent ce type d’informations. Nous reviendrons dans un instant sur la définition précise d’une donnée de santé.

La certification HDS assure que les prestataires techniques comme Scalingo respectent les exigences de sécurité et de confidentialité les plus élevées, comparables à celles imposées dans des secteurs critiques (banques, défense, etc.). Rien que ça…

Le processus de certification HDS

Nous ne détaillerons pas ici toutes les étapes du processus de certification HDS car cela mériterait un article à part entière. Ce qu’il faut retenir, c’est que pour obtenir cette certification, un hébergeur doit répondre à un niveau d’exigence extrêmement élevé, notamment en matière de :

  • Sécurité des infrastructures
  • Confidentialité et traçabilité des accès et opérations
  • Continuité et disponibilité de service
  • Conformité stricte au RGPD, complétée par la norme ISO 27001

Et cela ne se fait pas du jour au lendemain.

Cela représente : des mois de préparation, des audits menés par un organisme indépendant accrédité par le COFRAC, la préparation d’un corpus documentaire exigeant, des process à ajuster dans les moindres détails… Et surtout : une mobilisation de toute l’entreprise, bien au-delà des seuls pôles sécurité ou infrastructure.

On peut le résumer le tout avec le schéma suivant :

Ce n’est donc pas juste une simple case à cocher et un certificat à exposer sur son site. C’est une démarche de fond, qui transforme la façon dont on conçoit l’hébergement, la maintenance, et même la relation client dans un contexte aussi sensible que celui de la santé.

“ 📌 Bon à savoir : la certification HDS est valable 3 ans, avec des audits annuels de surveillance. Chez Scalingo, nous sommes actuellement en cours de renouvellement pour continuer à vous offrir un hébergement conforme, fiable et 100% souverain. ”

Pourquoi la certification HDS est-elle si importante ?

Les données de santé sont parmi les plus sensibles qui existent : elles touchent directement à l’intimité d’une personne, que ce soit sa condition physique, mentale, et parfois même à des situations sociales ou familiales qui peuvent être délicates.

Alors imaginez ce que cela implique lorsqu’elles circulent sans protection suffisante dans un système informatique.

Si ces données de santé tombent entre de mauvaises mains, les conséquences peuvent être graves :

  • Atteinte à la vie privée : révélations sur des maladies, troubles psychologiques, traitements confidentiels, antécédents médicaux...
  • Discriminations : dans le monde du travail, de l’assurance ou encore du logement.
  • Chantage ou extorsion : certains ransomwares visent spécifiquement les établissements de santé, exploitant la sensibilité de ces données pour exiger des rançons.

C’est pour limiter tous ces risques que la certification HDS (Hébergeur de Données de Santé) a été mise en place.

“ ⚠️ Attention, la certification HDS ne garantit pas qu’un incident ne se produira jamais, mais assure que l’infrastructure est préparée, surveillée, et capable de réagir rapidement. Et surtout : qu’elle respecte les meilleures pratiques du secteur, auditées et certifiées. ”

Qu’est-ce-qui est considéré une “donnée de santé” ? Que dit la loi ?

La définition de référence d’une “donnée de santé” est celle du RGPD (Règlement Général sur la Protection des Données) et de la CNIL :

“Une donnée de santé est une information personnelle liée à l’état de santé physique ou mental, passé, présent ou futur, d’un individu. Cela inclut, par exemple, des diagnostics, des résultats d’examens, des prescriptions, ou même des données indirectes comme la fréquence cardiaque mesurée par un objet connecté, dès lors qu’elles permettent d’en déduire un état de santé.”

“ 📌 En clair : dès qu’une application traite des informations médicales identifiables, elle entre dans le champ des données de santé, avec toutes les obligations légales que cela implique. ”

À titre d’exemple, voici des informations souvent considérées comme des données de santé :

  • Les résultats d’une prise de sang ou d’un test COVID
  • Un diagnostic médical (diabète, dépression, etc.)
  • Des informations issues d’une ordonnance ou d’un certificat médical
  • Des données issues d’un objet connecté (ex : rythme cardiaque, nombre de pas)
  • L’enregistrement d’un rendez-vous médical ou d’une hospitalisation
  • Une donnée génétique ou biologique, même anonymisée si elle peut être réidentifiée
“ 📌 À retenir : une donnée ne devient personnelle que si elle est associée ou permet d’identifier quelqu’un, directement ou indirectement. Et pour qu’elle soit une donnée de santé, elle doit en plus révéler des informations, même indirectes, sur un état de santé physique ou mental. ”

Qu’est-ce qu’un périmètre HDS ?

Maintenant que la notion de “donnée de santé” est bien définie, reste une autre question essentielle : qui peut les héberger, et sous quelles conditions ? C’est là qu’intervient la certification HDS, et plus précisément, ses différents périmètres.

Une erreur commune consiste à penser que toutes les certifications HDS se valent. Or, quand on parle de “certification HDS”, on parle en réalité d’un ensemble de périmètres bien définis. Il ne s’agit pas d’un tampon unique, mais d’une certification modulable notamment selon le rôle que joue l’hébergeur dans la chaîne de traitement des données de santé.

👉 En clair : La certification couvre jusqu’à 6 activités distinctes. Certaines entreprises sont certifiées sur un seul périmètre, d’autres sur plusieurs… et très peu sur l’ensemble.

Les 6 périmètres d’hébergement HDS sont les suivants :

  1. Hébergement de locaux physiques

    Il s’agit de garantir que les bâtiments dans lesquels sont installés les serveurs (comme les datacenters) respectent des standards très stricts : accès contrôlé, sécurité incendie, alimentation de secours, etc.

  2. Hébergement de l’infrastructure physique

    Ce périmètre couvre le matériel en lui-même : serveurs, baies de stockage, équipements réseau… L’objectif est de s’assurer qu’ils sont installés, maintenus et surveillés dans des conditions optimales.

  3. Hébergement de la plateforme d’hébergement d’applications

    On parle ici de tout ce qui permet aux applications de fonctionner correctement : systèmes d’exploitation, bases de données, middleware… Le socle logiciel, en quelque sorte.

  4. Hébergement de l’infrastructure virtuelle

    Ce périmètre concerne les environnements virtualisés (machines virtuelles, conteneurs, etc.). Ils doivent être isolés, sécurisés, monitorés… comme le reste de l’infrastructure.

  5. Infogérance d’exploitation du système d'information

    Il s’agit de l’ensemble des opérations quotidiennes qui assurent que le système d’information reste stable, sécurisé et conforme : supervision, mises à jour, gestion des incidents, etc.

  6. Sauvegarde externalisée des données de santé

    Dernier périmètre, mais pas des moindres : celui des sauvegardes. Celles-ci doivent être hébergées sur un site distinct, avec le même niveau de sécurité et de traçabilité que les données originales.

Ces 6 périmètres sont définis par l’Agence du Numérique en Santé (ANS), notamment dans le Référentiel d’Hébergement de Données de Santé.

Scalingo : un PaaS intégralement certifié HDS

Qu’en est-il donc de Scalingo ? Nous avons fait le choix, ambitieux mais cohérent, de nous faire certifier sur l’ensemble des 6 périmètres HDS. Cela signifie que notre plateforme PaaS est intégralement conforme, depuis l’infrastructure physique jusqu’à la gestion logicielle, en passant par la sauvegarde et l’exploitation.

Ce niveau de couverture est encore rare dans le paysage cloud français, et c’est ce qui nous permet d’accompagner nos clients du secteur santé avec une approche clé en main : sans avoir à multiplier les prestataires ni à gérer la complexité réglementaire eux-mêmes.

Mais au-delà du périmètre, c’est surtout une philosophie que nous défendons :

“ 💬 Héberger des données de santé, ce n’est pas juste cocher des cases, c’est prendre une responsabilité forte et collective, sur la durée. ”

Chez Scalingo, cela se traduit par une implication transversale : des équipes InfoSec à l’engineering, le support et les équipes produit, tout le monde est concerné. Et c’est aussi ce qui rend cette certification légitime : ce n’est pas juste un papier, elle vit vraiment dans nos pratiques quotidiennes.

“ 🛡️ Aujourd’hui, c’est ce cadre de confiance qui nous permet d’héberger des dizaines d’applications de santé sensibles, en France comme à l’international, dans des domaines variés : télémédecine, coordination de soins, essais cliniques, parcours patients, prévention… ”

👉 En savoir plus sur Scalingo pour le secteur de la santé.

Pour aller plus loin : vos questions les plus fréquentes sur l’hébergement HDS

Vous vous posez encore des questions ? Voici les réponses aux interrogations les plus courantes de nos utilisateurs sur l’hébergement HDS et ses enjeux.

1. Peut-on héberger des données de santé sur AWS, Azure ou Google Cloud ?

Oui, mais sous conditions.

En théorie, AWS, Google Cloud et d'autres hyperscalers américains peuvent héberger des données de santé en France à partir du moment où leurs services sont certifiés HDS pour les périmètres concernés. Certaines de leurs offres ont effectivement obtenu cette certification, et c’est une excellente chose.

👉 Mais attention :

  • Tous les services proposés par ces acteurs ne sont pas couverts par la certification.

  • Il revient à l’éditeur de l’application de vérifier finement quels périmètres HDS sont réellement certifiés (infrastructure physique ? plateforme logicielle ? infogérance ? sauvegardes ?)

  • Et surtout : l’hébergement chez un acteur non européen peut soulever des questions de souveraineté et de conformité au RGPD, notamment en lien avec le Cloud Act américain.

  • Les régulateurs (CNIL, Conseil d’État, ANS) recommandent ainsi clairement de privilégier des solutions souveraines, hébergées dans l’Espace Économique Européen et non soumises à des législations extraterritoriales conflictuelles.

2. Quelle est la différence entre ISO 27001 et HDS ?

La norme ISO 27001 et la certification HDS ont un point commun : elles visent toutes deux à garantir un haut niveau de sécurité de l’information. Mais elles ne jouent pas exactement le même rôle :

ISO 27001 est une norme internationale qui définit les bonnes pratiques pour sécuriser les systèmes d’information, tous secteurs confondus. Elle repose sur une logique d’analyse des risques, de gestion des accès, et de gouvernance de la sécurité.

HDS (Hébergeur de Données de Santé) est une certification française obligatoire pour héberger des données de santé. Elle s’appuie sur ISO 27001, mais ajoute des exigences spécifiques au secteur santé : souveraineté des données, traçabilité renforcée, disponibilité, etc.

💡 Chez Scalingo, nous sommes certifiés sur les deux, pour garantir un hébergement sécurisé, conforme et souverain.

3. Quelles entreprises doivent être certifiées HDS ?

Toutes les entreprises qui hébergent des données de santé à caractère personnel pour le compte de tiers doivent être certifiées HDS.

Cela concerne notamment :

  • les hébergeurs d’infrastructure (datacenters, cloud providers),
  • les éditeurs de logiciels santé en SaaS,
  • les infogéreurs ou prestataires techniques,
  • les startups et ESN qui manipulent ou stockent des données médicales identifiables (télémédecine, coordination de soins, dossiers patients…).

📌 Important : si vous traitez des données de santé uniquement pour vos propres besoins internes (ex. un hôpital qui héberge ses données dans ses propres serveurs), la certification n’est pas obligatoire, mais des exigences très strictes de sécurité s’appliquent tout de même.

4. La certification HDS suffit-elle à être conforme au RGPD ?

La certification HDS est complémentaire, mais ne remplace pas la conformité au RGPD.

👉 Pour être conforme au RGPD, une entreprise doit répondre à un ensemble d’obligations juridiques portant sur la protection des données personnelles, notamment :

  • la licéité du traitement (base légale),
  • la transparence vis-à-vis des utilisateurs,
  • le respect des droits des personnes (accès, rectification, suppression, etc.),
  • la minimisation des données collectées,
  • la désignation d’un DPO (dans certains cas).

De son côté, la certification HDS se concentre uniquement sur la partie hébergement des données de santé, avec des exigences fortes en matière de sécurité, traçabilité, disponibilité et souveraineté.

“ 🔐 Chez Scalingo, on fournit un hébergement certifié HDS et conforme RGPD. Mais c’est à nos clients de s’assurer que le reste de leur application respecte bien l’ensemble des obligations RGPD (politique de confidentialité, gestion des consentements, etc.). ”

5. HDS et HIPAA est-ce la même chose ?

À première vue, la HIPAA (Health Insurance Portability and Accountability Act) et la certification HDS semblent poursuivre le même objectif : protéger les données de santé sensibles. Et dans l’esprit, c’est vrai : les deux visent à garantir la confidentialité, la sécurité et la fiabilité des données médicales.

Mais dans les faits, les approches sont quelque peu différentes.

La HIPAA est une réglementation américaine qui s’applique à tout le système de santé aux États-Unis. Elle définit des règles strictes sur la confidentialité des données, mais aussi plus largement les droits des patients, et les mesures de sécurité à mettre en place.

Etre conforme à l’HIPAA ne suffit donc pas pour héberger légalement des données de santé en France. Et inversement, une certification HDS ne garantit pas une conformité HIPAA aux États-Unis.

💡 Chez Scalingo, nous accompagnons aussi bien des acteurs français qu’internationaux, et nous sommes à vos côtés pour naviguer entre ces cadres selon vos obligations.

6. La certification HDS nécessite-t-elle un hébergement sur une région SecNumCloud ?

Non. La certification HDS n’exige pas d’utiliser une région cloud certifiée SecNumCloud.

HDS est une certification spécifique au secteur de la santé, qui encadre la façon dont les données de santé sont hébergées. Elle garantit un haut niveau de sécurité, de confidentialité et de conformité au RGPD, mais ne rend pas obligatoire l’usage d’un hébergeur cloud qualifié SecNumCloud.

De son côté, SecNumCloud est un label de sécurité renforcée délivré par l’ANSSI. Il s’adresse à tous les fournisseurs de services cloud, tous secteurs confondus, et vise à garantir une souveraineté maximale, notamment face aux lois extraterritoriales comme le Cloud Act.

En résumé :

  • HDS : obligatoire pour héberger des données de santé
  • SecNumCloud : recommandé pour renforcer la souveraineté, mais pas obligatoire

7. Qu’est ce qu’un “point de contact professionnel de santé” ?

Dans le cadre de la certification HDS, Scalingo a l’obligation de disposer d’un point de contact professionnel de santé désigné par chaque client. Ce contact joue un rôle essentiel : il doit pouvoir identifier un professionnel de santé habilité à intervenir lorsque cela est nécessaire, par exemple pour autoriser l’accès aux données de santé ou réagir à un incident de sécurité.

Par ailleurs, Scalingo doit pouvoir fournir cette liste sans délai à l’autorité compétente, notamment si la certification HDS venait à être suspendue ou retirée. C’est une exigence du référentiel HDS (version 1.1.1f, exigence 4.5.4).

Vous lancez un projet santé ? Parlons-en.

Vous avez un doute sur vos obligations HDS ? Vous cherchez un partenaire cloud certifié, conforme RGPD, basé en France, et qui comprend les enjeux spécifiques du secteur santé ?

👉 Contactez notre équipe : nous serons ravis d’échanger sur vos besoins.

Partager l'article
Jennifer Taylor
Jennifer Taylor
Growth Marketing Manager chez Scalingo, Jennifer explore le vaste territoire des PaaS et de l'industrie du cloud, nourrissant son expertise par des lectures pointues et des discussions enrichissantes avec des experts du secteur. Elle se fait un plaisir de vous partager les connaissances ainsi acquises.
Lire les autres articles de l'auteur
#Certification HDS #Certification ISO 27001 #HealthDataHosting #Trust & Security #Cloud Education

Ces articles pourraient vous intéresser

Voir plus d'articles
30 jours pour découvrir Scalingo : tous les détails de la version d’essai
Article
• 5 minutes de lecture
30 jours pour découvrir Scalingo : tous les détails de la version d’essai
Lire l'article
Un nouveau tableau de bord simple et intuitif pour vos bases de données
Article
• 5 minutes de lecture
Un nouveau tableau de bord simple et intuitif pour vos bases de données
Lire l'article
Directive NIS 2 : Guide Complet et Panorama des Nouvelles Exigences
Article
• 10 minutes de lecture
Directive NIS 2 : Guide Complet et Panorama des Nouvelles Exigences
Lire l'article

Essayez gratuitement Scalingo

Demandez une démo
30 jours d'essai gratuit / Pas de CB nécessaire / Hébergé en France