HDS s'applique-t-il à toutes mes données informatiques ?

Non. HDS ne concerne que les données de santé à caractère personnel : dossiers patients, comptes-rendus médicaux, résultats d'analyses, images médicales. Vos données administratives, comptables et RH restent sous RGPD classique, sans obligation HDS spécifique.

HDS

Q: Mon logiciel de gestion de cabinet est en SaaS — suis-je concerné par HDS ?

Oui, et la responsabilité repose sur l'éditeur du logiciel. Si votre logiciel SaaS stocke des données de santé à caractère personnel, l'éditeur ou son hébergeur doit être certifié HDS. La liste des hébergeurs certifiés est publique sur le site de l'ANS.

Q: Quelles sont les sanctions en cas de non-conformité HDS ?

L'article L.1111-8 du Code de la santé publique prévoit jusqu'à 3 ans d'emprisonnement et 45 000 € d'amende pour hébergement de données de santé sans certification. La CNIL peut également sanctionner les violations du RGPD associées.

Q: SitinBack peut-il m'aider à mettre en conformité mon infrastructure de santé ?

Oui. SitinBack n'est pas hébergeur certifié HDS, mais travaille avec des hébergeurs certifiés pour concevoir et déployer des infrastructures conformes. Nous gérons l'intégration technique, la migration, la configuration des accès distants et le suivi opérationnel.

Hébergement de Données de Santé — l'obligation que personne n'explique vraiment.

Dès qu'un logiciel, une infrastructure ou un cloud touche à des données de santé à caractère personnel en France, l'hébergeur doit être certifié HDS. Pas une recommandation. Une obligation légale issue de l'article L.1111-8 du Code de la santé publique.

Parlons de votre hébergement

La pièce manquante à votre entreprise.

La définition

C'est quoi la certification HDS ?

La certification HDS (Hébergeur de Données de Santé) est une certification délivrée par un organisme accrédité par le COFRAC, sur la base du référentiel défini par l'ANS (Agence du Numérique en Santé). Elle atteste qu'un hébergeur respecte un niveau de sécurité, de confidentialité et de réversibilité conforme aux exigences de la réglementation française pour les données de santé à caractère personnel.

En clair : si vous stockez, traitez ou transmettez des données de santé — dossiers patients, comptes-rendus médicaux, résultats d'analyses, prescriptions — l'infrastructure qui les héberge doit disposer de cette certification. Sans elle, l'hébergeur est en infraction et le professionnel de santé qui y fait appel également.

⚖️ Le texte de référence — article L.1111-8 du Code de la santé publique

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être titulaire d'une certification. »

Ce n'est pas un label optionnel. C'est une obligation légale. La certification HDS est la seule voie de conformité reconnue par l'État français pour héberger des données de santé.

Les acteurs concernés

Qui doit faire appel à un hébergeur certifié HDS ?

🏥

Établissements de santé

Hôpitaux, cliniques, EHPAD, centres de soin — tout établissement qui produit ou traite des dossiers patients. Le DPI (Dossier Patient Informatisé) et toutes les applications cliniques doivent impérativement reposer sur un hébergeur certifié HDS.

🩺

Professionnels de santé libéraux

Médecins, infirmiers, kinésithérapeutes, pharmaciens, dentistes — dès qu'un logiciel métier stocke des données patients (même en cloud), l'éditeur du logiciel ou son hébergeur doit être certifié HDS. La responsabilité remonte au professionnel.

💻

Éditeurs et prestataires numériques

Développeurs de logiciels médicaux, opérateurs de télémédecine, plateformes e-santé, applications de suivi patient — tout acteur qui héberge des données de santé pour le compte de tiers doit être certifié HDS ou s'appuyer sur un hébergeur certifié.

Le périmètre de certification

Les 3 niveaux d'activités couverts par HDS.

Infrastructure physique — la salle serveur

Mise à disposition de locaux adaptés à l'hébergement physique des serveurs (datacenters). La certification couvre la sécurité physique des bâtiments, la redondance électrique, la climatisation, le contrôle d'accès et la traçabilité des interventions. C'est la couche la plus basse de la chaîne HDS.

Infrastructure virtuelle — le cloud certifié

Mise à disposition de machines virtuelles, stockage cloud et ressources de calcul dédiées aux données de santé. C'est l'activité des grands acteurs cloud (OVHcloud HDS, Outscale, AWS Healthcare) et de nombreux hébergeurs spécialisés. La virtualisation des ressources doit respecter des règles strictes d'isolation et de traçabilité.

Exploitation et administration — la supervision humaine

Gestion opérationnelle de l'infrastructure : supervision des systèmes, gestion des incidents, sauvegardes, mises à jour de sécurité, administration des accès. Cette activité exige des procédures documentées, des astreintes qualifiées et une traçabilité complète de toutes les opérations touchant aux données de santé.

Notre positionnement

SitinBack et HDS — soyons honnêtes.

SitinBack n'est pas (encore) hébergeur certifié HDS. Obtenir cette certification est un processus long et coûteux — audit, documentation, infrastructure dédiée — que nous n'avons pas finalisé à ce jour. Vous dire autre chose serait vous mentir, et ce n'est pas notre style.

Ce que nous faisons en revanche : nous accompagnons les professionnels de santé et les éditeurs de logiciels médicaux dans leur mise en conformité HDS, en travaillant avec des partenaires hébergeurs certifiés. Nous n'hébergeons pas vos données de santé directement — nous vous orientons vers les bons acteurs et intégrons leurs solutions dans votre infrastructure.

✅ Notre solution concrète : nous travaillons avec des hébergeurs certifiés HDS (OVHcloud Healthcare, Atos, Orange Business Services selon les besoins) pour vous proposer une infrastructure conforme. Nous gérons l'intégration, la supervision et le maintien en condition opérationnelle — les données de santé, elles, restent chez un hébergeur certifié.

→ Voir nos offres Cloud Services · Accès distant sécurisé (RDS)

Si votre activité nécessite un hébergement HDS et que vous cherchez à clarifier vos obligations, contactez-nous directement. On vous dit ce qu'on peut faire — et ce qu'on ne fait pas.

Le périmètre des données

HDS ne concerne pas toutes vos données IT.

Une erreur fréquente : croire que HDS s'applique à l'ensemble de l'informatique d'un professionnel de santé. En réalité, seules les données de santé à caractère personnel (DSCP) sont dans le scope. Vos données administratives, comptables ou RH ne sont pas concernées par HDS — elles restent sous RGPD classique.

✅ Données soumises à HDS

Dossiers patients informatisés (DPI)
Comptes-rendus médicaux et hospitaliers
Résultats d'analyses et examens biologiques
Images médicales (DICOM, radiologies)
Prescriptions et ordonnances numériques
Données de suivi médico-social
Applications de télémédecine et e-santé

✗ Données hors périmètre HDS

Comptabilité et facturation administrative
Gestion RH (hors données de santé au travail)
Messagerie professionnelle générale
Site internet et communications marketing
Sauvegardes des postes de travail bureautiques
Outils de gestion interne (CRM, ERP)

La frontière peut être floue : un logiciel de gestion de cabinet qui mélange facturation et données médicales dans la même base de données doit être hébergé HDS pour l'ensemble — même si les données purement comptables ne le nécessiteraient pas seules. En cas de doute, l'obligation s'applique. Nous vous aidons à cartographier vos flux de données pour clarifier ce périmètre.

Pour aller plus loin

HDS s'inscrit dans une infrastructure plus large.

☁️

Cloud Services

Nos solutions cloud — incluant les partenaires hébergeurs certifiés HDS pour les données de santé.

🖥️

RDS — Accès distant sécurisé

Accéder à vos logiciels métier de santé à distance, de façon sécurisée et conforme.

🔭

Cyber-surveillance

Cartographie de vos flux de données, détection des expositions et supervision continue de votre périmètre.

📖

Retour au RTFM

Tous nos articles techniques — cybersécurité, infrastructure, téléphonie.

Questions fréquentes

HDS — ce qu'on nous demande souvent

Mon logiciel de gestion de cabinet est en SaaS — suis-je concerné par HDS ?

Oui, et la responsabilité repose sur l'éditeur du logiciel, pas sur vous directement. Si votre logiciel SaaS stocke des données de santé à caractère personnel sur ses serveurs, l'éditeur ou son hébergeur doit être certifié HDS. En pratique, c'est à vous de vérifier que votre éditeur est bien certifié — c'est une clause à exiger dans votre contrat.

La liste des hébergeurs certifiés HDS est publique sur le site de l'ANS (Agence du Numérique en Santé). Si votre éditeur n'y figure pas et que ses serveurs sont en France ou traitent des données de Français, il est probablement hors conformité.

La certification HDS et le RGPD, c'est la même chose ?

Non, ce sont deux obligations distinctes mais complémentaires. Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne qui s'applique à toutes les données personnelles. HDS est une certification française spécifique aux données de santé, qui va plus loin que le RGPD sur ce périmètre précis.

En résumé : être conforme HDS contribue à votre conformité RGPD sur les données de santé, mais ne vous en dispense pas. Le RGPD couvre aussi vos autres données personnelles (salariés, prospects, etc.) que HDS ne touche pas.

Un cloud public (AWS, Azure, Google Cloud) peut-il être certifié HDS ?

Oui. AWS, Microsoft Azure et Google Cloud disposent de certifications HDS pour leurs régions françaises (ou en cours de finalisation selon les services). Ce n'est pas parce qu'un hébergeur est étranger qu'il ne peut pas être certifié HDS — la certification porte sur les activités et les processus, pas sur la nationalité de l'opérateur.

En pratique, il faut vérifier que la région utilisée, le service spécifique et le type de données sont bien couverts par la certification. Une instance AWS en Irlande n'est pas couverte par la certification HDS de la région Paris, par exemple.

Quelles sont les sanctions en cas de non-conformité HDS ?

L'article L.1111-8 du Code de la santé publique prévoit des sanctions pénales : jusqu'à 3 ans d'emprisonnement et 45 000 € d'amende pour le fait d'héberger des données de santé sans certification. Ces sanctions s'appliquent à l'hébergeur non certifié, mais la responsabilité du professionnel de santé qui fait sciemment appel à un hébergeur non conforme peut également être engagée.

La CNIL peut par ailleurs sanctionner les violations du RGPD associées (accès non autorisé, défaut de sécurité) qui accompagnent souvent le non-respect de HDS. Dans le secteur de la santé, ces sanctions peuvent être lourdes.

SitinBack peut-il m'aider à mettre en conformité mon infrastructure de santé ?

Oui, c'est exactement notre rôle d'intégrateur. Nous ne sommes pas hébergeur certifié HDS nous-mêmes, mais nous travaillons avec des hébergeurs certifiés pour concevoir et déployer des infrastructures conformes. Nous gérons l'intégration technique, la migration depuis un hébergement non conforme, la configuration des accès distants sécurisés et le suivi opérationnel.

Notre approche : d'abord comprendre vos flux de données (quelles données, quels logiciels, quels accès) — puis concevoir une architecture qui répond à vos usages tout en respectant HDS. Parlez-nous de votre situation, on vous propose un audit gratuit.

Contactez-nous

Email

Canal prioritaire, ouvert à tous. Chaque demande est traitée en moins de 2h. Tout est tracé, noir sur blanc.

urgence[at]sitinback.fr

Téléphone

Clients uniquement

On reçoit trop de faux appels pour filtrer. On ne décroche que pour nos clients. Un email sera de toute façon traité plus vite.

06 86 32 63 53

Pas de jugement, pas de chichi. Notre oreille est à l'écoute de vos problèmes — même les moins avouables. Dire juste "ça marche pas", c'est vrai que ça marche pas, mais ça nous fait perdre du temps à tous les deux. Alors lâchez-vous, dites ce que vous avez sur le cœur, on est là pour ça.