Vous déployez une solution numérique dans le secteur de la santé. Avez-vous vérifié que votre infrastructure est certifiée HDS — et pas seulement votre prestataire principal ?
En France, héberger des données de santé impose des obligations légales précises, distinctes du RGPD, et dont le non-respect expose à des sanctions pénales. Pourtant, la confusion entre les concepts — HDS versus EDS, certification versus conformité, délégation versus vérification — génère régulièrement des angles morts juridiques, même chez des équipes techniques rigoureuses.
Ce guide s'adresse aux DSIs, responsables conformité, équipes produit et développeurs qui conçoivent ou déploient des solutions traitant des données de santé : logiciels médicaux, entrepôts de données, agents vocaux IA, télésecrétariats médicaux, plateformes de suivi patient.
La certification HDS : une obligation légale sans exception
La certification HDS est obligatoire pour tout hébergeur de données de santé à caractère personnel. Il n'existe pas de dérogation fondée sur la taille de l'organisation, le volume de données ou la nature de l'activité.
L'article L.1111-8 du Code de la santé publique est explicite : toute personne qui héberge des données de santé à caractère personnel recueillies lors d'activités de prévention, de diagnostic ou de soins doit être certifiée Hébergeur de Données de Santé (HDS). Cette certification est délivrée par des organismes accrédités, sous l'autorité de l'Agence du numérique en santé (ANS).
La liste officielle des hébergeurs certifiés est publiée et actualisée sur le site esante.gouv.fr. C'est la première vérification à effectuer avant tout choix d'infrastructure.
Ce que couvre la certification HDS
La certification HDS est structurée autour de six activités d'hébergement, regroupées en deux profils :
- Mise à disposition et maintien en condition opérationnelle des sites physiques
- Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle
- Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle
- Mise à disposition et maintien en condition opérationnelle de la plateforme logicielle
- Mise à disposition et maintien en condition opérationnelle des applications
- Infogérance du système d'information de santé
Un prestataire peut être certifié pour une ou plusieurs activités seulement. Vérifiez le périmètre exact de la certification avant de signer, et assurez-vous que toutes les activités nécessaires à votre architecture sont couvertes.
Attention : public HDS ≠ libre de droits
La certification HDS n'est pas un standard de conformité RGPD. Les deux régimes sont cumulatifs et indépendants. Une infrastructure certifiée HDS peut tout à fait être non conforme au RGPD — et inversement. En pratique, les deux s'appliquent simultanément dès lors que des données de santé à caractère personnel sont traitées.
HDS et EDS : deux dispositifs distincts, souvent confondus
La certification HDS concerne l'infrastructure. L'EDS concerne la gouvernance et l'exploitation des données. Les deux sont obligatoires, mais ils répondent à des exigences différentes.
| Critère | HDS — Hébergeur de Données de Santé | EDS — Entrepôt de Données de Santé |
|---|---|---|
| Objet | Infrastructure technique d'hébergement | Dispositif de traitement, structuration et gouvernance des données |
| Obligation légale | Article L.1111-8 Code santé publique | Référentiels CNIL, AI Act (si usage IA), cadre réglementaire spécifique |
| Délivrance | Certification par organisme accrédité / ANS | Autorisation CNIL ou conformité référentiel |
| Portée | Où sont stockées les données | Comment les données sont traitées, exploitées, valorisées |
| Relation | Un EDS doit être hébergé sur infrastructure HDS | L'EDS s'appuie sur une ou plusieurs infrastructures HDS |
La confusion entre HDS et EDS est fréquente dans les projets de transformation numérique de la santé. Elle conduit soit à sous-estimer les obligations (croire que la certification HDS suffit pour tout), soit à les sur-dimensionner (appliquer les contraintes EDS à une simple application de prise de rendez-vous).
Le risque Cloud Act : pourquoi l'origine capitalistique de votre hébergeur compte
Un hébergeur certifié HDS peut tout de même exposer vos données de santé à une injonction américaine si c'est une entreprise américaine ou une filiale d'un groupe américain.
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act, 2018) est une loi fédérale américaine qui oblige les entreprises soumises au droit américain à transmettre des données à des autorités américaines sur injonction judiciaire, indépendamment du lieu de stockage de ces données.
Concrètement : si votre hébergeur HDS est une filiale française d'un groupe américain, ses données hébergées en France peuvent être soumises à des injonctions américaines. Ce risque est distinct de la certification HDS, qui ne couvre que la sécurité technique et organisationnelle de l'hébergement — pas les obligations légales extra-européennes de l'hébergeur.
Ne choisissez pas votre infrastructure avant d'avoir défini vos finalités et votre architecture de données. Vérifiez la structure capitalistique complète de votre prestataire : actionnaire majoritaire, entité mère, droit applicable aux contrats de service. Pour des données médicales sensibles, privilégiez un hébergeur de droit français ou européen sans actionnaire américain direct ou indirect.
Ce que la sanction CNIL de 2025 enseigne sur les EDS
En 2025, la CNIL a prononcé une sanction à l'encontre d'une multinationale spécialisée dans les données et les technologies de santé, dans le cadre d'un entrepôt de données constitué à partir de données issues de pharmacies partenaires. Deux manquements ont été retenus, dont les enseignements s'appliquent à tout opérateur d'EDS.
Premier manquement : déléguer n'exonère pas de vérifier
L'information des patients avait été confiée aux pharmacies partenaires. La CNIL a estimé qu'en tant que responsable de traitement, la société aurait dû s'assurer que cette information était effectivement délivrée, pas seulement prévoir l'obligation dans un contrat. La délégation contractuelle d'une obligation ne dispense pas le responsable de traitement de vérifier que cette obligation est respectée en pratique.
Second manquement : absence de traçabilité automatisée
Un contrôle manuel des journaux d'accès était prévu mais n'était pas réalisé en pratique. La CNIL a également relevé l'absence de SIEM — un système capable d'analyser automatiquement les traces d'accès et de détecter des anomalies en temps réel. Ce type d'outil est désormais considéré comme un standard attendu pour tout EDS traitant des données de santé à grande échelle. L'existence d'une procédure sur le papier ne suffit pas : son exécution effective doit être vérifiable et vérifiée.
À retenir : l'obligation de traçabilité est une obligation de résultat, pas de moyen. Il ne suffit pas de prévoir les contrôles — il faut démontrer qu'ils sont effectués.
Les formalités CNIL pour les traitements de données de santé
La CNIL est l'autorité de contrôle compétente pour les traitements de données de santé en France. Avant toute collecte, deux voies sont possibles selon la nature du traitement :
Si votre traitement est couvert par un référentiel CNIL existant, une déclaration de conformité suffit. Le dossier doit être complet avant toute collecte. Applicable à certains traitements standardisés (recherche médicale encadrée, suivi patient habituel, etc.).
Pour les traitements non couverts par un référentiel existant. Délai de traitement : 2 à 4 mois. Intégrez ce délai dans votre planning dès le départ — aucune collecte ne peut commencer avant l'autorisation. Applicable aux EDS innovants, aux nouveaux usages IA, aux traitements à des fins de recherche atypiques.
Dans les deux cas, une analyse d'impact relative à la protection des données (AIPD / DPIA) est obligatoire dès lors que le traitement de données de santé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Pour la plupart des EDS et des applications de santé numérique, ce seuil est atteint.
Informer les patients et organiser l'exercice de leurs droits
L'information des patients est un point de contrôle systématique lors des vérifications de la CNIL. Elle doit être :
Le langage juridique seul ne suffit pas. L'information doit être compréhensible pour le patient concerné, pas seulement pour un juriste. Faites-la relire par un DPO expérimenté et testez sa lisibilité avant diffusion.
L'information doit être fournie avant la collecte, dans un format accessible au canal utilisé (affichage en salle d'attente, interface numérique, script d'appel téléphonique). Elle ne peut pas être noyée dans des CGU de 40 pages.
Le patient doit pouvoir s'opposer au traitement de ses données simplement, sans obstacle technique ou administratif. Documentez le dispositif d'exercice des droits et testez-le régulièrement. Si vous déléguez cette information à un partenaire, vérifiez qu'elle est effectivement délivrée.
Checklist pratique : sécuriser votre infrastructure de données de santé
| Étape | Action | Point de vigilance |
|---|---|---|
| 1. Définir l'architecture | Identifier toutes les couches de traitement de données de santé (collecte, stockage, traitement, valorisation) | Ne pas choisir l'infrastructure avant d'avoir défini les finalités |
| 2. Choisir l'hébergeur HDS | Vérifier la certification HDS sur esante.gouv.fr et son périmètre exact | Certains hébergeurs ne couvrent que certaines activités HDS |
| 3. Évaluer le Cloud Act | Vérifier la structure capitalistique de l'hébergeur (actionnaire américain ?) | Certification HDS ≠ protection contre les injonctions américaines |
| 4. Accomplir les formalités CNIL | Déclaration de conformité au référentiel ou demande d'autorisation individuelle | Délai de 2 à 4 mois pour une autorisation individuelle |
| 5. Réaliser l'AIPD | Analyse d'impact pour les traitements à risque élevé | Obligatoire pour la grande majorité des EDS et applications de santé numérique |
| 6. Mettre en place la traçabilité | SIEM ou solution équivalente pour l'analyse automatisée des traces d'accès | Les journaux manuels non consultés ne constituent pas un contrôle effectif |
| 7. Informer les patients | Information claire, accessible, préalable + procédure d'exercice des droits | Vérifier effectivement la délivrance si délégation à un partenaire |
| 8. Auditer régulièrement | Audit interne ou tiers au moins annuel, notamment sur les accès et les droits | La conformité initiale ne garantit pas la conformité dans la durée |
Agent vocal IA et données de santé : ce qui change concrètement
Un agent vocal IA déployé dans un contexte médical — prise de rendez-vous, triage symptomatique, rappels post-consultation, suivi d'observance — traite par nature des données de santé à caractère personnel. L'intégralité de la chaîne de traitement est concernée par les obligations HDS.
Cela inclut les transcriptions des appels (logs texte), les données patients échangées avec le CRM médical ou le logiciel de gestion de cabinet, les enregistrements audio si conservés, et les métadonnées d'appel dès lors qu'elles permettent d'identifier une personne et un acte médical.
Pour un opérateur qui déploie un agent vocal IA dans la santé, les questions à poser systématiquement à son prestataire technologique sont :
- Votre infrastructure d'hébergement est-elle certifiée HDS ? Pour quelles activités ?
- Les transcriptions et logs d'appel sont-ils hébergés sur cette infrastructure certifiée ?
- Quelle est la structure capitalistique de votre prestataire d'hébergement ?
- Où sont hébergées les données en cas de sous-traitance (LLM, STT, TTS) ?
- Disposez-vous d'un DPA conforme au RGPD incluant les sous-traitants ultérieurs ?
Voir aussi notre article dédié sur l'agent vocal IA dans la santé : prise de RDV, triage et suivi patient en conformité HDS 2026.
Votre solution de santé numérique est-elle conforme HDS ?
TALKR déploie des agents vocaux IA pour le secteur médical sur infrastructure certifiée HDS, hébergée en France, sans exposition Cloud Act. Demandez une évaluation de conformité de votre architecture.
Demander une évaluation conformitéQuestions fréquentes — HDS et hébergement données de santé
La certification HDS est-elle obligatoire pour héberger des données de santé ?
Oui, sans exception. L'article L.1111-8 du Code de la santé publique l'impose pour tout hébergeur de données de santé à caractère personnel. La certification est délivrée par des organismes accrédités et la liste des hébergeurs certifiés est publiée sur esante.gouv.fr. Il n'existe aucune dérogation fondée sur la taille ou le volume de données.
Quelle est la différence entre HDS et EDS ?
La certification HDS concerne l'infrastructure technique d'hébergement. L'EDS (Entrepôt de Données de Santé) est un dispositif de traitement, de structuration et de gouvernance des données. Les deux sont obligatoires mais indépendants : un EDS doit être hébergé sur une infrastructure certifiée HDS, mais la certification HDS ne couvre pas la gouvernance des données.
Comment vérifier si un hébergeur est certifié HDS ?
Consultez la liste officielle sur esante.gouv.fr, publiée et tenue à jour par l'Agence du numérique en santé. Vérifiez la validité de la certification et son périmètre exact : certains hébergeurs ne sont certifiés que pour certaines des six activités d'hébergement HDS.
Qu'est-ce que le Cloud Act et pourquoi est-il un risque pour les données de santé ?
Le Cloud Act est une loi américaine de 2018 qui oblige les entreprises américaines et leurs filiales à transmettre des données aux autorités américaines sur injonction, quel que soit le lieu de stockage. Un hébergeur certifié HDS mais de droit américain ou filiale d'un groupe américain peut être soumis à ce régime. Vérifiez la structure capitalistique complète avant de choisir votre infrastructure.
Quelles formalités accomplir auprès de la CNIL pour un traitement de données de santé ?
Déclaration de conformité au référentiel si votre traitement est couvert, ou demande d'autorisation individuelle dans les autres cas (délai 2 à 4 mois). Dans les deux cas, le dossier doit être complet avant toute collecte. Une AIPD (analyse d'impact) est également obligatoire pour les traitements à risque élevé.
Que retenir de la sanction CNIL de 2025 pour les opérateurs d'EDS ?
Deux enseignements clés : déléguer l'information des patients à un partenaire ne dispense pas le responsable de traitement de vérifier son exécution effective. Et l'absence de SIEM pour l'analyse automatisée des traces d'accès est désormais considérée comme une insuffisance majeure pour tout EDS traitant des données de santé à grande échelle.
Comment informer les patients et organiser l'exercice de leurs droits ?
L'information doit être claire, accessible et fournie avant toute collecte. Les patients doivent pouvoir exercer leur droit d'opposition simplement. La CNIL vérifie ce point systématiquement. Si vous déléguez cette obligation à un partenaire, vous restez responsable de la vérification de son exécution effective.
Un agent vocal IA qui traite des conversations médicales doit-il être hébergé en HDS ?
Oui, si les données traitées constituent des données de santé — ce qui est le cas pour les prises de rendez-vous médicaux, les triages symptomatiques et les suivis patient. L'intégralité de la chaîne de traitement (transcriptions, logs, données CRM médical) doit être hébergée sur une infrastructure certifiée HDS.
Pour aller plus loin
- Agent vocal IA dans la santé : prise de RDV, triage téléphonique et suivi patient en conformité HDS 2026
- RGPD et IA : ce que les développeurs doivent savoir sur le consentement, les données d'entraînement et la gouvernance en 2026
- RGPD et IA vocale : obligations légales callbot 2026
- Consentement, RGPD et agents IA vocaux : vos droits et obligations