Image · Visibilité · Autorité
Hébergement HDS : qui est concerné, quand et avec quel hébergeur
Conformité & Sérénité 15 avril 2026 11 min de lecture

Hébergement HDS : qui est concerné, quand et avec quel hébergeur

Votre site fonctionne. Il tourne. Il est correct. Et c'est précisément le problème.

Parce qu'un site qui "tourne" sans qu'on l'ait pensé dans ses fondations techniques peut, à un moment précis, devenir une fragilité. Pour les professionnels de santé et les acteurs du secteur médico-social, cette fragilité a un nom légal : l'absence de conformité à l'hébergement HDS.

Ce n'est pas une formalité administrative parmi d'autres. C'est la condition sine qua non pour qu'une présence en ligne soit à la hauteur de ce qu'elle représente : une image qui correspond à l'exigence professionnelle, une cohérence entre la qualité du soin et la qualité du cadre numérique dans lequel il s'inscrit.

I. Ce que recouvre réellement l'hébergement HDS : périmètre exact et données concernées

L'hébergement HDS — pour Hébergeur de Données de Santé — est un cadre de certification défini par le Code de la santé publique, et plus précisément par les articles L.1111-8 et suivants. Il concerne le stockage, la sauvegarde, l'archivage et la mise à disposition de données de santé à caractère personnel.

Mais qu'est-ce qu'une donnée de santé, exactement ? La définition européenne (RGPD, article 4) est large : toute information relative à l'état physique ou mental d'une personne physique, passée, présente ou future. Cela inclut, bien sûr, les dossiers médicaux. Mais aussi les rendez-vous pris en ligne avec mention du motif, les formulaires de contact comportant une pathologie, les résultats d'examens partagés via une interface numérique, ou encore les données recueillies lors d'un bilan de santé en ligne.

Une donnée de santé n'est pas seulement ce qui figure dans un dossier médical : c'est toute information qui, croisée avec une identité, révèle quelque chose sur l'état de santé d'une personne.

Ce périmètre est souvent sous-estimé. Un cabinet de physiothérapie dans le 6e qui propose une prise de rendez-vous en ligne avec un champ "motif de consultation" collecte, sans nécessairement s'en rendre compte, des données qui entrent dans cette catégorie. L'hébergeur de son site — souvent un prestataire généraliste — n'est, dans la plupart des cas, pas certifié HDS.

Le décalage visible entre la promesse professionnelle (rigueur, confidentialité, excellence du soin) et la réalité technique (données non protégées au niveau requis) est là. Silencieux, mais réel.

II. Qui est légalement tenu de s'y conformer : professions, activités, seuils

La question du "qui" est plus vaste qu'on ne l'imagine. On pense instinctivement aux hôpitaux, aux cliniques, aux groupes de santé. Mais la loi ne réserve pas l'obligation d'hébergement HDS aux seules structures de grande taille.

Sont concernées, au sens strict, toutes les personnes morales ou physiques qui hébergent des données de santé à caractère personnel pour le compte de tiers ou pour leur propre exercice professionnel, dès lors que ces données transitent ou sont stockées sur un serveur.

Concrètement, cela inclut :

  • Les médecins libéraux disposant d'un espace patient en ligne ou d'un système de messagerie sécurisée
  • Les psychologues, psychothérapeutes et psychiatres qui utilisent un formulaire de contact mentionnant la raison de la consultation
  • Les kinésithérapeutes, ostéopathes et podologues avec des outils de prise de rendez-vous en ligne
  • Les infirmiers libéraux utilisant des logiciels de gestion de patients hébergés en ligne
  • Les plateformes de télémédecine, même de petite taille
  • Les orthoptistes, ergothérapeutes, diététiciens dès qu'ils recueillent des données numériquement
  • Les cabinets dentaires avec des espaces patients numériques

Il n'existe pas de seuil minimal de patients ou de chiffre d'affaires. C'est la nature de la donnée collectée et hébergée qui déclenche l'obligation, pas le volume.

Prenons un exemple concret. Chloé, orthoptiste installée dans le 11e depuis trois ans, a fait faire son site par un freelance en 2021. Ce site propose un formulaire de prise de rendez-vous où le patient renseigne son nom, son âge et, souvent, la nature de son trouble visuel. Ces données sont stockées sur un serveur mutualisé chez un hébergeur généraliste. Chloé n'a pas conscience que cette configuration l'expose à une non-conformité. Son site est propre, élégant, bien référencé — mais il repose sur une fondation juridiquement insuffisante.

III. À partir de quel moment l'obligation s'applique : les déclencheurs concrets

L'obligation n'est pas liée à un âge du site, à une mise à jour récente ou à un passage à un nouveau prestataire. Elle est activée dès le premier instant où une donnée de santé à caractère personnel est collectée et hébergée sur un serveur tiers.

Les déclencheurs les plus courants sont :

1. La mise en ligne d'un formulaire de contact avec champ médical Dès qu'un formulaire demande le motif d'une consultation, une pathologie ou une situation médicale, la donnée collectée est qualifiée de donnée de santé.

2. L'intégration d'un outil de prise de rendez-vous en ligne Si l'outil de réservation est hébergé chez un prestataire non certifié HDS, l'obligation s'applique — même si le professionnel croit "déléguer" la responsabilité à cet outil.

3. L'utilisation d'une messagerie non sécurisée pour des échanges médicaux Une messagerie professionnelle classique (y compris certains services grands comptes) ne répond pas aux exigences HDS dès lors qu'elle héberge des contenus médicaux personnalisés.

4. Le stockage de documents médicaux dans un espace cloud non certifié Des ordonnances, comptes-rendus ou bilans partagés via des outils cloud standard (y compris certains très répandus dans les professions libérales) entrent dans ce cadre.

L'obligation ne commence pas quand on "grossit". Elle commence quand on collecte.

Marc, chirurgien-dentiste du 8e, a récemment intégré un chat en ligne sur son site pour répondre rapidement aux questions de ses patients. Certaines de ces conversations — initiées de bonne foi — contiennent des informations médicales. La plateforme de chat utilisée, hébergée aux États-Unis, n'est évidemment pas certifiée HDS. La conformité n'est pas respectée depuis le premier échange.

IV. Ce que la certification HDS impose à l'hébergeur : lecture du cahier des charges

La certification HDS est délivrée par des organismes accrédités par le COFRAC (Comité français d'accréditation). Elle repose sur un cahier des charges exigeant, adossé à deux référentiels principaux : la norme ISO 27001 (sécurité de l'information) et un référentiel spécifique à l'hébergement de données de santé.

La certification comporte deux niveaux distincts :

  • Certification hébergeur infrastructure : couvre les aspects physiques — datacenters, alimentation, redondance, accès physiques sécurisés.
  • Certification hébergeur infogérance de systèmes d'information : couvre la gestion logicielle, les sauvegardes, la supervision et l'administration des systèmes.

Pour qu'un prestataire puisse légalement héberger des données de santé, il doit être certifié sur l'une ou les deux composantes selon les services qu'il fournit.

Ce que cela implique en pratique pour l'hébergeur :

  • Contrôle d'accès strict aux locaux et aux systèmes
  • Chiffrement des données en transit et au repos
  • Plan de continuité d'activité documenté
  • Traçabilité de toutes les opérations effectuées sur les données
  • Audit régulier par un organisme tiers indépendant
  • Contrat encadrant précisément les traitements effectués pour le compte du professionnel de santé

Pour le professionnel concerné, cela signifie aussi qu'il ne peut pas simplement "faire confiance" à son hébergeur actuel sans vérifier sa certification. La responsabilité reste partagée : l'hébergeur certifié répond de ses propres obligations, mais le professionnel de santé reste responsable du traitement au sens du RGPD.

V. Hébergeurs certifiés HDS reconnus en France : grille de lecture pour choisir

La liste des hébergeurs certifiés est publique et mise à jour sur le site de l'ANS (Agence du Numérique en Santé). Elle est plus longue qu'on ne l'imagine, et inclut des acteurs très différents : grands groupes internationaux, acteurs cloud français souverains, hébergeurs spécialisés santé.

Quelques acteurs de référence régulièrement cités dans le secteur :

  • Microsoft Azure (certification HDS pour certaines régions)
  • OVHcloud (certifié HDS pour plusieurs de ses offres)
  • Outscale / Dassault Systèmes
  • Atos / Bull
  • Cegedim Health Cloud
  • Maincare Solutions
  • Doctolib (pour ses propres services)

Mais la certification seule ne suffit pas à guider un choix. Voici une grille de lecture utile pour évaluer un hébergeur certifié HDS dans le contexte d'un cabinet libéral ou d'une boutique de santé premium :

Critère Ce qu'il faut vérifier
Périmètre de certification Vérifie que la certification couvre bien le type d'hébergement concerné (infra ? infogérance ?)
Localisation des données Données hébergées en France ou au sein de l'UE
Contrat de sous-traitance Présence d'un DPA (Data Processing Agreement) conforme RGPD
Support francophone Interlocuteur disponible, en français, pour les questions techniques
Transparence sur les sous-traitants L'hébergeur doit déclarer ses propres prestataires certifiés

Choisir un hébergeur HDS, ce n'est pas choisir le plus connu. C'est choisir celui dont le périmètre de certification correspond exactement à votre usage.

VI. Ce que cela change pour votre site et votre présence en ligne au quotidien

La conformité HDS n'est pas une contrainte qui se vit au quotidien — du moins, elle ne devrait pas l'être. Une fois en place, elle est transparente pour vous et pour vos patients.

Ce qui change, concrètement :

  • Votre formulaire de contact peut mentionner un motif médical sans risque
  • Vos outils de prise de rendez-vous reposent sur une infrastructure conforme
  • Vous pouvez prendre la parole sur votre site, développer du contenu, présenter vos services — sans que la fondation technique ne fragilise cette prise de parole
  • Votre présence à sa hauteur : cohérence entre l'excellence de votre exercice et la rigueur de votre environnement numérique

Il arrive qu'un professionnel hésite à développer son site, à ajouter des fonctionnalités ou à tenir le rythme d'une présence en ligne active, précisément parce qu'il sent, confusément, que quelque chose ne va pas dans la structure technique. La conformité HDS lève cet obstacle.

Un site qui se trouve facilement sur Google et qui rassure par sa qualité — c'est aussi un site dont les fondations légales sont solides. L'un ne va pas sans l'autre, pour les professionnels de santé.

VII. Comment engager la mise en conformité sans stress : ordre des étapes

La conformité sans stress n'est pas un slogan. C'est une méthode. Voici l'ordre des étapes raisonnable pour un professionnel libéral ou une structure de petite taille.

Étape 1 — Cartographier ce qu'on collecte réellement Avant de chercher un hébergeur, identifiez tous les points de collecte de données sur votre site et vos outils numériques. Formulaires, chatbots, outils de réservation, espaces patients.

Étape 2 — Identifier la nature des données Pour chaque point de collecte, qualifiez la donnée : est-elle de nature médicale ? Peut-elle être croisée avec une identité pour révéler un état de santé ?

Étape 3 — Vérifier la certification de vos hébergeurs actuels Consultez la liste de l'ANS. Comparez avec vos contrats en cours. Ne présumez pas : vérifiez.

Étape 4 — Engager une migration si nécessaire Si votre hébergeur actuel n'est pas certifié, planifiez une migration vers un hébergeur certifié. Ce n'est pas un chantier de plusieurs mois : pour un site vitrine avec formulaire, cela peut se faire en quelques semaines avec le bon prestataire.

Étape 5 — Mettre à jour les mentions légales et la politique de confidentialité La conformité HDS doit être reflétée dans vos documents légaux. Mentionnez l'hébergeur certifié, son périmètre, les droits des patients sur leurs données.

Étape 6 — Documenter et conserver Gardez une trace de votre démarche : contrats, certificats, correspondances. En cas de contrôle, c'est cette documentation qui prouve votre bonne foi.

Déléguer sans perdre la main, c'est savoir exactement où sont vos données, qui les héberge, et dans quel cadre — sans avoir à tout gérer soi-même.

La mise en conformité HDS n'est pas un aveu de retard. C'est un acte de cohérence professionnelle. Pour un praticien dont l'exercice repose sur la confiance, c'est aussi, tout simplement, une image qui correspond à ce qu'il est.

Un regard extérieur sur votre présence digitale est possible — sans engagement, sans discours commercial. Simplement pour voir où vous en êtes. → lpdigitalparis.fr/contact/

Échangeons

Parlons de votre présence digitale

Un diagnostic structuré pour analyser votre positionnement, votre cohérence et votre visibilité locale.

Réserver un échange stratégique
Sans engagement  ·  Confidentiel  ·  20 min
À lire aussi
RIN avocats : obligations complètes pour un site conforme
Conformité & Sérénité

RIN avocats : obligations complètes pour un site conforme

Lire l'article →
← Retour au blog