Les données de santé figurent parmi les informations les plus sensibles qui soient. Elles touchent à l’intimité des patients, à leur histoire médicale, à leurs vulnérabilités. En 2025, la question de leur hébergement et de leur protection n’est plus un sujet technique réservé aux informaticiens : c’est un enjeu de société, de confiance et de souveraineté nationale. Pour les professionnels de santé, comprendre ces enjeux est devenu indispensable.
Qu’entend-on par souveraineté des données de santé ?
La souveraineté des données de santé désigne la capacité d’un pays ou d’une région à garantir que les informations médicales de ses citoyens restent sous le contrôle de sa propre juridiction. Concrètement, cela signifie que les données sont stockées sur le territoire national, traitées selon le droit local et protégées contre tout accès non autorisé par des acteurs étrangers.
En France, cette souveraineté repose sur un cadre réglementaire exigeant. Le Règlement Général sur la Protection des Données (RGPD), entré en application en 2018, impose des obligations strictes en matière de collecte, de traitement et de conservation des données personnelles. Pour les données de santé, des règles supplémentaires s’appliquent : elles doivent être hébergées chez un hébergeur certifié HDS (Hébergeur de Données de Santé), une certification délivrée par un organisme accrédité et contrôlée par l’Agence du Numérique en Santé.
Les risques liés aux géants du numérique
Depuis plusieurs années, de nombreux professionnels de santé utilisent des outils grand public pour communiquer avec leurs patients ou entre confrères : messageries instantanées, services de stockage en ligne, plateformes de visioconférence. Or, la grande majorité de ces outils sont édités par des entreprises américaines, soumises à des législations extraterritoriales telles que le Cloud Act ou le FISA (Foreign Intelligence Surveillance Act).
Le Cloud Act, adopté en 2018 aux États-Unis, permet aux autorités américaines d’exiger l’accès aux données stockées par des entreprises américaines, y compris lorsque ces données sont hébergées en dehors du territoire américain. Autrement dit, même si un serveur se trouve physiquement en France, les données qu’il contient peuvent être soumises à une demande de divulgation si l’entreprise qui les gère est américaine.
Ce risque n’est pas théorique. Plusieurs affaires ont mis en lumière les tensions entre le droit européen et les pratiques des GAFAM (Google, Apple, Facebook, Amazon, Microsoft). En 2020, l’arrêt Schrems II de la Cour de justice de l’Union européenne a invalidé le Privacy Shield, le mécanisme qui encadrait les transferts de données entre l’Europe et les États-Unis, jugeant que la législation américaine n’offrait pas un niveau de protection équivalent au RGPD.
Pour les professionnels de santé, utiliser des outils soumis à ces juridictions expose les données de leurs patients à des risques juridiques et éthiques considérables.
Le cadre réglementaire français : RGPD et certification HDS
La France s’est dotée d’un arsenal réglementaire solide pour protéger les données de santé. Au-delà du RGPD, qui constitue le socle commun européen, la réglementation française impose que toute donnée de santé à caractère personnel soit hébergée chez un prestataire certifié HDS.
La certification HDS, encadrée par le Code de la santé publique (article L.1111-8), garantit que l’hébergeur respecte des exigences strictes en matière de sécurité physique et logique, de confidentialité, de disponibilité et d’intégrité des données. Elle impose également des audits réguliers et une traçabilité complète des accès.
Pour un professionnel de santé, le non-respect de ces obligations peut entraîner des sanctions lourdes : sanctions administratives de la CNIL pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel, ainsi que des sanctions pénales en cas de manquement grave à la protection des données de santé.
L’espace européen des données de santé : une ambition continentale
L’Union européenne travaille activement à la construction d’un espace européen des données de santé (European Health Data Space, EHDS). Ce projet, porté par la Commission européenne, vise à faciliter le partage sécurisé des données de santé entre les États membres, tout en renforçant les droits des patients sur leurs propres données.
L’EHDS prévoit notamment de standardiser les formats d’échange, de garantir l’interopérabilité des systèmes de santé et de créer un cadre de gouvernance commun. Mais cette ambition ne pourra se concrétiser que si chaque maillon de la chaîne, des hébergeurs aux éditeurs de logiciels en passant par les professionnels de santé, respecte des standards élevés de souveraineté et de sécurité.
Dans ce contexte, le choix d’outils numériques souverains n’est pas seulement une obligation réglementaire : c’est une condition nécessaire à la participation de la France au projet européen de santé numérique.
Pourquoi les professionnels de santé doivent agir maintenant
La transformation numérique du secteur de la santé s’accélère. Téléconsultation, dossiers médicaux partagés, messageries entre confrères, échanges de documents avec les patients : les flux de données de santé se multiplient. Chaque outil utilisé, chaque message envoyé, chaque document partagé constitue un point de contact potentiel avec des acteurs non souverains.
Les professionnels de santé portent une responsabilité directe dans la protection des données de leurs patients. Le secret médical, pilier de la relation de confiance entre le patient et son praticien, ne peut se limiter au huis clos du cabinet. Il doit s’étendre à l’ensemble des outils numériques utilisés dans la pratique quotidienne.
Choisir une messagerie sécurisée hébergée en France, auprès d’un hébergeur certifié HDS, c’est poser un acte concret de souveraineté. C’est garantir à vos patients que leurs données restent protégées par le droit français et européen, à l’abri de toute ingérence étrangère.
Neolym : une réponse souveraine aux besoins des professionnels de santé
Neolym a été conçu pour répondre précisément à ces enjeux. La plateforme est intégralement hébergée en France, chez un hébergeur certifié HDS. Elle offre une messagerie sécurisée avec chiffrement de bout en bout, des espaces de communication dédiés aux échanges avec les patients et entre confrères, ainsi que des fonctionnalités de signature électronique, de questionnaires médicaux et de partage de documents.
En choisissant Neolym, vous faites le choix d’un outil pensé pour les professionnels de santé, conforme aux exigences du RGPD et de la certification HDS, et pleinement aligné avec l’ambition européenne de souveraineté numérique en santé.
La souveraineté des données de santé n’est pas un luxe. C’est une exigence éthique, réglementaire et stratégique. En 2025, chaque professionnel de santé a le pouvoir et le devoir de faire les bons choix.
Neolym est une plateforme de messagerie sécurisée hébergée en France, conçue pour les professionnels de santé. Découvrez comment simplifier et sécuriser vos échanges au quotidien. Créer mon compte Neolym →
