Connectez-vous à votre espace personnel

Vous souhaitez vous connecter à votre espace Neolym, en tant que patient ou client ?

Saisissez votre adresse e-mail ci-dessous : vous recevrez un lien unique dans votre messagerie qui vous permettra d'accéder à votre espace sécurisé en ligne.
Soyez vigilant et attentif !
Si vous utilisez Neolym à l'invitation d'un professionnel de santé, n'oubliez pas que Neolym ne vous demandera jamais de mot de passe (vous recevrez toujours un lien unique par e-mail ou par SMS à chaque nouvelle connexion). Neolym ne vous demandera jamais d'argent ni de payer pour accéder à vos contenus.
Hébergeur français certifié HDS données santé

Données de santé : pourquoi choisir un hébergeur français certifié HDS

La transformation numérique du secteur de la santé s’accélère. Dossiers patients dématérialisés, téléconsultations, messageries professionnelles : les données médicales circulent désormais massivement dans le cloud. Mais où sont réellement stockées ces informations sensibles ? Et sous quelle juridiction ? Ces questions, longtemps négligées, sont devenues centrales pour les professionnels de santé soucieux de protéger leurs patients et de respecter la réglementation française.

Le Cloud Act : une menace concrète pour les données de santé européennes

Depuis l’adoption du Cloud Act américain en 2018, les autorités des États-Unis peuvent contraindre toute entreprise de droit américain à fournir les données qu’elle héberge, y compris lorsque ces données sont physiquement stockées en dehors du territoire américain. Cette loi s’applique aux géants du cloud comme Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform, qui dominent le marché mondial de l’hébergement.

Concrètement, cela signifie qu’un mandat judiciaire américain (subpoena) peut exiger l’accès aux données de santé de patients français, sans que ces derniers ni leurs soignants n’en soient informés. Le RGPD européen interdit certes de tels transferts, mais le conflit juridique entre les deux réglementations reste à ce jour irrésolu. Les professionnels de santé se trouvent ainsi pris entre deux législations contradictoires.

Ce risque n’est pas théorique. Plusieurs affaires judiciaires ont démontré que les autorités américaines n’hésitent pas à invoquer le Cloud Act pour accéder à des données hébergées en Europe. Pour un cabinet médical ou un établissement de santé, la conséquence potentielle est grave : une violation du secret médical imposée par une juridiction étrangère.

« Serveurs en Europe » ne signifie pas protection garantie

De nombreux prestataires cloud affichent fièrement la localisation de leurs serveurs en Europe, voire en France. Cette promesse, bien qu’elle constitue un premier pas, reste largement insuffisante pour garantir la protection des données de santé.

En effet, la localisation physique des serveurs ne détermine pas la juridiction applicable. Si l’entreprise qui opère ces serveurs est de droit américain — ou possède une filiale aux États-Unis — le Cloud Act s’applique indépendamment de l’emplacement géographique des machines. Un serveur installé à Paris mais géré par une entreprise soumise au droit américain n’offre aucune protection contre une injonction du département de la Justice des États-Unis.

Par ailleurs, la réglementation française impose des exigences spécifiques pour l’hébergement des données de santé qui vont bien au-delà du simple choix d’un data center localisé sur le territoire national. C’est précisément l’objet de la certification HDS.

Ce que garantit la certification HDS

La certification Hébergeur de Données de Santé (HDS) est une obligation réglementaire française encadrée par le Code de la santé publique (article L.1111-8). Toute structure qui héberge des données de santé à caractère personnel pour le compte d’un tiers doit impérativement disposer de cette certification.

Délivrée par des organismes accrédités par le COFRAC, la certification HDS garantit plusieurs niveaux de protection :

  • Sécurité physique des infrastructures : contrôle d’accès aux data centers, protection contre les intrusions, redondance des équipements et alimentation électrique.
  • Sécurité logique des données : chiffrement, cloisonnement des environnements, gestion rigoureuse des droits d’accès et des identités.
  • Continuité d’activité : plans de reprise après sinistre, sauvegardes régulières, engagement de disponibilité (SLA).
  • Gouvernance et conformité : audits réguliers, traçabilité des opérations, conformité au RGPD et au cadre réglementaire français de la santé.
  • Gestion des incidents : procédures de détection, de notification et de remédiation en cas d’incident de sécurité.

La certification HDS se décline en deux périmètres : l’hébergement d’infrastructure physique et l’hébergement infogéré. Elle est renouvelée tous les trois ans, avec des audits de surveillance annuels, ce qui garantit un niveau de conformité constant dans le temps.

La souveraineté numérique : un enjeu stratégique pour la santé

La question de l’hébergement des données de santé s’inscrit dans un mouvement plus large de reconquête de la souveraineté numérique française et européenne. Les pouvoirs publics ont multiplié les initiatives en ce sens ces dernières années.

La doctrine « Cloud au centre » de l’État français, actualisée en 2023, impose l’usage de clouds qualifiés SecNumCloud pour les données sensibles des administrations. Le Health Data Hub, plateforme nationale des données de santé, a engagé sa migration vers une infrastructure souveraine après la controverse liée à son hébergement initial chez Microsoft Azure. L’initiative européenne Gaia-X vise quant à elle à construire un écosystème cloud fédéré répondant aux valeurs européennes de transparence et de protection des données.

Pour les professionnels de santé libéraux comme pour les établissements, le choix d’un hébergeur souverain n’est donc pas seulement une obligation réglementaire. C’est un acte de responsabilité envers les patients dont vous gardez les informations les plus intimes, et une contribution à l’indépendance technologique du système de santé français.

Le choix de Neolym : OVHcloud, hébergeur français certifié HDS

Chez Neolym, la souveraineté des données de santé n’est pas un argument marketing. C’est un principe fondateur. Dès la conception de la plateforme, le choix de l’hébergeur s’est porté sur OVHcloud, entreprise française dont le siège social est situé à Roubaix.

Ce choix repose sur plusieurs critères déterminants :

  • Certification HDS : OVHcloud dispose de la certification Hébergeur de Données de Santé, garantissant le respect des exigences réglementaires françaises pour le stockage et le traitement des données médicales.
  • Droit français exclusif : en tant qu’entreprise de droit français, OVHcloud n’est pas soumise au Cloud Act américain. Aucune juridiction étrangère ne peut exiger l’accès aux données hébergées sur ses infrastructures.
  • Data centers en France : les données traitées par Neolym sont physiquement stockées dans des centres de données situés sur le territoire français, sous juridiction française.
  • Engagement souverain : OVHcloud est un acteur majeur de l’écosystème cloud européen et participe activement aux initiatives de souveraineté numérique, dont Gaia-X.

Cette architecture garantit aux utilisateurs de Neolym que leurs échanges médicaux — messages, documents, comptes rendus, signatures — bénéficient d’une protection juridique et technique complète, de bout en bout.

Comment vérifier la conformité de vos outils actuels

En tant que professionnel de santé, vous portez la responsabilité légale de la protection des données de vos patients. Voici les questions essentielles à poser à tout prestataire numérique que vous utilisez :

1. Êtes-vous certifié HDS ? Demandez le certificat et vérifiez sa validité sur le site de l’organisme certificateur. 2. Où sont physiquement stockées les données ? Exigez une réponse précise : pays, ville, nom du data center. 3. Sous quelle juridiction opérez-vous ? Vérifiez que l’entreprise n’est pas soumise au Cloud Act ou à toute autre législation extraterritoriale. 4. Qui a accès aux données ? Clarifiez les droits d’accès des administrateurs, sous-traitants et partenaires techniques. 5. Comment les données sont-elles chiffrées ? Le chiffrement doit être appliqué au repos comme en transit.

Si votre prestataire actuel ne peut répondre de manière satisfaisante à l’ensemble de ces questions, il est temps d’envisager une alternative conforme.

Conclusion : la conformité commence par le choix de l’hébergeur

Le choix d’un hébergeur français certifié HDS n’est pas une simple case à cocher dans un formulaire de conformité. C’est le socle sur lequel repose l’ensemble de la chaîne de confiance numérique en santé. Sans cette fondation, même les meilleures pratiques de chiffrement ou de gestion des accès perdent leur efficacité face à une injonction juridique extraterritoriale.

En optant pour Neolym, vous faites le choix d’une plateforme qui place la souveraineté des données de santé au coeur de son architecture. Vos échanges restent en France, sous droit français, protégés par les standards les plus exigeants du secteur.

Neolym est une plateforme de messagerie sécurisée hébergée en France, conçue pour les professionnels de santé. Découvrez comment simplifier et sécuriser vos échanges au quotidien. Créer mon compte Neolym →

Publications similaires

Tendance actuelle

Découvrez notre nouveau site web
Hébergement HDS professionnel de santé
Hébergement HDS : ce que tout professionnel de santé doit savoir
Messagerie sécurisée professionnels de santé
Neolym : une messagerie sécurisée pensée pour les professionnels de santé
Numérique relation médecin-patient
Comment le numérique transforme la relation médecin-patient