Lorsque vous échangez des informations médicales par voie numérique, que ce soit un compte-rendu, un résultat d’examen ou un simple message concernant un patient, ces données doivent être stockées quelque part. Le choix de cet hébergement n’est pas anodin : il est encadré par la loi et conditionne la sécurité des informations confiées par vos patients. La certification HDS (Hébergeur de Données de Santé) est au centre de cette exigence. Voici ce que tout professionnel de santé doit savoir à ce sujet.
Qu’est-ce que la certification HDS ?
La certification HDS est un dispositif réglementaire français qui encadre l’hébergement des données de santé à caractère personnel. Instaurée par la loi de modernisation de notre système de santé de 2016 et précisée par le décret du 26 février 2018, elle remplace l’ancien agrément délivré par le ministère de la Santé.
Cette certification est obligatoire pour tout organisme, public ou privé, qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Elle est délivrée par un organisme certificateur accrédité par le COFRAC (Comité français d’accréditation) et repose sur un référentiel exigeant, intégrant les normes ISO 27001 (management de la sécurité de l’information) et ISO 20000 (gestion des services informatiques).
Concrètement, la certification HDS atteste que l’hébergeur a mis en place des mesures rigoureuses pour protéger la confidentialité, l’intégrité, la disponibilité et la traçabilité des données de santé qu’il stocke et traite.
Quelle différence avec un hébergement classique ?
Un hébergeur classique, même réputé et performant, n’offre pas les mêmes garanties qu’un hébergeur certifié HDS. Les différences sont substantielles et portent sur plusieurs dimensions.
La sécurité physique. Un hébergeur HDS doit démontrer que ses centres de données sont protégés contre les intrusions physiques, les incendies, les inondations et les coupures d’énergie. Des contrôles d’accès stricts, une surveillance permanente et des systèmes de redondance sont exigés.
La sécurité logique. Le chiffrement des données au repos et en transit, la gestion fine des droits d’accès, la détection des intrusions et la mise en place de pare-feu avancés font partie des exigences de la certification.
La traçabilité. L’hébergeur HDS doit garantir une traçabilité complète de tous les accès aux données : qui y a accédé, quand, et pour quoi faire. Cette exigence est fondamentale pour répondre aux obligations de responsabilité prévues par le RGPD.
La réversibilité. En cas de changement de prestataire, l’hébergeur HDS doit faciliter la récupération des données par le client, dans des formats exploitables et dans des délais raisonnables.
Les audits réguliers. La certification HDS impose des audits de surveillance annuels et un audit de renouvellement tous les trois ans. L’hébergeur est donc soumis à un contrôle continu, contrairement à un hébergeur standard qui n’a aucune obligation de ce type.
Ce que dit la loi : vos obligations en tant que professionnel de santé
L’article L.1111-8 du Code de la santé publique est clair : tout professionnel de santé, tout établissement de santé ou tout organisme qui héberge des données de santé à caractère personnel doit recourir à un hébergeur certifié HDS.
Cette obligation s’applique dès lors que les données quittent le système d’information interne du professionnel. En pratique, cela concerne toutes les solutions en ligne (cloud) utilisées pour stocker, transmettre ou traiter des données de santé : messageries, plateformes de partage de documents, logiciels de gestion de cabinet hébergés dans le cloud, solutions de téléconsultation, etc.
Le non-respect de cette obligation constitue une infraction passible de sanctions pénales (article L.1115-1 du Code de la santé publique) pouvant aller jusqu’à trois ans d’emprisonnement et 45 000 euros d’amende. La CNIL peut également prononcer des sanctions administratives pouvant atteindre plusieurs millions d’euros.
Il est important de noter que la responsabilité incombe au professionnel de santé lui-même, et non uniquement au prestataire technique. Vous devez donc vous assurer que chaque outil numérique que vous utilisez dans votre pratique quotidienne est bien hébergé chez un prestataire certifié HDS.
Comment vérifier qu’un outil est hébergé HDS ?
Avant d’adopter un outil numérique pour votre pratique médicale, voici les points essentiels à vérifier.
Demandez le certificat HDS. Tout hébergeur certifié dispose d’un certificat officiel délivré par un organisme accrédité. Ce certificat mentionne le périmètre de la certification (hébergeur d’infrastructure physique et/ou hébergeur infogéreur). Demandez-le et vérifiez sa validité.
Vérifiez le périmètre. La certification HDS couvre deux activités distinctes : l’hébergement d’infrastructure physique (les serveurs et les locaux) et l’infogérance (l’administration et l’exploitation des systèmes). Assurez-vous que l’ensemble de la chaîne est couverte.
Identifiez la localisation des serveurs. Les données doivent être hébergées sur le territoire français ou, à défaut, au sein de l’Union européenne. Méfiez-vous des offres floues sur la localisation des centres de données.
Consultez la politique de confidentialité. L’éditeur du logiciel doit indiquer clairement quel hébergeur il utilise, où les données sont stockées et quelles mesures de sécurité sont mises en place.
Vérifiez l’absence de transferts hors UE. Assurez-vous que les données ne sont pas transférées vers des pays tiers, notamment les États-Unis, où elles pourraient être soumises à des législations extraterritoriales incompatibles avec le RGPD.
L’hébergement HDS de Neolym : un choix de confiance
Neolym a fait le choix d’un hébergement transparent et souverain. La plateforme est hébergée chez OVHcloud, leader européen du cloud et hébergeur certifié HDS. Les serveurs sont situés en France, dans des centres de données conformes aux plus hauts standards de sécurité.
Ce choix n’est pas un hasard. OVHcloud est une entreprise française, soumise exclusivement au droit français et européen. Contrairement aux hébergeurs américains, elle n’est pas concernée par le Cloud Act ni par les autres législations extraterritoriales qui menacent la confidentialité des données européennes.
En utilisant Neolym, vous bénéficiez donc d’une chaîne de confiance complète : un éditeur français, un hébergeur français certifié HDS, des données stockées en France et un chiffrement de bout en bout de vos échanges. Chaque maillon de la chaîne est conçu pour garantir la protection des données de vos patients.
Un choix simple pour une obligation essentielle
La certification HDS peut sembler technique et éloignée de votre pratique quotidienne. En réalité, elle vous concerne directement. Chaque outil numérique que vous utilisez pour échanger des informations médicales doit respecter ce cadre réglementaire. C’est une obligation légale, mais c’est aussi un engagement envers vos patients.
Choisir un outil conforme, c’est leur garantir que leurs données les plus intimes sont traitées avec le niveau de protection qu’elles méritent. C’est aussi vous protéger vous-même contre les risques juridiques liés au non-respect de la réglementation.
Neolym est une plateforme de messagerie sécurisée hébergée en France, conçue pour les professionnels de santé. Découvrez comment simplifier et sécuriser vos échanges au quotidien. Créer mon compte Neolym →
