Contexte
L'hébergement des données de santé en France est encadré par la certification HDS, dont la version 1.1 du référentiel a été publiée par l'ANS en juillet 2024. Le RGPD classe les données de santé en catégories sensibles (article 9), avec un contrôle ferme de la CNIL. La polémique récente sur l'hébergement du Health Data Hub a remis au centre du débat la question de l'immunité extraterritoriale appliquée aux données médicales. Le règlement EHDS, adopté en 2025, prépare un espace européen unifié pour 2027.
Cibles
À qui s'adresse ce cadre
Hôpitaux publics
Cliniques privées et GHT
Laboratoires de recherche
Healthtech et éditeurs logiciels
Cadre réglementaire
Les références applicables
Certification HDS
Certification obligatoire des hébergeurs de données de santé à caractère personnel, encadrée par le code de la santé publique et le référentiel HDS 1.1 publié par l'ANS en juillet 2024. Liste publique des hébergeurs certifiés sur esante.gouv.fr. Six activités couvertes (mise à disposition d'infrastructure, plateforme, etc.).
RGPD article 9 (données sensibles)
Règlement (UE) 2016/679, article 9 : interdiction de principe du traitement des données de santé sauf consentement explicite, motif d'intérêt public majeur ou autres exceptions limitées. La CNIL exerce le contrôle. L'arrêt Schrems II (CJUE, 2020) durcit les transferts hors EEE.
Mon espace santé et SNDS
Mon espace santé (MES) est ouvert depuis 2022 à chaque assuré. Le SNDS (Système National des Données de Santé) centralise les données de remboursement, hospitalisation et causes médicales de décès. Accès conditionné à une autorisation CNIL motivée et à un avis CESREES.
EHDS (European Health Data Space)
Règlement (UE) 2025/327 publié le 5 mars 2025. Crée un espace européen des données de santé avec deux volets : usage primaire (échange transfrontalier pour les soins) et usage secondaire (recherche, politiques publiques, innovation). Déploiement progressif à partir de 2027.
Cas d'usage type
Quatre situations récurrentes
Dossier patient informatisé (DPI)
Exigences
Fournisseurs candidats
Hébergeurs HDS qualifiés, idéalement aussi qualifiés SecNumCloud pour les CHU publics.
Imagerie médicale (PACS, archivage DICOM)
Exigences
Fournisseurs candidats
Object storage HDS avec accès compatible DICOMweb, redondance multi-site UE.
Recherche clinique multi-centrique
Exigences
Fournisseurs candidats
Plateformes HDS spécialisées clinique avec workflows eCRF et signature qualifiée eIDAS.
Télémédecine et téléconsultation
Exigences
Fournisseurs candidats
Éditeurs SaaS santé hébergeant chez un partenaire HDS qualifié, avec intégration au CPS/PSC.