Sante

Souverainete cloud pour la sante.

Certification HDS, doctrine ANS, RGPD article 9 et nouveau cadre EHDS : reperes operationnels pour les responsables SI sante, recherche et healthtech.

Contexte

L'hebergement des donnees de sante en France est encadre par la certification HDS, dont la version 1.1 du referentiel a ete publiee par l'ANS en juillet 2024. Le RGPD classe les donnees de sante en categories sensibles (article 9), avec un controle ferme de la CNIL. La polemique recente sur l'hebergement du Health Data Hub a remis au centre du debat la question de l'immunite extraterritoriale appliquee aux donnees medicales. Le reglement EHDS, adopte en 2025, prepare un espace europeen unifie pour 2027.

Cibles

A qui s'adresse ce cadre

Hopitaux publics

DPI, PACS, biologie : SI complexes a forte adherence operationnelle.

Certification HDS obligatoire des l'externalisation de DSI metier.

Plans blancs, plans de continuite et reversibilite formalises.

Cliniques privees et GHT

Mutualisation au sein des Groupements Hospitaliers de Territoire.

Convergence des SI sur des socles cloud ou hybrides.

Exigences HDS heritees, audites par les organismes certificateurs accredites.

Laboratoires de recherche

Donnees de recherche clinique souvent pseudonymisees ou anonymisees.

Autorisation CNIL ou avis CESREES selon les flux.

Articulation avec le SNDS et le futur cadre EHDS.

Healthtech et editeurs logiciels

Editeurs DM logiciels soumis au reglement MDR (UE 2017/745).

Certification HDS portee par le fournisseur de l'hebergement.

Architectures multi-tenant exigeant cloisonnement strict des donnees patient.

Cadre reglementaire

Les references applicables

Certification HDS

Certification obligatoire des hebergeurs de donnees de sante a caractere personnel, encadree par le code de la sante publique et le referentiel HDS 1.1 publie par l'ANS en juillet 2024. Liste publique des hebergeurs certifies sur esante.gouv.fr. Six activites couvertes (mise a disposition d'infrastructure, plateforme, etc.).

RGPD article 9 (donnees sensibles)

Reglement (UE) 2016/679, article 9 : interdiction de principe du traitement des donnees de sante sauf consentement explicite, motif d'interet public majeur ou autres exceptions limitees. La CNIL exerce le controle. L'arret Schrems II (CJUE, 2020) durcit les transferts hors EEE.

Mon espace sante et SNDS

Mon espace sante (MES) est ouvert depuis 2022 a chaque assure. Le SNDS (Systeme National des Donnees de Sante) centralise les donnees de remboursement, hospitalisation et causes medicales de deces. Acces conditionne a une autorisation CNIL motivee et a un avis CESREES.

EHDS (European Health Data Space)

Reglement (UE) 2025/327 publie le 5 mars 2025. Cree un espace europeen des donnees de sante avec deux volets : usage primaire (echange transfrontalier pour les soins) et usage secondaire (recherche, politiques publiques, innovation). Deploiement progressif a partir de 2027.

Cas d'usage type

Quatre situations recurrentes

Dossier patient informatise (DPI)

Exigences

Certification HDS sur les six activites pertinentes.

Donnees, metadonnees et journaux d'audit hebergees en France ou dans l'UE.

Tracabilite des acces aux dossiers, alerte sur acces atypique.

Fournisseurs candidats

Hebergeurs HDS qualifies, idealement aussi qualifies SecNumCloud pour les CHU publics.

Imagerie medicale (PACS, archivage DICOM)

Exigences

Volumetrie importante (plusieurs To/an par etablissement).

Acces temps reel pour la lecture, archivage long terme reglementaire.

Chiffrement au repos et controle granulaire des acces.

Fournisseurs candidats

Object storage HDS avec acces compatible DICOMweb, redondance multi-site UE.

Recherche clinique multi-centrique

Exigences

Pseudonymisation et cloisonnement par bras d'etude.

Trace cryptographique des modifications de donnees (eCRF).

Acces controle pour les ARC, investigateurs et autorites de controle.

Fournisseurs candidats

Plateformes HDS specialisees clinique avec workflows eCRF et signature qualifiee eIDAS.

Telemedecine et teleconsultation

Exigences

Chiffrement de bout en bout des flux video et messagerie.

Conservation HDS des comptes-rendus generes automatiquement.

Conformite ANSSI sur l'authentification forte des professionnels (CPS, eCarte CPS).

Fournisseurs candidats

Editeurs SaaS sante hebergeant chez un partenaire HDS qualifie, avec integration au CPS/PSC.

Demander un diagnostic Voir la methodologie Comparer les fournisseurs