Aller au contenu
NNextHop
Santé

Souveraineté cloud pour la santé.

Certification HDS, doctrine ANS, RGPD article 9 et nouveau cadre EHDS : repères opérationnels pour les responsables SI santé, recherche et healthtech.

Contexte

L'hébergement des données de santé en France est encadré par la certification HDS, dont la version 1.1 du référentiel a été publiée par l'ANS en juillet 2024. Le RGPD classe les données de santé en catégories sensibles (article 9), avec un contrôle ferme de la CNIL. La polémique récente sur l'hébergement du Health Data Hub a remis au centre du débat la question de l'immunité extraterritoriale appliquée aux données médicales. Le règlement EHDS, adopté en 2025, prépare un espace européen unifié pour 2027.

Cibles

À qui s'adresse ce cadre

Hôpitaux publics

DPI, PACS, biologie : SI complexes à forte adhérence opérationnelle.
Certification HDS obligatoire dès l'externalisation de DSI métier.
Plans blancs, plans de continuité et réversibilité formalisés.

Cliniques privées et GHT

Mutualisation au sein des Groupements Hospitaliers de Territoire.
Convergence des SI sur des socles cloud ou hybrides.
Exigences HDS héritées, auditées par les organismes certificateurs accrédités.

Laboratoires de recherche

Données de recherche clinique souvent pseudonymisées ou anonymisées.
Autorisation CNIL ou avis CESREES selon les flux.
Articulation avec le SNDS et le futur cadre EHDS.

Healthtech et éditeurs logiciels

Éditeurs DM logiciels soumis au règlement MDR (UE 2017/745).
Certification HDS portée par le fournisseur de l'hébergement.
Architectures multi-tenant exigeant cloisonnement strict des données patient.

Cadre réglementaire

Les références applicables

Certification HDS

Certification obligatoire des hébergeurs de données de santé à caractère personnel, encadrée par le code de la santé publique et le référentiel HDS 1.1 publié par l'ANS en juillet 2024. Liste publique des hébergeurs certifiés sur esante.gouv.fr. Six activités couvertes (mise à disposition d'infrastructure, plateforme, etc.).

RGPD article 9 (données sensibles)

Règlement (UE) 2016/679, article 9 : interdiction de principe du traitement des données de santé sauf consentement explicite, motif d'intérêt public majeur ou autres exceptions limitées. La CNIL exerce le contrôle. L'arrêt Schrems II (CJUE, 2020) durcit les transferts hors EEE.

Mon espace santé et SNDS

Mon espace santé (MES) est ouvert depuis 2022 à chaque assuré. Le SNDS (Système National des Données de Santé) centralise les données de remboursement, hospitalisation et causes médicales de décès. Accès conditionné à une autorisation CNIL motivée et à un avis CESREES.

EHDS (European Health Data Space)

Règlement (UE) 2025/327 publié le 5 mars 2025. Crée un espace européen des données de santé avec deux volets : usage primaire (échange transfrontalier pour les soins) et usage secondaire (recherche, politiques publiques, innovation). Déploiement progressif à partir de 2027.

Cas d'usage type

Quatre situations récurrentes

Dossier patient informatisé (DPI)

Exigences

Certification HDS sur les six activités pertinentes.
Données, métadonnées et journaux d'audit hébergées en France ou dans l'UE.
Traçabilité des accès aux dossiers, alerte sur accès atypique.

Fournisseurs candidats

Hébergeurs HDS qualifiés, idéalement aussi qualifiés SecNumCloud pour les CHU publics.

Imagerie médicale (PACS, archivage DICOM)

Exigences

Volumétrie importante (plusieurs To/an par établissement).
Accès temps réel pour la lecture, archivage long terme réglementaire.
Chiffrement au repos et contrôle granulaire des accès.

Fournisseurs candidats

Object storage HDS avec accès compatible DICOMweb, redondance multi-site UE.

Recherche clinique multi-centrique

Exigences

Pseudonymisation et cloisonnement par bras d'étude.
Trace cryptographique des modifications de données (eCRF).
Accès contrôlé pour les ARC, investigateurs et autorités de contrôle.

Fournisseurs candidats

Plateformes HDS spécialisées clinique avec workflows eCRF et signature qualifiée eIDAS.

Télémédecine et téléconsultation

Exigences

Chiffrement de bout en bout des flux vidéo et messagerie.
Conservation HDS des comptes-rendus générés automatiquement.
Conformité ANSSI sur l'authentification forte des professionnels (CPS, eCarte CPS).

Fournisseurs candidats

Éditeurs SaaS santé hébergeant chez un partenaire HDS qualifié, avec intégration au CPS/PSC.