Frédéric Allain — Fondateur de CTO Externe
20 ans d’expertise en infrastructure, sécurité IT et pilotage de projets numériques · Basé à Damigny (61)
Voir le profil complet
Trois textes différents vous arrivent dessus simultanément dès que vous traitez la moindre donnée de santé en PME : le HDS (Hébergement de Données de Santé), le RGPD côté CNIL, et la directive NIS2 si vous franchissez certains seuils. La plupart des dirigeants de PME santé que je croise les confondent ou les empilent en double, et finissent par payer des certifications qu’ils n’auraient pas dû payer ou en oublier d’autres qui étaient obligatoires. Cet article remet à plat le sujet HDS pour une PME : qui est concerné, comment choisir un hébergeur, combien ça coûte vraiment, comment se mettre en conformité en six étapes, et un point spécifique sur les usages IA (modèle, inférence, RAG) qui émergent en environnement HDS.
Votre PME traite des données de santé et vous voulez clarifier vos obligations ?
Diagnostic gratuit en 30 minutes, sans engagement.
Réserver un diagnostic gratuit
Qu’est-ce que le HDS et qui est concerné
Le HDS désigne le cadre réglementaire français qui impose une certification spécifique à toute structure hébergeant des données de santé à caractère personnel pour le compte d’un tiers. Le cadre est posé par le décret n° 2018-137 du 26 février 2018 et l’arrêté du 11 juin 2018. La procédure de certification est pilotée par l’ANS (Agence du Numérique en Santé), anciennement ASIP Santé. Le référentiel s’appuie sur les normes ISO/IEC 27001 et 27018, complétées par des exigences sectorielles spécifiques au domaine santé.
Concrètement, la certification HDS distingue deux populations très différentes qui sont souvent confondues :
- L’hébergeur HDS certifié : une entreprise qui propose un service d’hébergement (infrastructure, plateforme, sauvegarde) et qui doit décrocher la certification HDS pour pouvoir contractualiser avec des structures santé. C’est elle qui paie la certification.
- L’utilisateur d’un hébergeur HDS : une PME santé, un éditeur SaaS médical, un cabinet, une startup de e-santé, qui traite des données de santé identifiables et qui doit obligatoirement les héberger chez un hébergeur HDS certifié. Elle ne se certifie pas elle-même, mais elle a des obligations contractuelles et organisationnelles.
Ce guide s’adresse principalement à la seconde population : les PME qui doivent utiliser un hébergeur HDS, pas devenir hébergeur HDS.
HDS, RGPD santé et NIS2 : trois cadres distincts à distinguer
C’est l’angle mort majeur du marché. Une PME santé peut être soumise simultanément aux trois textes, qui se recouvrent partiellement mais relèvent d’autorités, de logiques et d’obligations différentes.
| Critère | HDS | RGPD (volet santé) | NIS2 |
|---|---|---|---|
| Type de texte | Cadre français sectoriel | Règlement européen général | Directive européenne transposée |
| Autorité de contrôle | ANS (Agence du Numérique en Santé) | CNIL | ANSSI |
| Périmètre | Tout traitement de données de santé à caractère personnel hébergées pour le compte de tiers | Tout traitement de données personnelles (santé incluse) | 18 secteurs critiques au-dessus de seuils de taille |
| Obligations principales | Recours à un hébergeur HDS certifié + contrat HDS spécifique | Registre, base légale, droits des personnes, mesures de sécurité | 10 mesures cybersécurité minimum + notifications d’incidents |
| Sanctions max | Sanctions pénales en cas d’hébergement non conforme | Jusqu’à 4 % du CA mondial | Jusqu’à 10 M€ ou 2 % CA mondial + responsabilité dirigeants |
| Échéance | En vigueur | En vigueur | Conformité au 17 octobre 2026 |
Une PME éditrice d’un SaaS de prise de rendez-vous médical typiquement coche les trois : HDS parce qu’elle traite des données patient pour le compte de praticiens, RGPD parce qu’elle traite des données personnelles, NIS2 si ses clients sont des entités essentielles santé (et c’est le cas dès qu’elle vend à un hôpital).
Pour le guide complet NIS2, voir l’article dédié : NIS2 et PME.
Suis-je concerné par HDS ? Le test rapide
Quatre questions suffisent pour trancher :
- Mes données sont-elles des données de santé à caractère personnel ? Réponse oui si vous traitez des informations qui révèlent l’état de santé physique ou mentale d’une personne identifiable (dossier patient, prescription, imagerie, résultats biologiques, historique médical, données issues d’objets connectés santé, etc.).
- Ces données sont-elles hébergées en dehors de mes propres locaux ? Réponse oui si vous utilisez un cloud, un SaaS, un datacenter externe, un hébergeur classique.
- Les données sont-elles hébergées pour le compte d’un tiers ? Si vous êtes un éditeur qui héberge les données de vos clients praticiens ou patients, oui. Si vous êtes une mutuelle qui héberge ses propres données, la qualification est plus complexe (à arbitrer en analyse).
- Mes données sont-elles complètement anonymisées au sens RGPD ? Si oui (anonymisation irréversible, pas pseudonymisation), HDS ne s’applique pas. Mais l’anonymisation réelle est rare en pratique.
Si vous répondez oui aux trois premières et non à la quatrième, vous êtes concerné par HDS. Vous devez héberger ces données chez un hébergeur HDS certifié et signer un contrat HDS conforme aux exigences réglementaires.
Les 6 niveaux d’activité HDS et ce qui se certifie
Un hébergeur peut être certifié sur six activités distinctes, qu’il choisit selon son périmètre de service. La compréhension de ces niveaux est utile au moment de choisir un hébergeur, parce que tous les hébergeurs HDS ne se certifient pas sur tous les niveaux.
| Niveau | Activité couverte |
|---|---|
| 1 | Mise à disposition et maintien en condition opérationnelle des sites physiques |
| 2 | Mise à disposition et maintien en condition opérationnelle des infrastructures matérielles |
| 3 | Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement |
| 4 | Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle |
| 5 | Administration et exploitation du système d’information |
| 6 | Sauvegarde externalisée |
Pour une PME utilisatrice, vérifier que l’hébergeur retenu couvre bien les niveaux nécessaires à votre stack. Si vous déployez sur une infrastructure virtuelle, le niveau 4 est essentiel. Si vous voulez que l’hébergeur opère votre système (et pas seulement le mettre à disposition), il faut le niveau 5. La sauvegarde externalisée est un niveau 6 à part entière.
La certification est accordée pour trois ans, avec des audits annuels de surveillance et un renouvellement complet au terme.
Comment choisir un hébergeur HDS quand on est une PME
Cinq critères opérationnels priment sur les arguments commerciaux :
1. Périmètre de certification réellement couvert. Tous les hébergeurs HDS ne se certifient pas sur les six niveaux. Vérifier explicitement les niveaux nécessaires à votre architecture.
2. Géographie des données. Demander où sont physiquement stockées les données (datacenters en France, en Europe, hors UE). Le HDS impose une localisation conforme aux exigences RGPD mais autorise certains scénarios extra-UE sous conditions strictes. Pour la plupart des PME santé françaises, exiger des datacenters en France est l’option la plus simple.
3. Réversibilité. Comment récupérer vos données et migrer ailleurs si vous changez d’hébergeur ? Le contrat HDS impose la traçabilité de cette possibilité mais beaucoup d’hébergeurs la rendent coûteuse en pratique. Demander une démonstration ou une clause explicite.
4. Coût total (TCO) sur 36 mois. Comparer le tarif affiché plus les coûts cachés (sortie de données, audits supplémentaires, services support en heures non ouvrées, certificat SSL, sauvegardes additionnelles). Les écarts entre acteurs peuvent dépasser 50 % à périmètre équivalent.
5. Capacité IA en environnement HDS. Si vous envisagez de déployer un modèle, de la recherche d’information augmentée (RAG) ou des traitements automatisés sur vos données de santé, votre hébergeur doit pouvoir le faire en environnement certifié. Tous les hébergeurs HDS n’en sont pas capables. C’est le sujet émergent de 2026.
Le contrat HDS lui-même est encadré : il doit comporter des clauses spécifiques portant sur le droit à la communication des données, la portabilité, les sous-traitants, la fin de prestation, les notifications d’incidents. Ne pas se contenter d’un contrat d’hébergement classique avec une mention HDS.
Un audit numérique pour PME inclut le cadrage de la conformité HDS (en complément RGPD et NIS2) : audit numérique pour PME.
Les acteurs HDS du marché français en 2026
Le marché français de l’hébergement HDS est relativement concentré. Six acteurs sortent du lot avec des positionnements différenciés. La liste ci-dessous est neutre : aucun n’est recommandé en absolu, le bon choix dépend de votre architecture, de votre budget et de vos contraintes métier.
- OVHcloud Healthcare : leader cloud français, certification HDS sur des offres dédiées. Volumes élevés, écosystème large, tarification compétitive. Convient bien aux PME qui veulent un hébergeur généraliste avec garantie HDS sur des services standard.
- 3DS Outscale : filiale Dassault Systèmes, cloud souverain certifié SecNumCloud et HDS. Positionnement plutôt grand compte ou ETI réglementées, mais accessible aux PME exigeant un niveau de garanties élevé.
- NumSpot : cloud souverain français lancé fin 2022, consortium Docaposte, Dassault Systèmes, Bouygues Telecom et Banque des Territoires. Certifié SecNumCloud et HDS. Positionné secteurs sensibles (santé, public, finance). Pertinent pour les PME qui cherchent une alternative aux hyperscalers américains avec garanties souveraines complètes.
- Cloud Temple : opérateur souverain français certifié HDS, orienté secteurs régulés. Positionnement intermédiaire entre offres généralistes et offres très spécialisées.
- Guardis : hébergeur HDS spécialisé santé, taille humaine. Propose une offre dédiée IA en environnement HDS (modèle, inférence, RAG sur données de santé), positionnement de niche utile pour les PME santé qui veulent déployer des usages IA sans empiler les sous-traitants.
- Eclypse : option historique du marché, à vérifier en 2026 selon l’évolution du périmètre et des conditions.
D’autres acteurs (Stoik, Pulseheberg, certains opérateurs régionaux) proposent du HDS sur des périmètres ciblés mais ne couvrent pas toujours tous les niveaux. À vérifier au cas par cas en demandant l’attestation de certification ANS à jour.
L’IA en environnement HDS : modèle, inférence et RAG sur données de santé
C’est le sujet émergent de 2026. De plus en plus de PME santé veulent déployer de l’intelligence artificielle sur leurs données : aide à la décision clinique, analyse d’imagerie, traitement de comptes rendus, agents conversationnels patient, automatisation administrative. Le sujet pose une question simple en apparence et complexe en pratique : où héberger le modèle, où faire tourner l’inférence, où stocker le corpus de référence pour la recherche augmentée (RAG) ?
Le périmètre HDS sur les usages IA
Dès que le modèle traite des données identifiables ou ré-identifiables, ses traitements relèvent du HDS au même titre que les données elles-mêmes. Concrètement, trois éléments doivent être en environnement HDS :
- Le serveur d’inférence qui exécute le modèle au moment où il reçoit la donnée à analyser
- Le vector store qui contient les embeddings du corpus de référence (utile dans les architectures RAG)
- Les flux d’embedding qui produisent les représentations vectorielles à partir des données sources
Si l’un de ces trois éléments tourne en dehors d’un environnement HDS, votre déploiement IA ne respecte pas la conformité. Concrètement, cela exclut beaucoup d’usages directs des API LLM grand public (OpenAI, Anthropic, Google) dès lors qu’elles traitent des données identifiables.
Les options techniques disponibles
Trois patterns architecturaux sont accessibles aux PME santé en 2026 :
- Modèle open source auto-hébergé en environnement HDS : Mistral, Llama, ou modèles spécialisés santé, déployés sur infrastructure HDS dédiée. Plus de contrôle, plus de complexité, coût matériel plus élevé.
- Modèle propriétaire opéré par un hébergeur HDS : certains acteurs (Guardis notamment) proposent des stacks RAG-on-HDS clé en main, avec un modèle hébergé en environnement certifié et accessible par API privée. Plus simple à intégrer, dépendance plus forte au fournisseur.
- Architecture hybride : préparation et anonymisation des données en amont en environnement HDS, transmission au modèle externe d’une version anonymisée. Possible uniquement si l’anonymisation est techniquement réelle, ce qui est rare et restrictif pour les usages IA fins.
Le croisement avec l’IA Act européen
Au-delà du HDS, les usages IA en santé entrent fréquemment dans la catégorie « risque élevé » au sens du règlement européen IA Act. Cela ajoute des obligations spécifiques : analyse de risque préalable, supervision humaine, transparence sur les limites du modèle, journal d’utilisation. La PME santé qui déploie un agent IA doit donc combiner les exigences HDS, RGPD, IA Act, et potentiellement NIS2. C’est typiquement le type d’arbitrage qu’une mission de cadrage CTO ponctuelle permet de trancher proprement.
Comment se mettre en conformité HDS en 6 étapes
Pour une PME qui démarre la démarche, la méthode opérationnelle se structure en six étapes.
Étape 1 — Cartographier les données traitées (1 semaine)
Lister précisément toutes les données traitées et qualifier celles qui relèvent du HDS. Beaucoup de PME découvrent à ce stade que seule une partie de leurs données est concernée, ce qui change l’ampleur du projet.
Étape 2 — Choisir un hébergeur HDS adapté (2 à 3 semaines)
Appliquer les cinq critères opérationnels présentés plus haut : périmètre de certification, géographie, réversibilité, TCO, capacité IA. Demander aux candidats pré-sélectionnés une attestation de certification ANS à jour, pas un argumentaire commercial.
Étape 3 — Signer le contrat HDS spécifique (1 à 2 semaines)
Le contrat doit comporter les clauses obligatoires définies par l’arrêté du 11 juin 2018 : droits à la communication, portabilité, sous-traitants, fin de prestation, notifications d’incidents. Faire relire par un avocat spécialisé si possible. Ne pas signer un contrat d’hébergement classique avec une simple mention HDS.
Étape 4 — Déployer l’infrastructure conforme (3 à 6 semaines)
Concrètement, cela signifie : configurer les accès, mettre en place le chiffrement, structurer la journalisation, séparer les environnements (production, recette, développement), définir les procédures d’exploitation. Si l’hébergeur opère certains niveaux pour vous (par exemple le niveau 5 administration), une partie de cette configuration est mutualisée.
Étape 5 — Documenter et auditer (en continu)
Constituer le dossier de conformité avec : registre des traitements, analyse d’impact (AIPD si requis par le RGPD), politique de sauvegarde et de PRA, procédures de notification d’incidents, contrats sous-traitants, supports de formation. Ce dossier est demandé en cas de contrôle ANS ou CNIL.
Étape 6 — Maintenir dans la durée
Renouveler les éléments à chaque évolution : nouvelle version applicative, nouveau sous-traitant, nouvelle catégorie de données, déménagement de datacenter. Vérifier que l’hébergeur conserve sa certification (l’ANS publie les attestations sur son site). Prévoir un audit interne ou externe annuel pour s’assurer que les pratiques restent conformes.
Une mission de conseil CTO ponctuel pour PME sur deux à quatre semaines peut cadrer l’ensemble de ces six étapes et vous laisser ensuite la main pour l’exécution.
Combien ça coûte vraiment
Les ordres de grandeur observés pour une PME française en 2026.
| Composant | Petite PME (10 sal., volume données limité) | PME moyenne (25-50 sal., volume modéré) | PME importante (50+ sal., volume élevé) |
|---|---|---|---|
| Hébergement HDS mensuel | 500 à 1 500 €/mois | 1 500 à 3 500 €/mois | 3 500 à 8 000 €/mois |
| Sauvegarde externalisée HDS | 100 à 300 €/mois | 300 à 800 €/mois | 800 à 2 000 €/mois |
| Conseil de cadrage initial (étapes 1 à 4) | 5 à 10 k€ | 10 à 20 k€ | 20 à 40 k€ |
| Audit annuel de conformité | 3 à 5 k€/an | 5 à 10 k€/an | 10 à 20 k€/an |
| Module IA en environnement HDS (si applicable) | 500 à 2 000 €/mois | 2 000 à 8 000 €/mois | 8 000 à 25 000 €/mois |
Pour la certification HDS elle-même côté hébergeur (et donc à connaître si vous envisagez de devenir hébergeur plutôt que client) : la certification initiale coûte 50 à 150 k€ et la maintenance 30 à 50 k€/an. Ces montants expliquent la concentration relative du marché.
À comparer aux sanctions encourues en cas d’hébergement non conforme : sanctions pénales (Code de la santé publique), amendes CNIL au titre du RGPD (jusqu’à 4 % du CA mondial), et le risque réputationnel et commercial (perte de contrats clients qui exigent la conformité comme prérequis).
Pièges et erreurs courantes
Quatre pièges reviennent dans les missions de cadrage HDS pour PME.
1. Croire que HDS suffit pour être conforme RGPD. Le HDS impose un hébergement conforme, mais ne couvre pas le registre des traitements, les bases légales, les droits des personnes, l’analyse d’impact, la sensibilisation. Le RGPD reste à traiter en parallèle, et c’est la CNIL qui contrôle, pas l’ANS.
2. Signer un contrat d’hébergement classique avec une mention HDS. Le contrat HDS doit comporter des clauses spécifiques opposables. Une mention « service certifié HDS » en pied de page d’un contrat standard ne suffit pas. C’est l’une des causes les plus fréquentes de non-conformité contractuelle.
3. Oublier les sous-traitants en cascade. Si votre hébergeur HDS sous-traite à un acteur non certifié, votre conformité globale est compromise. Le contrat HDS doit lister explicitement les sous-traitants autorisés et leur statut.
4. Déployer un usage IA sur des données de santé sans cadrage HDS. L’erreur la plus récente. Brancher OpenAI, Anthropic ou Google sur des données patient en pensant que c’est juste un « outil technique » : c’est un transfert de données de santé à un sous-traitant non certifié HDS, donc une infraction directe au cadre.
Questions fréquentes
Mon SaaS médical traite des données pseudonymisées, suis-je quand même concerné par HDS ?
Oui dans la grande majorité des cas. La pseudonymisation ne supprime pas le caractère identifiable au sens RGPD et HDS, parce que les données peuvent être ré-identifiées en croisant avec d’autres sources. Seule l’anonymisation irréversible (au sens strict de l’avis 05/2014 du G29) permet de sortir du périmètre HDS, et elle est techniquement difficile à atteindre sans dégrader la valeur d’usage des données.
Combien de temps prend une mise en conformité HDS pour une PME ?
Pour une PME qui démarre sans rien, la cartographie et la sélection d’un hébergeur prennent typiquement 4 à 6 semaines. Le déploiement de l’infrastructure conforme et la constitution du dossier de conformité prennent 6 à 12 semaines supplémentaires. Au total, comptez 3 à 4 mois entre la décision et l’opérationnel pleinement conforme.
Mon hébergeur actuel est-il vraiment certifié HDS ?
L’ANS publie la liste à jour des hébergeurs certifiés sur son site officiel ainsi que le périmètre exact de chacun. La certification est nominative et limitée à des activités précises. Demander à votre hébergeur son attestation à jour et la croiser avec la base ANS. Une certification HDS ne couvre pas automatiquement tout son catalogue de services.
Que se passe-t-il si je traite des données de santé chez un hébergeur non certifié HDS ?
Vous êtes en infraction au Code de la santé publique. Les sanctions sont principalement pénales (jusqu’à un an d’emprisonnement et 15 000 € d’amende pour la personne physique responsable, plus des sanctions administratives). En pratique, le risque commercial est tout aussi pénalisant : vos clients santé exigent souvent l’attestation HDS comme prérequis contractuel.
Puis-je utiliser ChatGPT, Claude ou Gemini sur des données de santé de mes patients ?
Pas directement. Ces services ne sont pas hébergés HDS et n’offrent aucune garantie de conformité à ce cadre. Pour utiliser des modèles de cette qualité sur des données de santé, deux options : passer par un hébergeur HDS qui propose une intégration certifiée, ou auto-héberger un modèle open source en environnement HDS. Une troisième option, l’anonymisation préalable des données, n’est viable que dans les cas où l’anonymisation ne dégrade pas la valeur d’usage.
HDS et NIS2, c’est la même chose ?
Non. HDS est un cadre sectoriel français spécifique aux données de santé, piloté par l’ANS. NIS2 est une directive européenne sur la cybersécurité, transposée en droit français, pilotée par l’ANSSI. Une PME santé peut être soumise aux deux simultanément, avec des obligations distinctes mais qui se chevauchent partiellement sur les mesures de sécurité.
Quel rapport entre HDS et le référentiel NIST CSF ?
NIST CSF 2.0 est un cadre méthodologique de cybersécurité non obligatoire mais largement adopté. HDS impose des mesures qui recouvrent une partie des fonctions NIST CSF (Identify, Protect, Detect, Respond, Recover). Une PME santé qui adopte NIST CSF 2.0 a déjà une partie du chemin de conformité HDS pré-mâchée. Le guide NIST CSF pour PME détaille ce point.
Mon PRA doit-il être en environnement HDS aussi ?
Oui, dès lors qu’il manipule des données de santé. La sauvegarde, la réplication et la restauration tombent sous le périmètre HDS au même titre que la production. C’est pourquoi le niveau 6 de certification (sauvegarde externalisée) existe en tant qu’activité distincte. Pour la méthode complète de construction d’un PRA, voir le guide PRA informatique PME.
En résumé
Le HDS concerne toute PME qui héberge des données de santé identifiables pour le compte de tiers : éditeurs SaaS médicaux, cabinets santé, startups e-santé, agences spécialisées santé qui produisent pour des établissements. La conformité passe par le choix d’un hébergeur certifié sur le bon périmètre, la signature d’un contrat HDS spécifique aux clauses opposables, et la constitution d’un dossier de conformité qui couvre l’organisationnel et le technique.
Le coût total pour une PME utilisatrice se situe entre 10 et 30 k€ en mise en place initiale et entre 600 et 4 000 €/mois en récurrent, hors usages IA spécifiques. Les sanctions encourues en cas de non-conformité sont à la fois pénales, administratives et commerciales.
L’enjeu de 2026 pour beaucoup de PME santé est de croiser le HDS avec les usages IA naissants (modèle, inférence, RAG sur données de santé) qui imposent que toute la stack IA tourne elle aussi en environnement certifié. Quelques acteurs français proposent désormais des stacks IA-en-HDS clé en main, ce qui simplifie le déploiement pour les structures qui veulent moderniser sans empiler les sous-traitants.
Cadrer une mise en conformité HDS pour votre PME
Mission de conseil 2 à 4 semaines, livrable concret : cartographie, plan d’action priorisé, sélection d’hébergeur, modèle de contrat HDS. Diagnostic gratuit 30 minutes.
Réserver un diagnostic gratuit
Article rédigé par Frédéric Allain, fondateur de CTO Externe, basé à Damigny (61). 20 ans d’expérience en infrastructure, sécurité IT et pilotage de projets numériques pour les PME, avec une dimension santé/pharma marquée sur le portefeuille de clients actuels.
