{"id":23144,"date":"2026-07-10T22:00:00","date_gmt":"2026-07-10T22:00:00","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23144"},"modified":"2026-07-06T10:54:46","modified_gmt":"2026-07-06T10:54:46","slug":"contrat-hebergement-hds-donnees-sante","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/contrat-hebergement-hds-donnees-sante\/","title":{"rendered":"Contrat d&rsquo;h\u00e9bergement HDS (donn\u00e9es de sant\u00e9)"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><em><br><em>Par\u00a0<\/em><a href=\"https:\/\/www.malt.fr\/profile\/josephdavidatias\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a><em>, avocat au Barreau de Paris \u00b7\u00a0<\/em><a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>LinkedIn<\/em><\/a><em>\u00a0\u00b7 Juillet 2026<\/em><\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Les donn\u00e9es de sant\u00e9 sont les plus sensibles qui soient. Leur h\u00e9bergement n&rsquo;est pas libre : il est strictement encadr\u00e9. En France, h\u00e9berger des donn\u00e9es de sant\u00e9 pour le compte d&rsquo;un tiers impose de recourir \u00e0 un h\u00e9bergeur certifi\u00e9. L&rsquo;h\u00e9bergement HDS (H\u00e9bergeur de Donn\u00e9es de Sant\u00e9) est une obligation l\u00e9gale, pr\u00e9vue par le Code de la sant\u00e9 publique, qui se cumule avec le RGPD. Un manquement expose \u00e0 de lourdes sanctions p\u00e9nales et administratives. Cet article d\u00e9crypte l&rsquo;obligation de certification, le cadre juridique, les clauses essentielles du contrat et les pi\u00e8ges \u00e0 \u00e9viter pour s\u00e9curiser un h\u00e9bergement HDS conforme.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">SOMMAIRE<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#section-1\">Pourquoi l&rsquo;h\u00e9bergement HDS est strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n<li><a href=\"#section-2\">Le cadre juridique applicable<\/a><\/li>\n\n\n\n<li><a href=\"#section-3\">Les 7 clauses essentielles du contrat<\/a><\/li>\n\n\n\n<li><a href=\"#section-4\">Tableau de synth\u00e8se des clauses<\/a><\/li>\n\n\n\n<li><a href=\"#section-5\">Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n<li><a href=\"#section-6\">Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n<li><a href=\"#faq\">FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Pourquoi l&rsquo;h\u00e9bergement HDS est strat\u00e9gique en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;h\u00e9bergement HDS est un enjeu central de la sant\u00e9 num\u00e9rique. Le secteur explose, et la donn\u00e9e de sant\u00e9 est au c\u0153ur de cette transformation. Trois dynamiques renforcent son importance en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 L&rsquo;essor de la sant\u00e9 num\u00e9rique<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La e-sant\u00e9 conna\u00eet une croissance rapide : t\u00e9l\u00e9consultation, dossiers patients num\u00e9riques, objets connect\u00e9s, intelligence artificielle m\u00e9dicale. Toutes ces solutions traitent des donn\u00e9es de sant\u00e9. Or, leur h\u00e9bergement impose la certification. Il devient donc un pr\u00e9requis technique et juridique pour tout acteur de la sant\u00e9 num\u00e9rique. Sans lui, aucune solution de sant\u00e9 ne peut \u00eatre d\u00e9ploy\u00e9e l\u00e9galement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 Un crit\u00e8re d&rsquo;acc\u00e8s au march\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La conformit\u00e9 HDS conditionne l&rsquo;acc\u00e8s au march\u00e9 de la sant\u00e9. Les h\u00f4pitaux, cliniques et acteurs publics exigent un h\u00e9bergement certifi\u00e9 de leurs prestataires. C&rsquo;est souvent une condition des appels d&rsquo;offres. Pour une startup de e-sant\u00e9, la certification de l&rsquo;h\u00e9bergeur est aussi v\u00e9rifi\u00e9e lors des lev\u00e9es de fonds. La conformit\u00e9 HDS est donc un actif commercial autant qu&rsquo;une obligation. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Le cadre juridique applicable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;h\u00e9bergement de donn\u00e9es de sant\u00e9 repose sur un socle juridique double : le droit de la sant\u00e9 et le droit des donn\u00e9es. Quatre fondements principaux le structurent.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 L&rsquo;obligation de certification (article L.1111-8 CSP)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article L.1111-8 du Code de la sant\u00e9 publique (CSP) pose le principe. Toute personne qui h\u00e9berge des donn\u00e9es de sant\u00e9 pour le compte de tiers doit \u00eatre certifi\u00e9e. La certification HDS atteste du respect d&rsquo;un r\u00e9f\u00e9rentiel de s\u00e9curit\u00e9 strict. Elle est d\u00e9livr\u00e9e par un organisme accr\u00e9dit\u00e9, apr\u00e8s audit. Recourir \u00e0 un h\u00e9bergeur non certifi\u00e9 pour des donn\u00e9es de sant\u00e9 constitue une infraction. C&rsquo;est le pilier du dispositif.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 Le RGPD et les donn\u00e9es sensibles (article 9)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le RGPD (R\u00e8glement UE 2016\/679) classe les donn\u00e9es de sant\u00e9 parmi les donn\u00e9es sensibles. L&rsquo;article 9 interdit en principe leur traitement, sauf exceptions (consentement, soins, etc.). Leur s\u00e9curit\u00e9 doit \u00eatre renforc\u00e9e (article 32). La certification HDS s&rsquo;ajoute \u00e0 ces exigences, sans les remplacer. Un h\u00e9bergement de donn\u00e9es de sant\u00e9 doit donc respecter \u00e0 la fois le RGPD et le r\u00e9f\u00e9rentiel HDS. Les deux cadres se cumulent.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 Le contrat de sous-traitance (article 28 du RGPD)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;h\u00e9bergeur agit comme sous-traitant du responsable de traitement. L&rsquo;article 28 du RGPD impose un contrat \u00e9crit, le DPA (Data Processing Agreement, l&rsquo;accord de sous-traitance). Ce contrat encadre les conditions du traitement, la s\u00e9curit\u00e9 et la sous-traitance ult\u00e9rieure. Pour un h\u00e9bergement HDS, le DPA doit int\u00e9grer les sp\u00e9cificit\u00e9s des donn\u00e9es de sant\u00e9. Il s&rsquo;articule avec l&rsquo;annexe TOMS (mesures techniques et organisationnelles de s\u00e9curit\u00e9).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 L&rsquo;AI Act et l&rsquo;IA m\u00e9dicale<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">En 2026, de nombreuses solutions de sant\u00e9 int\u00e8grent de l&rsquo;IA : aide au diagnostic, analyse d&rsquo;images m\u00e9dicales. Le R\u00e8glement UE 2024\/1689 (AI Act) classe souvent ces syst\u00e8mes en haut risque (Annexe III). Ils sont alors soumis \u00e0 des obligations renforc\u00e9es : surveillance humaine (article 14), documentation, gestion des risques. L&rsquo;h\u00e9bergement de ces solutions doit donc tenir compte de l&rsquo;AI Act, en plus du HDS. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/it-contracts\/\"><strong>services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Les 7 clauses essentielles du contrat<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Un contrat d&rsquo;h\u00e9bergement HDS solide s&rsquo;articule autour de sept clauses essentielles. Chacune s\u00e9curise un point sensible propre aux donn\u00e9es de sant\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 La preuve et le p\u00e9rim\u00e8tre de la certification<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La premi\u00e8re clause v\u00e9rifie la certification. Le contrat doit imposer \u00e0 l&rsquo;h\u00e9bergeur de fournir son certificat HDS en cours de validit\u00e9. Il doit pr\u00e9ciser le p\u00e9rim\u00e8tre couvert par la certification (les activit\u00e9s d&rsquo;h\u00e9bergement concern\u00e9es). L&rsquo;h\u00e9bergeur doit aussi s&rsquo;engager \u00e0 maintenir sa certification pendant toute la dur\u00e9e du contrat et \u00e0 informer le client de toute \u00e9volution. Sans cette preuve, l&rsquo;h\u00e9bergement n&rsquo;est pas s\u00e9curis\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 La conformit\u00e9 RGPD et le DPA<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La deuxi\u00e8me clause int\u00e8gre le RGPD. Le contrat doit comporter un DPA (accord de sous-traitance) conforme \u00e0 l&rsquo;article 28. Ce document encadre les finalit\u00e9s, la dur\u00e9e, la s\u00e9curit\u00e9 et la sous-traitance ult\u00e9rieure. Pour des donn\u00e9es de sant\u00e9, les exigences sont renforc\u00e9es. La clause doit garantir que l&rsquo;h\u00e9bergeur agit uniquement sur instruction du responsable de traitement, sans usage propre des donn\u00e9es de sant\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 Les mesures de s\u00e9curit\u00e9 (annexe TOMS)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La troisi\u00e8me clause d\u00e9taille la s\u00e9curit\u00e9. Une annexe TOMS (mesures techniques et organisationnelles) doit d\u00e9crire les mesures concr\u00e8tes : chiffrement, contr\u00f4le d&rsquo;acc\u00e8s, journalisation, sauvegarde. Pour des donn\u00e9es de sant\u00e9, ces mesures doivent \u00eatre \u00e0 la hauteur de la sensibilit\u00e9. La clause doit interdire toute d\u00e9gradation du niveau de s\u00e9curit\u00e9. La certification HDS encadre ces mesures, mais le contrat doit les rendre opposables.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.4 La localisation des donn\u00e9es<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La quatri\u00e8me clause fixe la localisation. Pour des donn\u00e9es de sant\u00e9, le client doit savoir pr\u00e9cis\u00e9ment o\u00f9 elles sont h\u00e9berg\u00e9es. Un h\u00e9bergement dans l&rsquo;Union europ\u00e9enne est fortement pr\u00e9f\u00e9rable, pour \u00e9viter les risques li\u00e9s aux transferts hors UE (arr\u00eat Schrems II). La clause doit interdire tout transfert non autoris\u00e9 et garantir la localisation convenue. C&rsquo;est un point particuli\u00e8rement sensible pour les donn\u00e9es de sant\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.5 La disponibilit\u00e9 et la continuit\u00e9 (SLA)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La cinqui\u00e8me clause garantit la disponibilit\u00e9. Un SLA (Service Level Agreement, accord de niveau de service) doit fixer le taux de disponibilit\u00e9, les d\u00e9lais de r\u00e9tablissement et les sauvegardes. Pour des donn\u00e9es de sant\u00e9, l&rsquo;indisponibilit\u00e9 peut avoir des cons\u00e9quences graves sur les soins. La clause doit pr\u00e9voir un plan de continuit\u00e9 d&rsquo;activit\u00e9 et des p\u00e9nalit\u00e9s en cas de manquement. La continuit\u00e9 est vitale dans le secteur m\u00e9dical.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.6 La r\u00e9versibilit\u00e9 des donn\u00e9es<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La sixi\u00e8me clause organise la sortie. La r\u00e9versibilit\u00e9 permet de r\u00e9cup\u00e9rer les donn\u00e9es de sant\u00e9 et de migrer vers un autre h\u00e9bergeur certifi\u00e9. Le contrat doit pr\u00e9voir le format d&rsquo;export, le p\u00e9rim\u00e8tre, les d\u00e9lais et la suppression certifi\u00e9e apr\u00e8s transfert. Pour des donn\u00e9es de sant\u00e9, la continuit\u00e9 du soin impose une r\u00e9versibilit\u00e9 sans rupture. Sans cette clause, le client risque l&rsquo;enfermement chez son h\u00e9bergeur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.7 La responsabilit\u00e9 et les sanctions<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La septi\u00e8me clause r\u00e9partit la responsabilit\u00e9. En cas de violation de donn\u00e9es de sant\u00e9, les cons\u00e9quences sont majeures. Le contrat doit clarifier la responsabilit\u00e9 de l&rsquo;h\u00e9bergeur et pr\u00e9voir des plafonds proportionn\u00e9s au risque, distincts du prix de la prestation. Une clause limitative trop large peut \u00eatre \u00e9cart\u00e9e (article 1170 du Code civil). Pour des donn\u00e9es aussi sensibles, le plafond doit \u00eatre \u00e0 la hauteur de l&rsquo;enjeu r\u00e9el.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tableau de synth\u00e8se des clauses<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le tableau ci-dessous synth\u00e9tise les 7 clauses d&rsquo;un contrat d&rsquo;h\u00e9bergement de donn\u00e9es de sant\u00e9, leur enjeu et leur criticit\u00e9.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Clause<\/th><th class=\"has-text-align-left\" data-align=\"left\">Enjeu principal<\/th><th class=\"has-text-align-left\" data-align=\"left\">Criticit\u00e9<\/th><\/tr><\/thead><tbody><tr><td>1. Preuve de certification<\/td><td>Garantir le respect de la loi<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>2. Conformit\u00e9 RGPD \/ DPA<\/td><td>Encadrer la sous-traitance<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>3. Mesures de s\u00e9curit\u00e9 (TOMS)<\/td><td>Prot\u00e9ger les donn\u00e9es sensibles<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>4. Localisation des donn\u00e9es<\/td><td>Ma\u00eetriser les transferts<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>5. Disponibilit\u00e9 (SLA)<\/td><td>Assurer la continuit\u00e9 du soin<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>6. R\u00e9versibilit\u00e9<\/td><td>Pr\u00e9server la libert\u00e9 de sortie<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>7. Responsabilit\u00e9<\/td><td>Couvrir le risque r\u00e9el<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 des clauses, plusieurs pi\u00e8ges r\u00e9currents fragilisent la conformit\u00e9. Les identifier permet de s\u00e9curiser un h\u00e9bergement de donn\u00e9es de sant\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Croire que le RGPD suffit<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le premier pi\u00e8ge est la confusion des cadres. Beaucoup pensent qu&rsquo;\u00eatre conforme au RGPD suffit pour h\u00e9berger des donn\u00e9es de sant\u00e9. C&rsquo;est faux. La certification HDS est une exigence suppl\u00e9mentaire, propre au droit fran\u00e7ais de la sant\u00e9. Respecter le RGPD sans recourir \u00e0 un h\u00e9bergeur certifi\u00e9 reste un manquement. Les deux cadres se cumulent et doivent \u00eatre trait\u00e9s ensemble. La conformit\u00e9 RGPD ne dispense jamais du HDS.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 Ne pas v\u00e9rifier la certification de l&rsquo;h\u00e9bergeur<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le deuxi\u00e8me pi\u00e8ge est l&rsquo;absence de v\u00e9rification. Certains clients supposent que leur prestataire est certifi\u00e9, sans le contr\u00f4ler. Or, la responsabilit\u00e9 leur revient. Il faut exiger le certificat HDS en cours de validit\u00e9 et v\u00e9rifier son p\u00e9rim\u00e8tre. Une certification expir\u00e9e ou ne couvrant pas l&rsquo;activit\u00e9 concern\u00e9e est inop\u00e9rante. La v\u00e9rification document\u00e9e de la certification est une \u00e9tape incontournable avant tout h\u00e9bergement de donn\u00e9es de sant\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 N\u00e9gliger la qualification de son activit\u00e9<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le troisi\u00e8me pi\u00e8ge est l&rsquo;erreur de qualification. Il faut d\u00e9terminer pr\u00e9cis\u00e9ment si l&rsquo;on doit \u00eatre certifi\u00e9, ou seulement recourir \u00e0 un h\u00e9bergeur certifi\u00e9. La fronti\u00e8re d\u00e9pend du r\u00f4le exact dans le traitement des donn\u00e9es de sant\u00e9. Un \u00e9diteur qui h\u00e9berge pour ses clients peut devoir \u00eatre certifi\u00e9 lui-m\u00eame. Cette analyse juridique est essentielle. Une mauvaise qualification conduit \u00e0 une non-conformit\u00e9, m\u00eame de bonne foi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.4 Sous-estimer la localisation et les transferts<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le quatri\u00e8me pi\u00e8ge est la localisation n\u00e9glig\u00e9e. Pour des donn\u00e9es de sant\u00e9, h\u00e9berger ou transf\u00e9rer hors de l&rsquo;Union europ\u00e9enne cr\u00e9e un risque majeur. L&rsquo;arr\u00eat Schrems II impose des garanties strictes pour ces transferts. Beaucoup de contrats restent flous sur ce point. Il faut exiger une localisation dans l&rsquo;UE et interdire tout transfert non autoris\u00e9. La sensibilit\u00e9 des donn\u00e9es de sant\u00e9 rend ce point particuli\u00e8rement critique.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.5 Oublier l&rsquo;AI Act pour l&rsquo;IA m\u00e9dicale<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le cinqui\u00e8me pi\u00e8ge, sp\u00e9cifique \u00e0 2026, concerne l&rsquo;IA. De nombreuses solutions de sant\u00e9 int\u00e8grent une IA d&rsquo;aide au diagnostic. Ces syst\u00e8mes sont souvent class\u00e9s \u00e0 haut risque par l&rsquo;AI Act. Ils sont alors soumis \u00e0 des obligations strictes, en plus du HDS et du RGPD. H\u00e9berger une telle solution sans tenir compte de l&rsquo;AI Act cr\u00e9e une non-conformit\u00e9 suppl\u00e9mentaire. L&rsquo;articulation des trois cadres est devenue indispensable dans la sant\u00e9 num\u00e9rique.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">S\u00e9curiser un h\u00e9bergement de donn\u00e9es de sant\u00e9 exige une combinaison rare de comp\u00e9tences : ma\u00eetrise du droit de la sant\u00e9 (article L.1111-8 du Code de la sant\u00e9 publique, certification HDS), expertise du RGPD et des donn\u00e9es sensibles (article 9, article 28, s\u00e9curit\u00e9), pratique des contrats IT (DPA, SLA, r\u00e9versibilit\u00e9, responsabilit\u00e9) et connaissance de l&rsquo;AI Act pour l&rsquo;IA m\u00e9dicale. Cette pluridisciplinarit\u00e9, \u00e0 la crois\u00e9e du droit de la sant\u00e9 et du droit du num\u00e9rique, est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d&rsquo;un cabinet sp\u00e9cialis\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Atias Avocats accompagne startups de e-sant\u00e9, \u00e9diteurs de logiciels m\u00e9dicaux, \u00e9tablissements de sant\u00e9, DPO, DSI et fondateurs sur l&rsquo;ensemble du sujet : analyse de l&rsquo;obligation HDS et qualification de l&rsquo;activit\u00e9, r\u00e9daction ou revue du contrat d&rsquo;h\u00e9bergement, int\u00e9gration du DPA et de l&rsquo;annexe de s\u00e9curit\u00e9, mise en conformit\u00e9 RGPD des donn\u00e9es de sant\u00e9, articulation avec l&rsquo;AI Act, accompagnement en lev\u00e9e de fonds et appels d&rsquo;offres de sant\u00e9. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;h\u00e9bergement de donn\u00e9es de sant\u00e9 n&rsquo;admet pas l&rsquo;approximation. La certification HDS est une obligation l\u00e9gale qui se cumule avec le RGPD, et le manquement co\u00fbte cher : sanctions p\u00e9nales, sanctions RGPD, perte de march\u00e9s, \u00e9chec de lev\u00e9e de fonds. Les sept clauses pr\u00e9sent\u00e9es ici \u2014 certification, DPA, s\u00e9curit\u00e9, localisation, disponibilit\u00e9, r\u00e9versibilit\u00e9, responsabilit\u00e9 \u2014 combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par les acteurs de la sant\u00e9 num\u00e9rique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;investissement requis pour s\u00e9curiser cette conformit\u00e9 est sans commune mesure avec le co\u00fbt d&rsquo;une non-conformit\u00e9 dans un secteur aussi surveill\u00e9. \u00c0 l&rsquo;heure de l&rsquo;explosion de la e-sant\u00e9 et de l&rsquo;IA m\u00e9dicale, l&rsquo;h\u00e9bergement HDS n&rsquo;est pas une formalit\u00e9 technique : c&rsquo;est la condition d&rsquo;acc\u00e8s au march\u00e9 et la garantie de la confiance des patients. Le r\u00e9flexe \u00e0 adopter est clair : qualifier son activit\u00e9, v\u00e9rifier la certification, cumuler RGPD et HDS, ma\u00eetriser la localisation et anticiper l&rsquo;AI Act. C&rsquo;est pr\u00e9cis\u00e9ment cette rigueur qui transforme une contrainte r\u00e9glementaire en avantage concurrentiel durable.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Qu&rsquo;est-ce que l&rsquo;h\u00e9bergement HDS ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;h\u00e9bergement HDS (H\u00e9bergeur de Donn\u00e9es de Sant\u00e9) d\u00e9signe l&rsquo;h\u00e9bergement de donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel par un prestataire certifi\u00e9. La certification HDS est une obligation l\u00e9gale pr\u00e9vue par l&rsquo;article L.1111-8 du Code de la sant\u00e9 publique. Toute structure qui h\u00e9berge des donn\u00e9es de sant\u00e9 pour le compte de tiers (\u00e9tablissements de sant\u00e9, \u00e9diteurs de logiciels m\u00e9dicaux, startups de la sant\u00e9 num\u00e9rique) doit recourir \u00e0 un h\u00e9bergeur certifi\u00e9 HDS, ou \u00eatre elle-m\u00eame certifi\u00e9e. La certification est d\u00e9livr\u00e9e par un organisme accr\u00e9dit\u00e9, apr\u00e8s audit du respect d&rsquo;un r\u00e9f\u00e9rentiel strict de s\u00e9curit\u00e9. L&rsquo;h\u00e9bergement HDS garantit un niveau de protection renforc\u00e9 pour ces donn\u00e9es particuli\u00e8rement sensibles. Recourir \u00e0 un h\u00e9bergeur non certifi\u00e9 pour des donn\u00e9es de sant\u00e9 constitue un manquement grave, exposant \u00e0 des sanctions p\u00e9nales et administratives.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quand la certification HDS est-elle obligatoire ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La certification est obligatoire d\u00e8s qu&rsquo;une personne h\u00e9berge des donn\u00e9es de sant\u00e9 \u00e0 caract\u00e8re personnel pour le compte d&rsquo;un tiers, dans le cadre d&rsquo;une activit\u00e9 de soin, de diagnostic, de pr\u00e9vention ou de suivi m\u00e9dico-social. L&rsquo;article L.1111-8 du Code de la sant\u00e9 publique pose ce principe. Concr\u00e8tement, un \u00e9diteur de logiciel m\u00e9dical, une startup de e-sant\u00e9, une plateforme de t\u00e9l\u00e9consultation ou un \u00e9tablissement qui externalise son h\u00e9bergement doivent s&rsquo;assurer que l&rsquo;h\u00e9bergeur est certifi\u00e9. L&rsquo;h\u00e9bergement HDS n&rsquo;est en revanche pas exig\u00e9 si la structure h\u00e9berge ses propres donn\u00e9es pour son propre compte, sans intervention pour un tiers. La fronti\u00e8re peut \u00eatre subtile, d&rsquo;o\u00f9 l&rsquo;int\u00e9r\u00eat d&rsquo;une analyse juridique. En cas de doute, mieux vaut s\u00e9curiser : le risque d&rsquo;un h\u00e9bergement non conforme est trop \u00e9lev\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelle diff\u00e9rence entre HDS et RGPD ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le HDS et le RGPD sont compl\u00e9mentaires, pas alternatifs. Le RGPD (R\u00e8glement UE 2016\/679) encadre tous les traitements de donn\u00e9es personnelles, et classe les donn\u00e9es de sant\u00e9 parmi les donn\u00e9es sensibles (article 9), soumises \u00e0 une protection renforc\u00e9e. La certification HDS est une exigence fran\u00e7aise suppl\u00e9mentaire, propre \u00e0 l&rsquo;h\u00e9bergement des donn\u00e9es de sant\u00e9, fix\u00e9e par le Code de la sant\u00e9 publique. Autrement dit, h\u00e9berger des donn\u00e9es de sant\u00e9 impose de respecter \u00e0 la fois le RGPD (lic\u00e9it\u00e9, s\u00e9curit\u00e9, droits des personnes) et la certification HDS (r\u00e9f\u00e9rentiel d&rsquo;h\u00e9bergement). Un h\u00e9bergement conforme suppose donc un contrat respectant l&rsquo;article 28 du RGPD (DPA), une annexe de s\u00e9curit\u00e9, et la preuve de la certification. Les deux cadres se cumulent et doivent \u00eatre trait\u00e9s ensemble dans le contrat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Contact : <a href=\"mailto:david@atiasavocats.com\">david@atiasavocats.com<\/a> | LinkedIn: <a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a> | <a href=\"https:\/\/atiasavocats.com\/en\/\">https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Atias Avocats \u2014 RGPD, Donn\u00e9es de sant\u00e9, HDS, Contrats IT<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juillet 2026 Les donn\u00e9es de sant\u00e9 sont les plus sensibles qui soient. Leur h\u00e9bergement n&rsquo;est pas libre : il est strictement&hellip;<\/p>","protected":false},"author":1,"featured_media":23145,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-23144","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-services"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23144"}],"version-history":[{"count":1,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23144\/revisions"}],"predecessor-version":[{"id":23146,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23144\/revisions\/23146"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23145"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}