La conformité des hébergeurs conditionne la confiance pour les projets numériques liés aux données sensibles. Les établissements et éditeurs cherchent des preuves tangibles de sécurisation et de souveraineté.
Vérifier RGPD, ISO 27001 et HDS permet d’éviter sanctions et interruptions de service. Les points essentiels à contrôler précèdent la rubrique listée ci-dessous, enchaînant sur A retenir :
A retenir :
- Vérification de la présence d’un certificat HDS valide sur la prestation
- Preuve d’un Système de Management ISO 27001 documenté et appliqué
- Localisation des données en France ou dans l’Union européenne
- Traçabilité des accès et journalisation exhaustive des opérations
Hébergement HDS : obligations légales et portée du référentiel
Après l’identification des éléments clés, il faut clarifier les obligations légales liées à l’hébergement HDS. Cette clarification aide les décideurs à vérifier la conformité avant tout engagement technique.
Le référentiel HDS s’appuie sur des exigences strictes visant la disponibilité, l’intégrité et la confidentialité. Selon l’Agence du Numérique en Santé, la certification remplace l’ancien agrément et impose des audits réguliers.
Critères réglementaires :
- Contrôle des accès et authentification forte
- Journalisation et traçabilité complètes des actions
- Sauvegarde redondée et plan de reprise d’activité
- Accréditation des organismes certificateurs
Cadre légal et exigences du code de la santé publique
Ce point de cadrage relie la loi au référentiel HDS et aux exigences du code de la santé publique. Les acteurs qui manipulent des données de santé doivent s’assurer d’une prestation couverte par la certification.
Selon AFNOR, la certification HDS s’appuie sur des référentiels alignés sur les normes ISO et demande des contrôles annuels. Les conséquences d’une non-conformité incluent sanctions, perte de contrats et déclarations à la CNIL.
« J’ai migré nos dossiers patients vers un hébergeur certifié, la sécurité et la traçabilité se sont nettement améliorées »
Nathan N.
Activités couvertes par le référentiel et périmètre HDS
Cette section situe les six activités d’hébergement couvertes par le référentiel et leur mise en œuvre opérationnelle. Les prestataires doivent démontrer la maîtrise de la mise à disposition d’infrastructures et des sauvegardes.
Raison sociale
Rôle
Certifié HDS
Activités d’hébergement couvertes
ACCESS HEBERGEMENT
Hébergeur
Oui
Mise à disposition sites, infrastructures virtuelles, sauvegarde des données
NEXEREN
Sous-traitant centre de données
Oui
Mise à disposition et maintien en condition des sites physiques
SFR BUSINESS
Sous-traitant centre de données
Oui
Mise à disposition et maintien en condition des sites physiques
BLUE
Hébergeur souverain
Oui
Couverture des six activités, datacenters propriétaires et infogérance 24/7
Les attestations doivent préciser le périmètre exact des activités couvertes pour éviter des interprétations erronées. Cette précision garantit que la prestation couvre bien la sauvegarde et la restauration des DSCP.
Cette compréhension des obligations facilite l’examen des critères techniques et la notion de souveraineté que nous aborderons ensuite. Le passage suivant détaille les éléments techniques prioritaires pour le choix d’un hébergeur.
Choisir un hébergeur HDS : critères techniques et souveraineté
Ce passage vers l’opérationnel nécessite d’examiner les critères techniques et la souveraineté des données. Les questions de localisation et d’infrastructure déterminent le niveau de risque juridique et opérationnel.
Selon ISO, la norme ISO 27001 fournit le cadre pour un Système de Management de la Sécurité de l’Information fiable. Il faut donc vérifier la preuve documentaire et l’application effective du SMSI par l’hébergeur.
Garanties techniques :
- Redondance des équipements et géo-redondance des services
- Sauvegardes automatisées et tests réguliers de restauration
- Supervision 24/7 et détection d’intrusion
- SLA clairs et reporting de conformité
Critères techniques clés pour l’hébergement conforme
Ce point met en relation les garanties techniques et les obligations HDS pour des services résilients et traçables. Les audits et les preuves de tests de restauration restent des éléments déterminants lors de l’évaluation.
Pour comparer prestataires, listez leurs garanties, datacenters et capacités de montée en charge en incluant OVHcloud, Scaleway et Outscale. Pensez aussi à vérifier les offres de SCALEWAY Elements, OVH et Orange Cloud si la souveraineté est prioritaire.
Localisation des données :
- Souveraineté nationale par datacenters en France
- Hébergement dans l’Union européenne pour conformité RGPD
- Accès restreint depuis pays tiers contrôlés
- Règles claires sur sous-traitance et chaîne d’accès
Souveraineté, localisation et risques juridiques
Ce volet explique pourquoi stocker les données en France réduit l’exposition aux lois extraterritoriales et aux demandes inattendues d’accès. Un hébergeur local facilite les relations avec les autorités de contrôle et les procédures d’audit.
Selon l’Agence du Numérique en Santé, l’information sur l’accès aux données depuis des pays tiers doit être explicitée par le fournisseur. Ce point est crucial lors du choix entre acteurs comme Ionos, Infomaniak, Ikoula ou Claranet.
Contrats, audits et gouvernance opérationnelle pour l’hébergement conforme
Ce passage contractuel nuance les choix techniques et impose des clauses de gouvernance, d’audit et de responsabilité partagée. Les engagements contractuels formalisent la conformité attendue par les clients et les autorités.
La rédaction des contrats doit inclure SLA, périmètre HDS, obligations de notification d’incident et preuves d’audit indépendant. Selon AFNOR, la documentation d’audit est un élément vérifiable indispensable pour garder la certification active.
Clauses essentielles :
- Définition claire du périmètre HDS et des activités couvertes
- Engagements SLA sur disponibilité et restauration
- Obligation de notification et gestion des incidents
- Accès aux rapports d’audit et preuves de conformité
Clauses contractuelles, preuves d’audit et responsabilités
Ce point relie les clauses contractuelles aux nécessités opérationnelles d’audit et de preuve pour maintenir la conformité. Les clients doivent pouvoir obtenir des rapports d’audit sans entrave pour vérifier la tenue des obligations.
« Nous avons exigé des copies d’audits annuels et cela a clarifié les responsabilités entre nos équipes et le prestataire »
Claire N.
Organisation interne et plans de continuité pour la résilience
Ce chapitre précise le rôle des équipes internes et des plans de continuité d’activité pour assurer la disponibilité des services. La gouvernance inclut formation, procédures et tests réguliers pour valider les PCA et PRA.
Mesures opérationnelles :
- Formation et sensibilisation des équipes à la sécurité
- Tests réguliers des plans de reprise d’activité
- Infogérance 24/7 et supervision en temps réel
- Documentations et rapports disponibles sur demande
« La migration vers un hébergeur HDS a permis une reprise d’activité testée sans perte de données »
Antoine N.
« À mon avis, la certification reste un prérequis minimal, la qualité opérationnelle fait la différence »
Sophie N.
Une gouvernance claire et des contrats précis réduisent l’incertitude et renforcent la protection des personnes concernées. Ce dernier point invite à vérifier aussi la réactivité du support et la transparence des procédures.
Source : Agence du Numérique en Santé, « Référentiel HDS », Agence du Numérique en Santé ; ISO, « ISO/IEC 27001 Information security management », ISO ; AFNOR, « Certification HDS », AFNOR.