Scribe MédicalScribe Médical
Télécharger
← Blog··RGPD & HDS

HDS expliqué simplement : ce que ça change pour vos outils numériques

Hébergeur de Données de Santé (HDS) : pourquoi c'est important, dans quels cas c'est obligatoire pour un praticien (médecin, psychologue, sage-femme), et comment vérifier qu'un outil l'est vraiment.

On voit "HDS" partout sur les fiches produit des éditeurs santé. Mais concrètement, qu'est-ce que ça veut dire, et quand est-ce que vous, praticien (médecin, psychiatre, psychologue, sage-femme), devez vraiment y faire attention ?

HDS = Hébergeur de Données de Santé

C'est une certification française obligatoire pour les hébergeurs qui stockent ou traitent des données de santé à caractère personnel pour le compte d'un tiers. Elle est délivrée par des organismes accrédités par le COFRAC selon le référentiel publié par l'ANS (Agence du Numérique en Santé).

La certification couvre 6 activités possibles ; les plus pertinentes pour un médecin :

  • Hébergement physique de l'infrastructure — datacenter, serveurs, stockage.
  • Hébergement virtuel et applicatif — cloud, VMs, plateformes SaaS.

Quand HDS devient obligatoire ?

Dès qu'un tiers (éditeur, hébergeur, prestataire) stocke des données de santé personnelles pour vous, il doit être certifié HDS ou utiliser une infrastructure certifiée HDS. C'est une obligation légale (art. L.1111-8 du Code de la santé publique).

Cas concrets où HDS s'applique pour vous :

  • DMP (Dossier Médical Partagé) — l'État a choisi des hébergeurs HDS.
  • Logiciels de cabinet cloud (DMI hébergé, Doctolib, etc.).
  • Téléconsultation avec enregistrement.
  • Messagerie sécurisée de santé (MSSanté).
  • Outils de scribe IA cloud qui stockent l'audio ou les CR.

Quand HDS n'est PAS obligatoire ?

  • Si vous stockez les données sur votre poste (cabinet), sans tiers. Vous restez responsable de la sécurité (RGPD oblige), mais HDS ne s'applique pas — c'est un statut d'hébergeur, pas de praticien.
  • Pour un outil local qui n'envoie pas vos données patient à un tiers. Exemple : un scribe IA qui fait la transcription sur votre poste et n'envoie que du texte anonymisé/déidentifié à un LLM, n'a pas besoin d'être certifié HDS pour la partie locale.

Comment vérifier qu'un outil est vraiment HDS

  1. Demandez le nom de l'hébergeur (l'éditeur n'est souvent pas hébergeur lui-même).
  2. Cherchez le certificat sur le site de l'ANS : esante.gouv.fr — liste hébergeurs certifiés.
  3. Vérifiez la portée — un hébergeur peut être certifié pour le matériel sans l'être pour l'applicatif. Lisez la fiche.
  4. Vérifiez la localisation — HDS n'impose pas la France, mais l'UE. Évitez les flux hors UE (sauf garanties spécifiques).

HDS ≠ RGPD ≠ sécurité absolue

Trois pièges courants :

  • HDS ne remplace pas le RGPD — un outil HDS doit aussi être conforme RGPD (DPA, droits patients, etc.).
  • HDS ne garantit pas la sécurité applicative — c'est une certification d'hébergement, pas d'audit code. Un éditeur HDS peut quand même avoir des bugs ou des fuites.
  • "Hébergé chez un HDS" ≠ certifié HDS — l'éditeur lui-même doit prendre l'engagement contractuel sur ses activités.

En résumé : HDS est un signal sérieux, mais ce n'est pas un blanc-seing. Lisez le DPA, vérifiez la localisation des serveurs, et préférez les outils qui limitent au maximum les données qui quittent votre cabinet. Moins un outil envoie de données, moins HDS pose question.

Vous voulez tester un scribe IA local, hébergé en France, sans uploader d'audio patient ?

Essayer Scribe Médical 7 joursCalculer mon ROI