Hébergeur données de santé : faut-il internaliser ou externaliser ? Le dilemme stratégique des DSI en 2025
Publié dans HDS
25 juin 2025 / Nathan
Par : Nathan
Membre des équipes de Blue, Nathan contribue régulièrement à des publications d'expertise sur différents sujets : Cloud, Cybersécurité, Hébergement de données de santé, Datacenter…
Partager
L'hébergement de données de santé est une responsabilité majeure. Un hébergeur de données de santé (HDS) est une entité qui assure la garde et la gestion d'infrastructures physiques ou logicielles pour le compte de structures du domaine de la santé. En France, le cadre est strict : le Code de la santé publique impose une certification HDS pour tout organisme qui héberge des données de santé à caractère personnel collectées lors d'activités de prévention, de diagnostic ou de soins. Cette certification n'est pas une option, c'est une obligation légale et technique.
Face à cette exigence, vous, Directeurs des Systèmes d’Information, êtes au cœur d'un dilemme stratégique qui se durcit à l'horizon 2025 - 2026. Faut-il conserver la maîtrise totale en internalisant votre infrastructure, avec les lourdes responsabilités que cela implique ? Ou est-il plus judicieux de déléguer cette tâche critique à un hébergeur certifié HDS, un partenaire spécialisé ?
La question dépasse la simple technique. Elle engage votre budget, la sécurité de vos patients et la réputation de votre établissement. Entre conformité, maîtrise des risques, coûts et évolutivité, quel choix garantit la résilience et la compétitivité de votre SI santé ?
SOMMAIRE :
- Le choix d’un hébergeur données de santé certifié HDS
- Héberger des données de santé en interne
- Externaliser l’hébergement des données de santé
- Checklist : Choisir entre hébergement interne ou hébergement externe
- Scénario comparatif
- Une décision à contextualiser selon le référentiel HDS
- FAQ Questions - Réponses
Pourquoi le choix d’un hébergeur données de santé certifié HDS est une décision stratégique pour les établissements de santé
Cette décision d'hébergement n'est pas un simple arbitrage technique. Elle conditionne l'avenir de votre système d'information. Les impacts se mesurent sur plusieurs plans critiques :
- Sécurité et conformité : L'enjeu principal est la protection des données de santé. Une faille peut avoir des conséquences désastreuses. Vous devez garantir une conformité sans faille avec le RGPD et le référentiel HDS, qui impose des mesures de sécurité des données très strictes. La cybersécurité de votre hébergement HDS est donc au centre des préoccupations, tout comme la souveraineté des données, une préoccupation majeure avec l'extraterritorialité de certaines lois étrangères.
- Continuité de service et résilience : Le système de santé ne s'arrête jamais. Votre infrastructure doit assurer une disponibilité constante des informations de santé. Cela implique la mise en place d'un Plan de Continuité d'Activité (PCA) et d'un Plan de Reprise d'Activité (PRA) robustes, testés et éprouvés.
- Agilité et scalabilité : Le volume des données de santé explose. Votre infrastructure doit pouvoir évoluer rapidement pour intégrer de nouvelles applications, accueillir plus d'utilisateurs ou traiter des flux de données plus importants (imagerie, objets connectés, IA).
- Coûts et performance : L'arbitrage entre des investissements lourds (CAPEX) pour une infrastructure interne et un modèle de coûts opérationnels (OPEX) avec un hébergeur données de santé externe est au centre de votre réflexion. Les coûts cachés de la maintenance, de la mise en conformité et de la gestion des compétences sont souvent sous-estimés en interne.
La pression pour moderniser les infrastructures est bien réelle. Une étude sectorielle récente indique que « 79 % des établissements de santé français prévoient de renforcer leur infrastructure IT dans les 12 prochains mois ». Ce chiffre montre que le statu quo n'est plus une option. Votre choix d'hébergement définira votre capacité à répondre à ces défis.
Besoin d'échanger sur l'hébergement HDS ?
Profitez de l'expertise des équipes de Blue
Héberger des données de santé en interne : le pari du contrôle total face aux exigences du référentiel HDS
Garder l’hébergement des données de santé en interne est la voie historique pour de nombreuses organisations du domaine de la santé. L’idée de conserver les données personnelles de santé sur site, au sein de ses propres infrastructures, peut sembler rassurante. Mais face aux exigences de la certification HDS, cette stratégie est-elle toujours pertinente pour les professionnels de santé ?
Les avantages de l'internalisation de l'hébergement
- Contrôle absolu : Vous maîtrisez chaque composant de votre architecture technique, du matériel au logiciel. Ce niveau de gestion des données vous permet d'ajuster précisément votre infrastructure aux spécificités de vos systèmes d’information de santé.
- Personnalisation sur-mesure : L’infrastructure peut être dimensionnée spécifiquement pour les applications critiques du secteur de la santé, sans être limité par une offre standard.
- Souveraineté des données garantie : Vous savez exactement où sont stockées vos données de santé en France, ce qui facilite la conformité au code de la santé publique et réduit le risque lié à l’extraterritorialité des lois étrangères.
- Sécurité perçue : Le fait que les informations de santé ne quittent pas physiquement l’établissement est perçu comme un gage de confidentialité des données de santé, bien que cette perception doive être confrontée aux réalités techniques et réglementaires.
Les limites et les coûts cachés de l'hébergement interne
- Coûts élevés et complexes : L’investissement initial (CAPEX) peut dépasser plusieurs centaines de milliers d’euros : datacenter, sécurité physique, climatisation, onduleurs, serveurs, etc. À cela s’ajoutent les dépenses liées à la gestion sécurisée des données, à l’énergie, aux licences, aux salaires et à la supervision 24/7.
- Complexité de la certification : Obtenir la certification HDS en 2019 a constitué un tournant pour de nombreuses structures. Aujourd’hui encore, obtenir la certification HDS en interne nécessite une infrastructure conforme au référentiel de certification des hébergeurs, ainsi qu'une documentation exhaustive, des processus maîtrisés et une validation par des organismes de certification accrédités. Cette accréditation des organismes de certification repose notamment sur la norme ISO 27001 et HDS.
- Conformité continue : Maintenir la conformité des données de santé au fil du temps est une mission exigeante, régie par le référentiel HDS et les règles du code de la santé publique. Toute déviation peut remettre en cause la protection des données de santé.
- Manque de scalabilité : En cas de pic d’activité, l’ajout de ressources matérielles nécessite du temps, du budget et des compétences. Contrairement aux offres d’hébergement de données cloud, il n’est pas possible de dimensionner l’infrastructure instantanément.
- Charge RH et compétences : Le recrutement de profils qualifiés en sécurité des données de santé, réseau, conformité HDS et traitement des données de santé est complexe. Les équipes internes doivent aussi gérer la veille en matière de protection des données et s’assurer de l’alignement avec le référentiel HDS.
Votre équipe IT dispose-t-elle des ressources, des expertises en traitement de données et du temps nécessaire pour assurer la sécurité des données, la conformité au référentiel de certification et la conservation des données de santé ?
Ou serait-il plus stratégique d’opter pour un hébergeur externe, déjà certifié HDS, qui a fait du traitement des données de santé son cœur de métier et a obtenu la certification HDS via un audit encadré, comme Blue, qui a obtenu la certification HDS par Bureau Veritas ?
Votre SI est-il réellement conforme au référentiel HDS ?
Faites-le auditer par nos experts.
Externaliser l’hébergement des données de santé : les avantages d’un hébergeur données de santé certifié HDS dans le secteur de la santé
Déléguer l'hébergement de données de santé à un tiers est une décision qui s'impose de plus en plus comme une évidence pour beaucoup. Il s'agit de confier une fonction critique à un spécialiste pour mieux vous concentrer sur votre cœur de métier : la santé. C'est l'approche d'un hébergement de données de santé moderne et maîtrisé.
Les avantages de l'hébergement par un tiers certifié hébergeur données de santé
- Conformité HDS garantie par contrat : Le principal avantage est le transfert de la charge de la certification HDS. L'hébergeur données de santé certifié a déjà passé les audits et vous fournit l'attestation de conformité. Cette certification couvre un périmètre précis de ses services.
- Expertise en sécurité mutualisée : Vous bénéficiez d'équipes de sécurité de pointe (SOC, experts en cybersécurité) qui protègent les infrastructures de nombreux clients. Leur expérience et leurs outils sont souvent bien supérieurs à ce qu'un établissement seul peut s'offrir.
- Économies d'échelle et prévisibilité des coûts : Vous passez d'un modèle CAPEX à un modèle OPEX. Les coûts sont mensualisés et prévisibles. La mutualisation des infrastructures (datacenters, réseau, électricité) permet à l'hébergeur données de santé de proposer des tarifs compétitifs.
- Évolutivité et performance : Les offres d’hébergement de données modernes sont élastiques. Vous pouvez augmenter ou réduire vos ressources à la demande, en quelques clics, pour accompagner votre croissance ou vos projets d'innovation sans avoir à réinvestir massivement.
- Accès à des technologies de pointe : Les hébergeurs certifiés investissent en permanence pour rester à la pointe de la technologie, que ce soit en matière de stockage, de puissance de calcul ou de sécurité des données.
Les risques et points de vigilance de l'externalisation chez une hébergeur données de santé
- Dépendance au prestataire : Vous vous liez à un partenaire. Le choix de cet hébergeur est donc fondamental. Un contrat solide, des SLA (Service Level Agreements) clairs et un plan de réversibilité sont indispensables pour ne pas devenir captif.
- Enjeux de réversibilité : Comment récupérez-vous leurs données et vos applications si vous décidez de changer de prestataire ? Ce point doit être anticipé et détaillé dans le contrat. La complexité de la migration vers un serveur HDS peut être un frein.
- Intégration avec le SI existant : L'infrastructure de l'hébergeur données de santé doit pouvoir communiquer de manière fluide et sécurisée avec vos applications restées en interne. L'interopérabilité est un facteur clé de succès.
- Souveraineté et localisation des données : Où sont réellement stockées vos données ? Sont-elles soumises à des lois extraterritoriales ? Il est impératif de choisir un hébergeur de données de santé qui garantit un hébergement en France ou au sein de l'Espace Économique Européen pour se prémunir de ces risques.
Pour vous aider dans votre choix d’un hébergeur, l'Agence du Numérique en Santé (ANS) publie et maintient la liste officielle des hébergeurs certifiés. C'est votre point de départ pour identifier les acteurs reconnus.
Checklist DSI : Comment choisir entre hébergement interne ou hébergement externe avec hébergeur données de santé certifié HDS pour vos données de santé
Pour prendre une décision éclairée, vous devez analyser votre situation à travers une grille de lecture précise. Voici une checklist pour vous guider.
Nature et criticité des données
- Quel type de données de santé à caractère personnel devez-vous héberger (dossiers patients, imagerie, données génétiques) ?
- Quel est le volume actuel et la croissance projetée sur 3 à 5 ans ?
- Quel est l'impact d'une indisponibilité de ces données sur les soins ?
Budget et modèle économique
- Quelle est votre préférence entre un investissement lourd (CAPEX) et des dépenses opérationnelles (OPEX) ?
- Avez-vous calculé le coût total de possession (TCO) de l'option interne, en incluant les salaires, la maintenance, l'énergie et le coût de la certification ?
- Quel est le retour sur investissement (ROI) attendu pour chaque scénario ?
Capacités techniques et humaines
- Disposez-vous en interne des compétences pour gérer une infrastructure haute disponibilité 24/7 et maintenir la certification HDS ?
- Quelle est votre capacité à superviser, détecter et gérer les incidents de sécurité ?
- Avez-vous les ressources pour mener une veille réglementaire et technologique constante sur les obligations de l'hébergement de données de santé ?
Exigences de continuité et de reprise
- Quels sont vos objectifs de temps de restauration (RTO) et de perte de données maximale (RPO) ?
- Votre PCA/PRA est-il suffisamment robuste et testé régulièrement ? Un hébergeur peut-il offrir de meilleures garanties ?
Responsabilité juridique
- Qui est le responsable du traitement des données de santé ? Qui est le sous-traitant ?
- Avez-vous bien défini les responsabilités de chacun dans un contrat clair en cas d'externalisation ?
Souveraineté et localisation des données
- Est-il impératif que les données restent sur le territoire national ?
- Le prestataire garantit-il par contrat la localisation de l'hébergement et l'absence de transfert hors UE ?
Besoin d'évaluer vos besoins en hébergement de santé ?
Faites le point avec les experts de l'hébergement HDS
Scénario comparatif : un CHU face au choix de l'hébergement chez un hébergeur données de santé externe
Imaginons le CHU de la Vallée, un établissement de taille moyenne. Son DSI fait face à une infrastructure vieillissante, des coûts de maintenance qui explosent et une pression croissante pour déployer de nouveaux services de numérique en santé.
Le dilemme : Rénover le datacenter interne ou migrer vers un hébergeur certifié HDS ?
Option 1 : L'internalisation (rénovation)
- Coûts : Estimation à 1,5 M€ de CAPEX pour le matériel, la sécurité et la mise aux normes. Ajout de 2 ETP spécialisés (150 k€/an) pour la gestion et le maintien de la certification HDS.
- Impacts : Projet de 18 mois, forte mobilisation des équipes IT internes au détriment des projets métiers. Le risque de ne pas obtenir ou de perdre la certification est réel. Le contrôle est total, mais la charge est immense. L'agilité pour de futurs projets est faible.
- Arbitrage : Le CHU assumerait la responsabilité totale de la protection des données de santé, une charge qui le détourne de sa mission première.
Option 2 : L'externalisation vers un hébergeur certifié
- Coûts : Pas de CAPEX. Contrat OPEX de 300 k€/an, incluant l'hébergement, la supervision 24/7, les garanties de sécurité et le maintien de la certification HDS sur le périmètre de l'hébergeur.
- Impacts : Une migration de serveur HDS à planifier sur 6 mois. L'équipe IT du CHU se concentre sur la gestion de la relation avec le prestataire et sur les projets applicatifs à plus forte valeur ajoutée pour les professionnels de santé. Le CHU bénéficie immédiatement d'une infrastructure performante et scalable.
- Arbitrage : Le CHU délègue la gestion de l'infrastructure à un expert, ce qui garantit la conformité et la sécurité des données de santé. Il gagne en agilité et en prévisibilité budgétaire. Ce modèle a fait ses preuves, comme le montre la collaboration réussie avec des acteurs comme Prevlink, spécialisé dans la santé au travail.
La décision et le retour d'expérience : Après une analyse de risques et de ROI, le DSI du CHU opte pour l'externalisation. Il justifie ce choix par la nécessité de se concentrer sur l'innovation au service des patients plutôt que sur la gestion de "tuyaux". Il choisit un hébergeur données de santé qui garantit un hébergement en France et signe un contrat avec des SLA stricts et un plan de réversibilité détaillé. La gestion des données de santé est ainsi professionnalisée.
Tableau comparatif : internalisation vs. externalisation de l'hébergement de données de santé
| Critère d'arbitrage | Option 1 : Internalisation de l'hébergement | Option 2 : Externalisation vers un hébergeur HDS |
|---|---|---|
| Modèle de coût | Principalement CAPEX (investissement initial lourd). | Principalement OPEX (coûts opérationnels prévisibles et maîtrisés). |
| Budget estimé | 1,5 M€ d'investissement + 150 k€/an de coûts RH et maintenance. | 300 k€/an via un contrat de service incluant infrastructure et conformité. |
| Conformité & certification HDS | À la charge totale de l'établissement. Processus long, coûteux et risqué. | Garantie par l'hébergeur certifié HDS. Transfert de la charge de la certification. |
| Impact sur l'équipe IT | Forte mobilisation sur la gestion de l'infrastructure, au détriment des projets métiers. | Recentrage des équipes sur les applications et les projets à valeur ajoutée pour les soignants. |
| Agilité & évolutivité | Faible. L'ajout de nouvelles ressources est un projet lent et coûteux. | Élevée. Capacité d'ajustement rapide des ressources pour suivre la croissance (scalabilité du cloud). |
| Délai de mise en oeuvre | Long (environ 18 mois pour la rénovation et l'obtention de la certification). | Rapide (environ 6 mois pour une migration planifiée vers le serveur HDS). |
| Gestion du risque | Risque technique, opérationnel et réglementaire (HDS, RGPD) entièrement assumé en interne. | Transfert du risque lié à l'infrastructure et à sa conformité vers l'hébergeur de données de santé. |
Faites le choix entre de l'externalisation
Découvrez pourquoi d’autres DSI ont externalisé avec Blue
Internaliser ou externaliser l’hébergement des données de santé : une décision à contextualiser selon le référentiel HDS
Le choix entre internaliser et externaliser l'hébergement de vos données de santé n'a pas de réponse universelle. La meilleure stratégie pour un grand groupe de cliniques privées ne sera pas la même que pour une start-up e-santé ou un hôpital public.
Votre décision doit être le fruit d'une analyse rigoureuse de votre contexte, de vos ressources, de votre culture d'entreprise et de vos ambitions stratégiques. L'internalisation peut sembler séduisante pour le contrôle qu'elle offre, mais elle représente une charge technique, humaine et financière que peu d'organisations peuvent réellement assumer au niveau d'exigence du référentiel HDS.
L'externalisation vers un hébergeur données de santé certifié s'impose souvent comme la solution la plus rationnelle. Elle permet de transférer le risque technique et réglementaire, de maîtriser les coûts et de se concentrer sur l'innovation et le soin. La clé du succès réside alors dans le choix d’un hébergeur de données de confiance et dans la contractualisation d'une relation claire et sécurisée.
La veille réglementaire, notamment sur les évolutions du référentiel de certification des hébergeurs et une analyse de risques proactive sont vos meilleurs alliés.
La question finale vous est directement adressée. Êtes-vous vraiment prêt à assumer la responsabilité totale de l’hébergement de vos données de santé, ou la délégation à un tiers certifié est-elle la garantie de votre sérénité ?
Trouvez la solution HDS faites pour vous
Echangez avec les experts de Blue
FAQ Questions - Réponses Hébergeur Données de Santé
Un hébergeur de données de santé est un prestataire certifié HDS qui stocke et sécurise les données médicales sensibles, conformément au référentiel HDS et au RGPD. Seuls les hébergeurs présents dans la liste des hébergeurs certifiés peuvent exercer cette activité réglementée.
La collecte de données de santé est réservée aux professionnels de santé, aux établissements médicaux, aux mutuelles ou à des tiers autorisés. Toute collecte doit respecter les principes du RGPD et se faire dans le cadre d’un traitement de données de santé légitime.
Pour stocker des données de santé, il est obligatoire de faire appel à un hébergeur certifié HDS. Le stockage doit répondre aux exigences du référentiel HDS en matière de sécurité, traçabilité et confidentialité pour garantir la protection de vos données.
Un entrepôt de données de santé est une plateforme centralisée qui permet de regrouper, structurer et analyser des données médicales. Il doit être hébergé par un prestataire certifié HDS et respecter les règles de sécurité du traitement de données de santé.
L’accès aux données de santé est strictement limité aux professionnels autorisés dans le cadre de leur mission de soin. Des mesures techniques garantissent la confidentialité des données et assurent la protection de vos données personnelles de santé.
Peuvent héberger des données de santé uniquement les hébergeurs certifiés HDS figurant dans la liste officielle tenue par l’ANS. Ces hébergeurs doivent répondre aux exigences de la certification et garantir la sécurité et la conformité du traitement de données de santé.
La souveraineté des données est garantie par les hébergeurs certifiés HDS qui s’engagent à stocker les données en France ou dans l’EEE. Le contrat d’hébergement doit exclure tout transfert de données hors de l’Union européenne.
Le référentiel de certification HDS définit les règles que doivent suivre les hébergeurs de données pour garantir la sécurité, la disponibilité et la confidentialité. Il encadre la certification des hébergeurs de données de santé via des audits réalisés par des organismes accrédités.
Nathan de Blue
Membre des équipes de Blue, Nathan contribue régulièrement à des publications d'expertise sur différents sujets : Cloud, Cybersécurité, Hébergement de données de santé, Datacenter…
Partager
Nouvelles optimisations énergétiques et thermiques pour le Datacenter Blue
Datacenter Châteaubourg près de Rennes : sécurisation électrique, free-cooling non glycol et…
Quéguiner Matériaux choisit le cloud provider Blue pour le déploiement du SD-WAN et la téléphonie unifiée sur 64 sites
Communiqué de Presse Bretagne, le 30 septembre 2025 – Acteur majeur du…
Fin du support Windows 10 : enjeux, solutions et stratégies de migration pour les DSI
Face à l’arrêt du support Windows 10 dès octobre 2025, les directions…