Aller au contenu
Conformité & RGPD

Souveraineté des données de santé mentale : HDS, RGPD, France

HDS, RGPD, hébergement souverain : pourquoi la localisation des données de santé mentale compte tant, et comment un praticien évalue concrètement la conformité d'un outil.

Mounir Fassouane15 juillet 202617 min de lecture
Serveurs sécurisés symbolisant l'hébergement souverain des données de santé en France

Une note de consultation en santé mentale n'est pas une donnée comme les autres. Elle contient ce qu'un patient n'a peut-être jamais confié à personne : une pensée suicidaire ancienne, une addiction cachée, un traumatisme, une orientation, un diagnostic qui pourrait, entre de mauvaises mains, coûter un emploi, un crédit, une garde d'enfant. Quand on parle de la sécurité de ces informations, on ne parle donc pas d'un sujet technique réservé aux informaticiens. On parle du prolongement direct du secret professionnel, dans un monde où le dossier n'est plus une chemise cartonnée fermée à clé, mais une suite de fichiers stockés quelque part sur un serveur.

La question « où sont mes données, et qui peut légalement y accéder ? » est devenue centrale. Elle porte un nom un peu solennel : la souveraineté des données. Derrière ce mot se cachent des notions très concrètes : la certification HDS, le RGPD, le lieu physique d'hébergement, et la question, souvent mal comprise, de l'exposition à des législations étrangères. Cet article vise à rendre tout cela lisible, sans jargon inutile et sans militantisme, pour qu'un praticien puisse évaluer par lui-même la conformité d'un outil.

Pourquoi les données de santé mentale méritent-elles une protection renforcée ?

Le droit européen établit une distinction fondamentale. La plupart des informations personnelles (un nom, une adresse, un numéro de téléphone) relèvent d'un régime de protection standard. Mais certaines catégories, dites « sensibles », bénéficient d'un régime renforcé. Les données concernant la santé en font partie, au même titre que les opinions politiques, les convictions religieuses ou l'orientation sexuelle.

En santé mentale, cette sensibilité est portée à son comble. Une transcription de séance ne dit pas seulement qu'un patient a consulté. Elle raconte une histoire intime, souvent avec le vocabulaire brut de la personne : ses peurs, ses ruptures, ses idées noires, ses relations. Le préjudice potentiel d'une divulgation n'est pas théorique. Il touche à la réputation, aux droits, parfois à la sécurité physique de la personne. C'est précisément pourquoi le législateur a entouré ces données de garde-fous spécifiques, et pourquoi un praticien engage sa responsabilité sur le choix des outils qui les manipulent.

À retenir : les données de santé mentale ne sont pas des données « un peu plus confidentielles » que les autres. Elles relèvent d'une catégorie juridiquement à part, dont la fuite peut détruire une vie. Le niveau d'exigence sur leur hébergement doit être à la hauteur de cet enjeu, pas de la moyenne du secteur numérique.

Que dit la loi française sur l'hébergement des données de santé ?

Beaucoup de praticiens l'ignorent : héberger des données de santé pour le compte d'autrui n'est pas une activité libre en France. Elle est encadrée par la loi. L'article L.1111-8 du Code de la santé publique pose un principe clair : toute personne ou entreprise qui héberge des données de santé à caractère personnel, recueillies à l'occasion d'activités de soin, pour le compte d'un professionnel de santé, doit être agréée ou certifiée pour cette activité.

Autrement dit, un cabinet de psychologie qui utilise un logiciel stockant des transcriptions de séances dans le cloud ne peut pas confier ces données à n'importe quel hébergeur. Le prestataire retenu doit détenir la certification adéquate, appelée certification HDS (Hébergeur de Données de Santé). Ce n'est pas une bonne pratique optionnelle, c'est une obligation légale. Un éditeur de logiciel qui manipule vos notes cliniques sans s'appuyer sur un hébergement certifié HDS vous place, en tant que responsable du dossier patient, dans une situation irrégulière.

Cette exigence explique une bonne part des choix d'architecture d'un outil clinique sérieux. Ce n'est pas un argument marketing surajouté : c'est le socle réglementaire minimal en dessous duquel un praticien ne devrait pas descendre.

Qu'est-ce que la certification HDS, concrètement ?

Le sigle HDS impressionne, mais l'idée est simple. La certification HDS est un référentiel, piloté par l'Agence du Numérique en Santé (ANS), qui vérifie qu'un hébergeur respecte un ensemble d'exigences strictes de sécurité, de confidentialité et de disponibilité pour les données de santé. Un organisme indépendant et accrédité audite l'hébergeur, puis délivre (ou non) la certification, qui doit ensuite être renouvelée périodiquement.

Concrètement, la certification couvre plusieurs volets : la sécurité physique des centres de données (contrôle d'accès, protection incendie, redondance électrique), la sécurité logique (chiffrement, gestion des accès, journalisation), la traçabilité des opérations, la continuité d'activité et la réversibilité (pouvoir récupérer ses données si l'on change de prestataire). Le référentiel s'appuie largement sur des normes internationales de sécurité de l'information, en y ajoutant les exigences propres au secteur de la santé.

Un point mérite d'être souligné, car il est source de confusion. La certification HDS porte sur l'hébergement, c'est-à-dire sur l'infrastructure qui stocke et fait tourner les données. Elle ne certifie pas à elle seule la totalité d'un logiciel ni la manière dont l'éditeur conçoit son produit. Un outil réellement conforme s'appuie sur un hébergement certifié HDS, mais il ajoute par-dessus ses propres garanties : chiffrement des contenus, cloisonnement des données entre praticiens, minimisation, anonymisation avant tout traitement automatisé. La certification de l'hébergeur est une condition nécessaire, pas suffisante.

HDS, RGPD, ISO 27001 : que couvre chacun de ces cadres ?

On mélange souvent ces trois références comme si elles étaient interchangeables. Elles ne le sont pas. Elles se complètent, chacune répondant à une question différente. Le tableau ci-dessous les remet à leur place.

CadrePortée géographiqueQuestion à laquelle il répondObligatoire pour héberger des données de santé en France ?
RGPDUnion européenneAi-je le droit de traiter ces données, sur quelle base légale, avec quels droits pour la personne ?Oui, pour tout traitement de données personnelles
Certification HDSFranceCet hébergeur est-il habilité à stocker des données de santé selon les exigences françaises ?Oui, spécifiquement pour l'hébergement de données de santé
ISO 27001InternationalL'organisation gère-t-elle correctement la sécurité de son système d'information ?Non, mais souvent exigée comme socle du référentiel HDS

La lecture est instructive. Le RGPD fixe les règles du jeu sur la légitimité du traitement : consentement, finalité, durée de conservation, droits d'accès et d'effacement. La certification HDS répond à une question plus étroite mais cruciale : cet hébergeur précis a-t-il le droit, en France, de stocker des données de santé. La norme ISO 27001 est un standard international de management de la sécurité, souvent présent en arrière-plan du référentiel HDS, mais qui ne dit rien, à lui seul, de la conformité santé. Un outil peut être certifié ISO 27001 sans être adapté à l'hébergement de données de santé françaises. L'inverse (un hébergement HDS conforme au RGPD) est la combinaison recherchée.

Qu'est-ce que la souveraineté des données, au juste ?

Le mot « souveraineté » évoque la politique. Dans le contexte des données, il désigne quelque chose de plus terre à terre : le fait que des données soient soumises aux lois du pays où elles se trouvent, et où se trouve l'entreprise qui les gère. La souveraineté des données, c'est la maîtrise de ce cadre juridique applicable.

Pourquoi est-ce important ? Parce que la protection d'une donnée ne dépend pas seulement de la solidité technique du serveur. Elle dépend aussi des lois auxquelles l'hébergeur est soumis. Une donnée parfaitement chiffrée et stockée dans un centre de données ultra-sécurisé reste vulnérable si la loi applicable permet à une autorité d'en exiger l'accès, ou d'obliger l'hébergeur à coopérer sans que le praticien ni le patient n'en soient informés. La question n'est donc pas seulement « le serveur est-il sûr ? », mais « à quelles lois ce serveur, et l'entreprise qui l'exploite, sont-ils soumis ? ».

Pour un cabinet de santé mentale, viser un hébergement souverain, c'est-à-dire un hébergement situé en France (ou a minima dans l'Union européenne) et opéré par une entité soumise au droit européen, revient à réduire le nombre de lois étrangères susceptibles de s'appliquer aux données de ses patients. C'est un choix de réduction du risque, pas une posture idéologique.

Cloud européen ou cloud américain : quelle est la vraie différence ?

C'est ici que le sujet devient délicat, et souvent mal expliqué. Essayons de le dire simplement et loyalement.

Certaines législations, notamment aux États-Unis, ont une portée dite extraterritoriale. Cela signifie qu'elles peuvent s'appliquer au-delà des frontières du pays qui les a votées. En pratique, une entreprise soumise au droit américain peut, dans certains cas, être contrainte par une autorité américaine de communiquer des données qu'elle détient ou contrôle, y compris lorsque ces données sont physiquement stockées en Europe. Ce n'est pas une théorie du complot, c'est une conséquence directe de la manière dont certaines lois sont écrites. Le point de rattachement n'est pas seulement le lieu du serveur, c'est la nationalité et le contrôle de l'entreprise qui exploite ce serveur.

Il faut être honnête et mesuré : cela ne signifie pas qu'un fournisseur non européen viole en permanence la confidentialité, ni que les données y sont consultées à la légère. Ces procédures sont encadrées et relativement rares. Mais pour des données de santé mentale, la question n'est pas la probabilité, c'est la garantie. Un praticien ne peut pas promettre à son patient une confidentialité qui dépendrait, en dernier ressort, d'une décision de justice étrangère sur laquelle ni lui ni le patient n'a de prise.

Choisir un hébergeur certifié HDS en France, opéré par une entreprise de droit européen, réduit mécaniquement cette exposition. Les données restent soumises au droit français et européen, dont le RGPD, qui offre au patient des droits clairs et opposables. La différence entre un cloud européen souverain et un cloud soumis à une législation extraterritoriale ne se voit pas dans la vitesse de l'application ni dans son interface. Elle se voit uniquement le jour où une demande d'accès survient. Et ce jour-là, il est trop tard pour changer d'hébergeur.

À retenir : la localisation physique du serveur en Europe ne suffit pas à elle seule. Ce qui compte, c'est aussi le droit auquel est soumise l'entreprise qui exploite ce serveur. Un hébergement en France opéré par une entité de droit européen offre une meilleure prévisibilité juridique pour des données de santé mentale.

Dans quels scénarios concrets l'hébergement change-t-il tout ?

Les principes juridiques restent abstraits tant qu'on ne les confronte pas à des situations réelles. En voici trois, volontairement concrètes.

Scénario 1 : la réquisition judiciaire. Imaginez qu'un litige survienne autour d'un patient et que des données soient réclamées. Si votre hébergeur est soumis au seul droit français, la demande passe par les canaux du droit français, avec les protections associées au secret médical. Si le prestataire est soumis à une législation étrangère à portée extraterritoriale, une autorité de ce pays pourrait, dans certaines conditions, formuler une demande selon ses propres règles, moins protectrices du secret médical français. Le même serveur, selon le droit qui s'y applique, n'offre pas la même protection.

Scénario 2 : la faille de sécurité. Une violation de données peut arriver à n'importe quel acteur, même le plus sérieux. La différence se joue dans l'après. Sous le RGPD, l'hébergeur et le responsable de traitement ont des obligations strictes : notification à l'autorité de contrôle (la CNIL en France) sous 72 heures, information des personnes concernées en cas de risque élevé, coopération encadrée. Un prestataire hors du champ du RGPD n'est pas tenu aux mêmes obligations, et le praticien peut se retrouver sans information ni recours clair. Le cadre juridique détermine ce qui se passe le pire jour.

Scénario 3 : le sous-traitant du sous-traitant. Un outil clinique repose rarement sur une seule brique. Il y a l'hébergement, parfois un service de transcription, un service d'envoi d'e-mails, un outil de suivi d'erreurs. Chacun de ces maillons est un sous-traitant, et chacun peut, s'il n'est pas choisi avec soin, réintroduire une exposition qu'on croyait écartée. C'est pourquoi un éditeur rigoureux publie la liste de ses sous-traitants et veille à ce que la donnée clinique ne quitte jamais le périmètre certifié. La souveraineté ne vaut que si toute la chaîne la respecte, pas seulement le premier maillon.

Comment un praticien évalue-t-il concrètement la conformité d'un outil ?

Vous n'avez pas besoin d'être juriste pour poser les bonnes questions. Voici une grille de lecture simple, applicable à n'importe quel logiciel manipulant des données de patients.

1. Où sont hébergées les données ? La réponse doit être précise : en France, chez un hébergeur certifié HDS. Une réponse floue (« nos serveurs sont sécurisés », « dans le cloud ») est un signal d'alerte. Demandez le pays et la certification.

2. L'hébergeur est-il certifié HDS ? C'est la question réglementaire de base. Un éditeur sérieux la mentionne spontanément et peut le documenter.

3. À quel droit l'entreprise est-elle soumise ? Une société de droit européen, hébergeant en Europe, offre une meilleure prévisibilité. Si des maillons de la chaîne relèvent d'une législation extraterritoriale, demandez lesquels et pourquoi.

4. Les données sont-elles chiffrées, et minimisées avant traitement ? Le chiffrement au repos et en transit est un minimum. Pour les traitements automatisés, un outil bien conçu anonymise les informations directement identifiantes avant tout envoi à un moteur d'analyse.

5. Qui a accès aux données, et est-ce tracé ? Le cloisonnement entre praticiens et la journalisation des accès sont des marqueurs de sérieux. Vos notes ne devraient jamais être visibles par un autre praticien ni par les équipes de l'éditeur en clair.

6. Puis-je récupérer et effacer mes données ? La réversibilité (export) et le droit à l'effacement (avec suppression en cascade des données liées) sont exigés par le RGPD. Un outil qui rend la sortie difficile ne respecte pas l'esprit du règlement.

7. La liste des sous-traitants est-elle publique ? La transparence sur la chaîne de sous-traitance est un excellent indicateur. Un éditeur qui l'assume et la publie n'a rien à cacher.

Ces sept questions suffisent à distinguer un outil pensé pour la santé d'un outil grand public qu'on aurait maquillé pour le secteur. Chez Pllume, ces réponses sont documentées publiquement sur nos pages conformité et confiance, précisément pour que vous n'ayez pas à nous croire sur parole.

Et l'intelligence artificielle dans tout cela ?

L'arrivée des assistants cliniques fondés sur l'IA a rendu ces questions plus aiguës encore. Un scribe qui transcrit une séance puis en rédige une synthèse fait, par nature, transiter des données de santé par un modèle de transcription vocale, puis par un modèle de génération de texte. Où tournent ces modèles ? Voilà la question déterminante.

Trop d'outils envoient discrètement l'audio ou le transcript vers des services d'IA grand public, hébergés hors d'Europe, soumis à des législations extraterritoriales. La commodité technique l'emporte alors sur la souveraineté, et le praticien ne s'en rend souvent pas compte. Un outil conçu pour la santé mentale fait le choix inverse, plus exigeant et plus coûteux : faire tourner le modèle de transcription vocale et le modèle de génération de texte sur une infrastructure hébergée en France, dans le périmètre certifié HDS, sans que la donnée clinique n'en sorte jamais.

Je vais être direct, parce que c'est une conviction fondatrice. Nous avons construit Pllume après avoir vu une professionnelle de la santé mentale de mon entourage jongler chaque soir avec ses notes, et refuser d'utiliser les outils existants par méfiance légitime envers leur gestion des données. J'ai compris que la confiance ne se décrète pas : elle se prouve par l'architecture. C'est pourquoi tout le périmètre clinique de Pllume, du stockage aux modèles d'IA, reste hébergé en France chez un hébergeur certifié HDS, et pourquoi les informations identifiantes sont anonymisées côté navigateur avant tout traitement automatisé. Ce n'est pas un supplément d'âme, c'est le cahier des charges. Pour comparer les approches du marché sur ces critères, notre comparatif des scribes IA en santé mentale pose la conformité comme premier filtre, avant même la qualité des notes.

Questions fréquentes

Un hébergeur situé en Europe mais appartenant à une société non européenne est-il souverain ?

Pas totalement. La localisation physique des serveurs en Europe est un bon point, mais elle ne neutralise pas le risque lié à la nationalité de la société qui exploite ces serveurs. Une entreprise soumise à une législation extraterritoriale peut, dans certains cas, être contrainte de communiquer des données même stockées en Europe. Pour une meilleure prévisibilité juridique, on recherche à la fois un hébergement en France ou dans l'UE et une entité de droit européen.

La certification HDS est-elle vraiment obligatoire pour mon cabinet ?

L'obligation légale de recourir à un hébergement certifié HDS pèse sur l'activité d'hébergement de données de santé pour le compte d'un professionnel de santé. En pratique, dès que vous utilisez un logiciel qui stocke des données cliniques de vos patients dans le cloud, ce logiciel doit s'appuyer sur un hébergeur certifié HDS. Vous n'avez pas à obtenir la certification vous-même, mais vous devez vous assurer que vos prestataires la détiennent. Pour un tour d'horizon plus large de vos obligations, voir notre article sur les obligations RGPD au cabinet.

Le RGPD suffit-il, ou faut-il en plus la certification HDS ?

Les deux sont nécessaires et ne se remplacent pas. Le RGPD encadre le droit de traiter les données personnelles en général. La certification HDS répond à une exigence française spécifique à l'hébergement des données de santé. Un outil peut être conforme au RGPD sans hébergement HDS, et cela ne suffit pas pour des données de santé en France. La bonne combinaison est un hébergement certifié HDS, conforme au RGPD.

Mes données peuvent-elles servir à entraîner des modèles d'IA ?

C'est une question à poser systématiquement à tout éditeur. Un outil respectueux du secret professionnel ne réutilise pas vos données cliniques pour entraîner des modèles sans base légale explicite et sans consentement. La réponse doit figurer noir sur blanc dans la politique de confidentialité. Toute ambiguïté sur ce point mérite votre méfiance.

Que se passe-t-il pour mes données si je quitte l'outil ?

Le RGPD garantit un droit à la portabilité et à l'effacement. Un éditeur sérieux vous permet d'exporter vos données dans un format exploitable et de les effacer, avec suppression en cascade des éléments liés. La facilité de sortie est un bon révélateur de la loyauté d'un outil : un service qui rend le départ difficile trahit son rapport à vos données.

Comment vérifier tout cela sans être juriste ?

En posant les sept questions de la grille présentée plus haut, et en demandant des réponses écrites et documentées. Un éditeur qui répond de façon précise, publie sa liste de sous-traitants et documente son hébergement vous donne les moyens de vérifier. Un éditeur évasif vous demande de lui faire confiance sans preuve, ce qui, pour des données de santé mentale, n'est pas acceptable.

En résumé, et comment aller plus loin

La souveraineté des données de santé mentale n'est ni un slogan ni une abstraction juridique. C'est le prolongement moderne du secret professionnel. Elle repose sur trois piliers qui se complètent : le RGPD, qui fixe les droits et les règles du traitement ; la certification HDS, qui garantit un hébergement habilité en France ; et le choix d'une infrastructure souveraine, qui limite l'exposition à des législations étrangères. Aucun de ces piliers ne suffit seul, et c'est leur combinaison qui protège réellement le patient.

Pour un praticien, la bonne nouvelle est qu'il n'est pas nécessaire de devenir expert en droit du numérique. Il suffit de poser les bonnes questions, d'exiger des réponses documentées et de considérer la conformité comme un critère de choix au moins aussi important que l'ergonomie ou la qualité des notes. Un outil qui prend le sujet au sérieux vous le prouvera sans détour.

C'est l'engagement que nous avons pris avec Pllume : un périmètre clinique intégralement hébergé en France chez un hébergeur certifié HDS, une anonymisation avant tout traitement, et une transparence complète sur notre chaîne de sous-traitance. Si vous voulez éprouver cette exigence sur vos propres consultations, l'essai est gratuit pendant quatorze jours et sans engagement : il suffit de demander un accès. Pour toute question précise sur notre conformité, écrivez-nous à contact@pllume.com, nous répondons nous-mêmes.

Sources et références

  • CNIL, données de santé et obligations des professionnels : cnil.fr
  • Agence du Numérique en Santé (ANS), référentiel de certification des Hébergeurs de Données de Santé (HDS) : esante.gouv.fr
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD), catégories particulières de données : eur-lex.europa.eu
  • Code de la santé publique, article L.1111-8 (hébergement des données de santé) : legifrance.gouv.fr
  • ISO/IEC 27001, systèmes de management de la sécurité de l'information : iso.org
M

Mounir Fassouane

Fondateur de Pllume

Mounir a imaginé Pllume pour sa compagne, professionnelle de la santé mentale. Chaque soir, il la voyait reprendre ses notes après une journée déjà longue, le travail se prolongeant bien après la dernière consultation. Il a voulu lui rendre ces heures, alléger sa charge mentale et lui redonner du temps en famille. C'est de cette proximité quotidienne avec le métier qu'il écrit ici. La charge documentaire, l'isolement du libéral, les exigences de conformité : tout ce qui éloigne le praticien de l'essentiel, le soin.

Restez informé

Les ressources Pllume, dans votre boîte mail

Nouveaux guides, modèles et regards cliniques sur la santé mentale. Pas de spam, désinscription en un clic.

Essayez Pllume sur une vraie consultation

Prise en main gratuite, avec un clinicien Pllume au téléphone si vous le souhaitez.

Demander mon accès