Les 37 critères du comparateur HDS

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-act-1.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-act-2.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-act-3.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-act-4.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-act-5.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-act-6.md.

Loi fédérale américaine (Public Law 104-191) qui encadre la confidentialité des données de santé aux États-Unis.

Norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Sécurité de l'Information (SMSI).

Extension d'ISO/IEC 27002 spécifique aux contrôles de sécurité applicables aux services cloud.

Code de bonnes pratiques pour la protection des informations personnellement identifiables (PII) dans le cloud public en tant que sous-traitant.

Extension d'ISO 27001 et 27002 pour la gestion de la vie privée. Aligne le SMSI sur les exigences RGPD.

Première norme internationale du système de management des systèmes d'intelligence artificielle. Cadre AI Governance.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/iso-9001.md.

Norme du Payment Card Industry Security Standards Council pour la sécurité des données de paiement par carte.

Audit indépendant américain (AICPA) sur 5 Trust Service Criteria : sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée.

Offre d'intelligence artificielle (modèles, API, services) hébergée et opérée sur infrastructure souveraine, sans dépendance à un fournisseur étranger.

Modèle de langage large (Mistral, Llama, Qwen…) déployé et exécuté sur infrastructure du fournisseur, sans appel à une API externe (OpenAI, Anthropic, Google).

Architecture RAG où l'indexation, la recherche et la génération s'effectuent dans un périmètre clos, sans envoi du contexte client vers un service externe.

Capacité d'analyse d'images, OCR de documents et compréhension visuelle exécutée sur infrastructure propre du fournisseur.

L'hébergeur publie des logos clients, témoignages ou case studies avec accord nominatif.

L'hébergeur publie ses effectifs ou ils sont récupérables depuis Pappers / Infogreffe / INSEE Sirene.

L'hébergeur documente publiquement les secteurs d'activité qu'il sert (hôpitaux, EHPAD, éditeurs de logiciels santé, biotech, recherche clinique, etc.).

L'acteur fait partie d'un groupe avec plusieurs marques opérationnelles distinctes.

L'acteur publie une page conformité accessible publiquement.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/marche-public.md.

L'hébergeur publie une grille tarifaire ou un simulateur, sans nécessité de demander un devis personnalisé pour les offres standardisées.

Label délivré par AFNOR Certification en partenariat avec cybermalveillance.gouv.fr, signal de fiabilité pour les prestataires en cybersécurité destinés aux TPE/PME.

Qualification de l'ANSSI pour les services de cloud computing offrant un niveau de sécurité et de souveraineté élevé. Référentiel v3.2.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-cert.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-ref-v1.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/hds-ref-v2.md.

Règlement UE 2022/2554 sur la résilience opérationnelle numérique du secteur financier. Concerne les hébergeurs servant des banques, assurances, fonds.

Directive UE 2022/2555 sur un niveau commun élevé de cybersécurité dans l'Union. La santé est un secteur essentiel — obligations applicables aux hébergeurs HDS.

Activité 5 HDS — administration du SI client par l'hébergeur.

Hot-line technique métier accessible aux équipes client santé.

Managed Security Service Provider : supervision 24/7 d'événements de sécurité, traitement d'incident, qualification SOC. Activité HDS 5 requise pour le périmètre santé.

Plan de Continuité d'Activité et Plan de Reprise d'Activité managés par l'hébergeur, avec RTO/RPO contractualisés et tests réguliers.

Sauvegarde dont l'intégrité est protégée par mécanisme WORM (Write-Once-Read-Many) ou stockage offline (bande LTO, air-gap physique) — protection ransomware.

Sauvegarde sur bande LTO offline en mode air-gap physique — anti-ransomware structurel.

Support technique en français 24/7, équipes physiquement en France métropolitaine.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/capital-eu.md.

Composition capitalistique 100 % détenue par des personnes physiques ou morales françaises, sans actionnaire étranger même minoritaire.

Tous les datacenters utilisés pour héberger les données client sont situés en France métropolitaine. Aucune réplication ni stockage en dehors du territoire national.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/dc-eu.md.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/cloud-act-expo.md.

Protection contractuelle ET capitalistique contre le US CLOUD Act de 2018, qui permet aux autorités américaines de réquisitionner des données détenues par des entreprises sous juridiction US.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/juridiction-fr.md.

L'hébergeur opère son propre Autonomous System Number (ASN) auprès du RIR (RIPE pour l'Europe), avec annonce BGP indépendante de ses fournisseurs.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/rpki-valid.md.

Capacité documentée à filtrer les attaques en déni de service distribué (volumétriques, applicatives) sur l'infrastructure cliente.

À enrichir éditorialement (rédaction Opus via Cowork). Voir scaffold src/content/criteres/ipv4-bloc.md.

Le site corporate de l'hébergeur résout en IPv6 (enregistrement AAAA) — signal de maîtrise opérationnelle de la couche réseau et de conformité ARCEP.

L'hébergeur est membre déclaré d'un ou plusieurs points d'échange Internet (France-IX, LyonIX, DE-CIX, LINX…) — signal de maturité d'opérateur.

Nombre de datacenters déclarés en PeeringDB pour l'AS de l'acteur — matérialité de l'infra physique.

Déploiement d'un réseau 5G privé (bande n78, n79 ou n41) sur un site client (campus industriel, hôpital, port, aéroport) avec gestion locale du cœur de réseau.

Access Point Name privé sur réseau mobile : les flux du client n'empruntent pas l'Internet public, ils transitent par un APN dédié vers son SI.

Chaîne complète terminal → connectivité privée → datacenter HDS → IA locale sans passer par Internet public à aucune étape.

Offre fibre B2B mutualisée sur infrastructure opérateur partagée.

Capacité à délivrer une fibre optique dédiée à un seul client (fibre « noire ») ou un lien dédié garanti, sans partage de bande passante.

Offre de cartes SIM machine-to-machine destinées aux objets connectés, capteurs, terminaux IoT avec connectivité contrôlée par le client.

Le groupe possède un opérateur télécom licencié ARCEP en propre.

Le groupe propriétaire de l'hébergeur exploite également une ou plusieurs marques opérateurs télécom déclarés à l'ARCEP (fibre, mobile, M2M).

Capacité de provisionner des profils SIM dématérialisés (Embedded SIM) directement dans le terminal, sans carte physique.