10 questions structurantes pour bien choisir son hébergeur HDS. Réponses factuelles et sourcées.
Qu'est-ce qu'un hébergeur HDS exactement ?
Un hébergeur HDS (Hébergeur de Données de Santé) est un opérateur dont l'activité d'hébergement de données de santé à caractère personnel est certifiée conforme au référentiel ANS (Agence du Numérique en Santé). Cette certification est obligatoire en France pour toute structure qui héberge des données de santé identifiantes pour le compte de tiers (article L.1111-8 du Code de la santé publique). Le référentiel HDS couvre 6 activités distinctes : mise à disposition de matériel (1), mise à disposition de systèmes virtuels (2), mise à disposition d'applicatifs (3), administration des SI (4), sauvegarde externalisée (5), archivage (6).
Combien y a-t-il d'hébergeurs HDS certifiés en France ?
À 2026-05-13, la liste officielle ANS référence environ 125-150 hébergeurs certifiés HDS en France. La liste est tenue à jour publiquement sur esante.gouv.fr/offres-services/hds/liste-des-hebergeurs-certifies. Le nombre fluctue régulièrement avec les renouvellements (cycle 3 ans) et nouvelles entrées.
Tous les hébergeurs HDS sont-ils équivalents ?
Non. La certification HDS est un socle commun, mais les hébergeurs diffèrent fortement sur : le scope d'activités (1-6, certains couvrent toutes les activités, d'autres seulement quelques-unes), les certifications complémentaires (ISO 27001, SecNumCloud, ExpertCyber, etc.), la souveraineté juridique (capital français vs international, exposition Cloud Act US), l'intégration télécom (très rare), l'offre IA souveraine (en émergence), le positionnement marché (grands comptes, PME, public, privé). Ce comparateur évalue 29 critères factuels pour vous aider à choisir.
Quelle est la différence entre HDS et SecNumCloud ?
HDS (Hébergeur de Données de Santé) est une certification métier spécifique au secteur santé (référentiel ANS, droit français). SecNumCloud est une qualification ANSSI pour le cloud souverain français, plus large (tous secteurs sensibles). SecNumCloud est plus exigeante sur la souveraineté juridique (immunité aux lois extraterritoriales comme le Cloud Act US, donc disqualifie les hyperscalers américains) et sur le personnel (clearances). Un hébergeur peut être HDS sans être SecNumCloud (la plupart des HDS), ou les deux (Outscale, Cloud Temple, OVHcloud partiellement).
Le Cloud Act US s'applique-t-il à AWS / Azure / GCP en France ?
Oui. Le Cloud Act (Public Law 115-141, 2018) permet aux autorités américaines de demander aux entreprises sous juridiction US (incluant AWS, Microsoft, Google) la communication de données qu'elles détiennent à l'étranger. Même si vos données sont physiquement en France (région eu-west-3, etc.), l'entité contractante US peut être contrainte. Pour les acteurs santé/défense exigeant souveraineté juridique stricte, c'est rédhibitoire. C'est ce qui motive l'existence de Numspot, Cloud Temple, Outscale, Guardis.fr, etc.
Mes données de santé sont-elles à l'abri si je choisis un hébergeur HDS français à capital français ?
C'est une condition nécessaire mais pas suffisante. À vérifier également : (a) capital 100% français pur sans actionnariat extra-européen significatif, (b) droit français exclusif au contrat, (c) personnel français habilité, (d) absence de filiale dans une juridiction problématique (US, Chine, etc.) qui pourrait contraindre la maison-mère. Pour la couche réseau, vérifier également l'absence de transit par des réseaux extra-européens. La chaîne air-gap end-to-end (cloud + télécom intégré privé) est la garantie la plus forte.
L'IA souveraine est-elle obligatoire pour les acteurs santé ?
Non, mais elle devient un sujet majeur. Si vous voulez exploiter l'IA (RAG sur dossiers patients, analyse de comptes-rendus, OCR, aide à la décision) sans envoyer vos données à OpenAI/Anthropic/Google, il vous faut une IA souveraine : LLM open source auto-hébergé en France sur cloud français. Plusieurs hébergeurs HDS proposent désormais des bundles cloud HDS + IA souveraine : OVHcloud (AI Endpoints), Outscale (× Mistral), Scaleway (AI), Guardis.fr (Qwen on-premise), etc. Avec l'AI Act (UE 2024/1689) qui entre en application progressive, la maîtrise du modèle utilisé devient une exigence de gouvernance.
Combien coûte un hébergement HDS ?
Selon le profil d'usage. Indications : (a) hébergement mutualisé Public Cloud pour startup santé : à partir de 50-300 €/mois selon volume (OVHcloud, Scaleway). (b) Hébergement dédié pour éditeur SaaS santé : 1 000-10 000 €/mois selon scale (OVHcloud, AWS, Outscale). (c) Hébergement managé sur-mesure pour hôpital ou collectivité : à partir de 5 000-50 000 €/mois selon SLA et services. (d) Solutions sur-devis (Docaposte, Numspot, Cloud Temple, Guardis.fr) : variable selon scope. La tarification publique est rare sur le marché HDS — OVHcloud, Scaleway, AWS sont les plus transparents.
Comment changer d'hébergeur HDS sans interrompre la production ?
C'est un projet à part entière, généralement 3 à 12 mois selon volume et complexité. Étapes : (1) audit complet de l'existant (architecture, dépendances, volumétrie), (2) sélection du nouvel hébergeur (RFI, RFP, POC), (3) plan de migration (synchronisation données, bascule applicative, fenêtres maintenance), (4) tests, (5) bascule contrôlée, (6) décommissionnement ancien hébergeur. Un MSSP / intégrateur expérimenté est souvent indispensable. Plusieurs hébergeurs HDS proposent des accompagnements migration.
Qui édite ce comparateur ? Est-il vraiment indépendant ?
Ce comparateur est édité par Hasgard SARL, qui appartient au même groupe industriel que Guardis.fr (hébergeur HDS listé dans le comparateur). Nous appliquons une démarche éditoriale stricte : (a) Guardis.fr est évalué avec les mêmes critères que les autres acteurs, (b) ses limites observées sont explicitement listées, (c) les profils utilisateurs où Guardis.fr n'est PAS le bon choix sont documentés ouvertement, (d) toutes les sources sont vérifiables publiquement (ANS, ANSSI, sites corporate, Pappers, etc.). Si vous identifiez un biais factuel, signalez-le via la procédure bug bounty méthodologique — nous corrigeons sous 15 jours.