Pendant longtemps, la souveraineté numérique relevait du débat stratégique. Elle est aujourd’hui une obligation de gestion. Pour les directeurs d’établissements, DAF, DSI et RSSI, le sujet a changé de nature : ce n’est plus une question de positionnement politique, mais d’exposition directe aux risques juridiques, opérationnels et réputationnels.
Trois facteurs ont accéléré cette bascule. D’abord, la montée en puissance du Cloud Act américain, qui permet aux autorités américaines d’accéder aux données hébergées par n’importe quelle entreprise soumise au droit américain — quel que soit le pays d’hébergement physique. Ensuite, la multiplication des cyberattaques ciblant les établissements de santé, dont les données figurent parmi les plus sensibles et les plus monnayables. Enfin, le durcissement réglementaire : avec le décret du 24 mars 2026 et la convergence annoncée entre HDS et SecNumCloud, l’État envoie un signal sans ambiguïté. Les établissements qui n’anticipent pas cette trajectoire s’exposent à une mise en conformité contrainte, coûteuse et potentiellement déstabilisatrice pour la continuité des soins.
En mars 2026, le décret n°2026-209 du 24 mars 2026 a modifié le cadre applicable à l’hébergement de données de santé à caractère personnel. Ce texte marque un tournant pour les directions d’établissements de santé, les DSI et les RSSI : la souveraineté des données n’est plus un concept abstrait, c’est une obligation réglementaire précise. Pour les structures qui gèrent quotidiennement des dossiers médicaux, des résultats d’analyses et des données administratives sensibles, la question n’est plus de savoir si elles doivent opter pour un hébergement souverain pour les établissements de santé, mais comment le mettre en œuvre efficacement.
Le contexte réglementaire s’accélère. L’État a acté une migration directe vers un hébergement pleinement souverain et qualifié SecNumCloud pour la Plateforme des données de santé (Health Data Hub), avec une bascule annoncée d’ici à la fin 2026. Ce signal fort confirme une trajectoire claire : les données de santé doivent être hébergées dans un cadre juridique qui les protège de toute ingérence extra-européenne. Voici ce que vous devez savoir pour anticiper ces évolutions et sécuriser votre système d’information.
Qu’est-ce qu’un hébergement souverain dans le secteur de la santé ?
Un hébergement souverain désigne une infrastructure de stockage et de traitement des données opérée exclusivement sous juridiction française ou européenne. Concrètement, cela signifie que vos données ne quittent jamais le territoire de l’Union européenne, que l’hébergeur n’est soumis à aucune loi extraterritoriale (comme le Cloud Act américain) et que l’ensemble de la chaîne technique est administrée par des équipes localisées en France.
Pour le secteur de la santé, cette exigence prend une dimension particulière. Le référentiel de certification HDS s’appuie sur la norme ISO 27001, complétée par des exigences spécifiques au numérique en santé, notamment des exigences concourant à la souveraineté imposant un stockage des données de santé au sein de l’Espace Économique Européen et une totale transparence sur le risque d’accès aux données en raison de lois extra-européennes.
Ne confondez pas localisation et souveraineté. Un datacenter situé en France mais opéré par un acteur soumis au droit américain ne garantit pas la souveraineté de vos données. Le Cloud Act permet en effet aux autorités américaines d’exiger l’accès aux données détenues par des entreprises américaines, quel que soit le pays d’hébergement.
Un cadre réglementaire qui se durcit en 2026
L’année 2026 marque une accélération majeure du cadre juridique applicable aux données de santé en France. Le décret n°2026-209 du 24 mars 2026, pris en application de l’article 32 de la loi SREN du 21 mai 2024, renforce significativement les exigences pesant sur les hébergeurs et les responsables de traitement. Trois axes structurent ce renforcement.
La territorialité du stockage est désormais verrouillée. Le décret verrouille la localisation du stockage dans l’UE/EEE, encadre plus explicitement les accès distants depuis les pays tiers et renforce le rôle du contrat HDS en vecteur de transparence.
La transparence contractuelle devient une obligation renforcée. Il est imposé à l’hébergeur de rendre publique et de mettre à jour une cartographie des transferts de données de santé vers des États non membres de l’UE/EEE, des accès distants éventuels à ces données, ainsi que des risques d’accès non autorisés.
La convergence HDS et SecNumCloud est officiellement soutenue par les autorités. La CNIL réitère son soutien à l’objectif annoncé par le ministère de faire converger les exigences de la certification HDS avec celles prévues par la qualification SecNumCloud, comme le précise la délibération n°2025-098 publiée au Journal officiel.
Pour les établissements de santé, ces évolutions impliquent de vérifier la conformité de votre hébergeur actuel et, si nécessaire, d’engager une transition vers une solution pleinement conforme. Découvrez les critères de certification HDS pour un hébergement souverain afin d’évaluer votre situation.
Health Data Hub : un cas d’école pour la souveraineté des données de santé
Le parcours du Health Data Hub illustre parfaitement les tensions entre ambition souveraine et réalité technique. Le choix en 2019 du recours à des solutions d’hébergement soumises à des législations extra-européennes (Microsoft Azure) avait fragilisé la confiance et freiné le développement de la plateforme.
En mars 2026, le Conseil d’État a refusé d’annuler l’autorisation accordée au Health Data Hub, délivrée par la CNIL pour trois ans, concernant l’exploitation de données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies en France. Selon une analyse publiée par Acuité en mars 2026, l’État affiche une volonté de rupture avec les solutions extra-européennes, mais valide un montage qui repose encore sur ces acteurs. Deux temporalités coexistent : celle du droit positif et celle de la stratégie industrielle, qui vise une autonomie future.
La leçon pour les DSI est claire : ne pas attendre la bascule totale du Health Data Hub pour agir. Le choix d’une trajectoire claire vers un hébergement souverain pleinement opérationnel constitue une avancée que chaque établissement peut anticiper dès maintenant.
Les risques concrets d’un hébergement non souverain
Quels sont les dangers réels pour un établissement de santé qui s’appuie sur un hébergeur non souverain ? Ils se situent à trois niveaux : juridique, opérationnel et réputationnel.
Le risque juridique est le plus immédiat. Le Cloud Act américain autorise les autorités des États-Unis à exiger l’accès aux données détenues par des entreprises américaines. Même si vos données sont physiquement stockées en France, elles restent exposées si votre hébergeur est une filiale d’un groupe américain. Le Health Data Hub s’appuie sur Microsoft Ireland Operations, filiale d’un groupe soumis au droit américain. Le Conseil d’État reconnaît que certaines données pourraient transiter vers des administrateurs situés aux États-Unis.
Le risque opérationnel concerne la continuité des soins. Un bloc opératoire, un service d’urgences ou un laboratoire dépendent de systèmes numériques disponibles en permanence. Un hébergeur dont les équipes d’administration sont situées à l’étranger présente un risque supplémentaire en cas de crise géopolitique ou de sanctions internationales.
Le risque réputationnel est croissant. La Cour des comptes a livré, dans un rapport publié le 31 octobre 2025, un diagnostic sans concession sur la souveraineté numérique des systèmes d’information civils de l’État. Malgré une ambition affichée depuis plusieurs années, la souveraineté numérique de l’État reste fragile ; plusieurs ministères continuent d’utiliser des solutions informatiques extra-européennes, y compris pour des données sensibles. Les patients et les tutelles attendent des établissements de santé un niveau d’exigence exemplaire.
Les critères pour choisir un hébergeur véritablement souverain
Face à la multiplication des offres se présentant comme « souveraines », comment distinguer une solution réellement conforme ? Voici les critères essentiels à vérifier.
Certification HDS et ISO 27001
La certification HDS est délivrée par un organisme certificateur accrédité par le COFRAC, accordée pour une période de trois ans, avec un audit de surveillance réalisé chaque année. Vérifiez que votre hébergeur dispose de cette certification active et à jour, complétée par la norme ISO 27001 qui structure le management de la sécurité de l’information.
Gouvernance et capital de l’hébergeur
La localisation des serveurs ne suffit pas. Vous devez vous assurer que la société qui opère l’infrastructure est de droit français ou européen, sans actionnaire majoritaire soumis à une législation extraterritoriale. Un capital 100 % français ou européen constitue la meilleure garantie contre le risque d’accès non autorisé par un État tiers.
Localisation exclusive dans l’UE/EEE
Le nouveau référentiel HDS exige que l’hébergement physique des données de santé soit réalisé exclusivement sur le territoire d’un pays situé au sein de l’Espace Économique Européen. Cette exigence s’étend aux sauvegardes et aux sites de reprise d’activité.
Transparence sur les accès distants
Exigez de votre hébergeur une cartographie complète des accès distants. Dans l’hypothèse où la prestation impliquerait un accès à distance depuis un État tiers, cet accès doit nécessairement être fondé sur une décision d’adéquation de la Commission européenne ou sur les garanties appropriées prévues par l’article 46 du RGPD.
Plans de continuité et de reprise d’activité
Un hébergeur souverain de confiance doit proposer des PCA et PRA documentés, testés régulièrement et opérés depuis la France. La continuité des soins en dépend directement. Le SOC (Security Operations Center) et le NOC (Network Operations Center) doivent être localisés sur le territoire national.
Cloud mutualisé, cloud dédié, on-premise : quelle option pour votre établissement ?
Ces trois modes d’hébergement répondent à des profils de risque et des capacités internes très différents. Voici comment les distinguer.
Le cloud mutualisé repose sur des infrastructures partagées entre plusieurs clients. Les ressources (serveurs, stockage, réseau) sont virtualisées et réparties dynamiquement. C’est la solution la plus accessible financièrement et la plus rapide à déployer. Pour les établissements de taille moyenne, c’est souvent le bon point d’entrée — à condition que l’hébergeur soit certifié HDS et que la mutualisation n’implique aucun acteur soumis à une juridiction extra-européenne.
Le cloud dédié garantit que les ressources physiques sont exclusivement allouées à votre établissement. Aucune donnée ne coexiste avec celles d’un autre client sur le même matériel. Ce niveau d’isolation est particulièrement recommandé pour les CHU, les GHT ou les établissements traitant des volumes importants de données sensibles. Il offre également une meilleure prévisibilité des performances pour les applications critiques (imagerie médicale, DPI).
L’hébergement on-premise consiste à opérer votre propre infrastructure en interne. Il offre le contrôle maximal mais exige des ressources humaines, techniques et financières importantes : maintenance matérielle, mises à jour de sécurité, PCA/PRA, supervision 24/7. Dans le contexte actuel de pénurie de compétences IT en santé et de menace cyber croissante, ce modèle est de plus en plus difficile à maintenir seul pour la plupart des établissements.
Le bon choix dépend de votre taille, de votre maturité numérique et de vos contraintes budgétaires. Une approche hybride — combinant cloud dédié souverain pour les données les plus sensibles et cloud mutualisé pour les usages moins critiques — est souvent la plus adaptée.
Programme CaRE et financement de la transition
La transition vers un hébergement conforme représente un investissement significatif. Le programme CaRE accompagne les établissements de santé dans cette démarche. En 2026, la pratique de dédier une part du budget général au numérique est à poursuivre pour poser les bases d’un financement pérenne, notamment de la cybersécurité, afin de maintenir le niveau atteint par les établissements dans le cadre du programme CaRE. L’accélération des efforts en cybersécurité est aussi soutenue par les Centres Régionaux de Ressources Cyber, dont la création a été financée par le programme CaRE en 2024, selon la doctrine numérique santé publiée par l’Agence du numérique en santé.
Les 18 centres régionaux accompagnent les établissements de santé et médico-sociaux avec des services adaptés : sensibilisation, ressources en cas de cyberattaque, mutualisation de sauvegardes, accompagnement au diagnostic et à la réalisation d’exercices de crise. Si vous êtes candidat au programme CaRE, nous proposons un accompagnement dédié, de la candidature à la mise en œuvre, pour vous aider à structurer votre projet d’hébergement souverain open source.
Comparatif : hébergement souverain vs hébergement classique pour la santé
Critère | Hébergement souverain HDS (ex. : GPLExpert) | Hébergement cloud classique (acteurs extra-européens) |
|---|---|---|
Juridiction applicable | Droit français et européen exclusivement | Soumis au Cloud Act ou équivalent |
Certification HDS | Oui, avec audit annuel COFRAC | Variable, souvent absente |
Certification ISO 27001 | Oui | Variable |
Localisation des données | France / UE-EEE exclusivement | Multizone, transferts possibles hors UE |
Cartographie des accès distants | Publiée et mise à jour | Rarement transparente |
PCA / PRA opérés en France | Oui, testés régulièrement | Sites de reprise potentiellement hors UE |
SOC / NOC localisés en France | Oui | Souvent externalisés hors territoire |
Conformité programme CaRE | Accompagnement intégré | Non pris en charge |
Pourquoi choisir gplexpert comme partenaire d’hébergement souverain ?
Parce que la conformité ne se résume pas à une case cochée sur un appel d’offres. GPLExpert est un hébergeur certifié HDS et ISO 27001, dont le capital, les équipes et les infrastructures sont intégralement localisés en France. Cela signifie concrètement : aucune dépendance à une législation extraterritoriale, des accès d’administration exclusivement depuis le territoire national, et une cartographie des transferts de données publiée et tenue à jour conformément aux nouvelles exigences du décret de mars 2026.
Au-delà de la conformité, gplexpert accompagne les établissements de santé sur l’ensemble du cycle de vie de leur projet numérique : audit de sécurité, tests d’intrusion, migration progressive des applications critiques, supervision continue via un SOC et un NOC opérés en France. Pour les structures engagées dans le programme CaRE, un accompagnement dédié est proposé, de la constitution du dossier jusqu’à la mise en production. Choisir gplexpert, c’est choisir un partenaire qui connaît les contraintes opérationnelles des DSI et RSSI de santé — et qui en fait son cœur de métier.
Comment réussir votre migration vers un hébergement souverain
Comment intégrer une stratégie cloud souveraine dans son système d’information ?
La souveraineté ne se décrète pas : elle se construit par couches, en alignant gouvernance, choix techniques et conduite du changement. Pour les DSI et RSSI d’établissements de santé, cela suppose d’abord de sortir d’une logique d’hébergement application par application, pour adopter une vision cohérente à l’échelle du SI.
Concrètement, cela implique quatre niveaux d’action. Sur le plan stratégique, formaliser une politique de classification des données qui distingue ce qui peut rester dans un cloud mutualisé de ce qui doit impérativement relever d’un hébergement souverain dédié. Sur le plan contractuel, réviser l’ensemble des contrats d’hébergement à l’aune des nouvelles exigences du décret de mars 2026 : territorialité, cartographie des accès, clauses de transparence. Sur le plan technique, planifier la migration par criticité applicative, en commençant par le DPI, l’imagerie et les systèmes de laboratoire avec des phases de tests avant chaque bascule. Sur le plan humain, associer les équipes métiers dès le départ : une stratégie cloud souveraine qui n’embarque pas les utilisateurs finaux est une stratégie à risque.
L’objectif n’est pas la perfection immédiate, mais une trajectoire documentée, pilotable et vérifiable par vos tutelles. C’est aussi ce que demande implicitement le régulateur.
La transition ne s’improvise pas. Elle exige une méthodologie rigoureuse pour éviter toute interruption de service et garantir la conformité à chaque étape.
Cartographier votre SI existant
Identifiez toutes les applications, bases de données et flux de données qui traitent des informations de santé à caractère personnel. La Cour des comptes recommande de réaliser dès 2026 une cartographie complète des données sensibles devant relever du cloud souverain. Cette recommandation s’applique aussi bien aux administrations qu’aux établissements de santé.
Évaluer les risques de dépendance
Analysez vos contrats actuels. Votre hébergeur est-il soumis à une législation extraterritoriale ? Ses sous-traitants sont-ils localisés dans l’UE/EEE ? Les accès d’administration sont-ils tous réalisés depuis la France ? Chaque point de faiblesse identifié doit être documenté dans votre registre des traitements.
Planifier une migration progressive
Privilégiez une approche par lots, en commençant par les applications les plus critiques (dossier patient informatisé, imagerie médicale, laboratoire). Prévoyez des phases de tests et de validation avant chaque bascule. Si vous souhaitez structurer cette démarche, découvrez comment migrer vers un hébergement souverain avec un accompagnement dédié aux établissements de santé.
Former et sensibiliser vos équipes
La réussite de la migration repose aussi sur l’adhésion des équipes métiers. Organisez des sessions de sensibilisation sur les enjeux de la souveraineté numérique et les nouvelles procédures. Les Centres Régionaux de Ressources Cyber peuvent vous accompagner dans cette démarche de formation.
En tant qu’hébergeur certifié HDS et ISO 27001, nous accompagnons les établissements de santé à chaque étape de leur transformation numérique : audit de sécurité, tests d’intrusion, mise en conformité et supervision continue via nos services managés SOC et NOC.
Le décret du 24 mars 2026 ne laisse plus de place à l’ambiguïté : la souveraineté des données de santé est une obligation structurante. Chaque mois de retard augmente votre exposition aux risques juridiques et opérationnels. En choisissant un partenaire qui maîtrise l’ensemble de la chaîne, de la certification à la supervision quotidienne, vous sécurisez durablement la continuité des soins et la confiance de vos patients. Pour évaluer votre situation et engager votre transition, consultez notre offre d’hébergement de données de santé certifié HDS.
FAQ – Intégrateur Proxmox
Quelle est la différence entre certification HDS et qualification SecNumCloud ?
La certification HDS est obligatoire pour tout hébergeur de données de santé en France. La qualification SecNumCloud, délivrée par l’ANSSI, atteste d’un niveau de sécurité supérieur et d’une immunité aux lois extra-européennes. La convergence entre les deux référentiels est en cours, ce qui renforce progressivement les exigences pour tous les hébergeurs de données de santé.
Le décret de mars 2026 s'applique-t-il immédiatement à mon établissement ?
Le décret n°2026-209 est entré en vigueur le 27 mars 2026. Certaines dispositions, notamment celles relatives à la territorialité du stockage et au renforcement des clauses contractuelles, bénéficient de délais de mise en conformité. Il est recommandé de vérifier dès maintenant vos contrats d’hébergement avec votre prestataire.
Comment financer la migration vers un hébergement souverain ?
Le programme CaRE constitue un levier de financement majeur pour les établissements de santé. Il couvre notamment les investissements en cybersécurité et en infrastructures numériques. Nous accompagnons les structures candidates au programme CaRE, de la constitution du dossier à la mise en œuvre opérationnelle de la migration.
Vous pourriez également être intéressé par les articles suivants :
La transformation numérique concerne aujourd’hui l’ensemble des établissements de santé. Dossiers patients informatisés, imagerie médicale, plateformes de coordination, outils de pilotage… le système d’information est devenu un pilier central des activités médicales et administratives.
Les données de santé requièrent un niveau de protection et de sécurité élevé. Leur traitement doit se conformer aux normes et réglementations en vigueur. RGPD (Règlement général sur la protection des données), ISO 27001, référentiel, organisme certificateur, comment tout savoir sur l’hébergement des données de santé ou HDS ?
Ce cadre réglementaire est essentiel pour les acteurs du secteur de la santé. Il fixe les conditions que les hébergeurs doivent respecter pour garantir la confidentialité, l’intégrité et la disponibilité des données sensibles. C’est pourquoi il est essentiel de savoir comment choisir son hébergeur de données de santé. Revenons sur l’essentiel à connaître de la nouvelle version du référentiel HDS.