Pourquoi vos données ne peuvent pas être hébergées n'importe où. La loi française impose aux cabinets dentaires un hébergeur HDS certifié. Google Drive, Dropbox, DocuSign génériques, AWS ou Azure non-HDS sont exclus — et les sanctions ne sont pas théoriques.
Un cabinet dentaire ne peut pas stocker ses devis nominatifs, consentements signés, ou dossiers patients sur un cloud grand public. La loi exige un Hébergeur de Données de Santé (HDS) certifié — une qualification qui s'obtient après audit complet et qui se renouvelle tous les trois ans. Les sanctions en cas d'infraction sont pénales (jusqu'à trois ans de prison), administratives (4 % du chiffre d'affaires), et réputationnelles.
Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données, ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.Version consolidée · en vigueur
Hébergeur HDS vs cloud générique.
Vingt ans de durcissement réglementaire.
Première loi consacrant les droits du patient sur ses données de santé (4 mars 2002).
Création de l'agrément HDS, premier cadre juridique dédié à l'hébergement des données de santé.
L'agrément devient certification, avec audit par organismes accrédités COFRAC et renouvellement triennal.
Sanctions administratives portées à 4 % du CA mondial ou 20 M€. La CNIL prend le relais.
La CNIL et l'ANSSI intensifient les contrôles suite aux cyberattaques récentes sur les cabinets de santé.
Trois types de sanctions, dont deux cumulables.
Article L.1115-1 CSP. Pour l'hébergeur non-conforme — mais le cabinet peut être mis en cause pour complicité ou manquement à son obligation de diligence.
Prononcé par la CNIL. Pour défaut de sécurité des données personnelles de santé — dont l'hébergement non-HDS constitue un cas explicite.
La CNIL publie ses décisions. Le nom du cabinet sanctionné est accessible en recherche web, affectant durablement la confiance patients et confrères.
Comment vérifier un prestataire ?
La mention « hébergé en France » ne suffit pas. Elle ne dit rien du statut HDS du prestataire. Un hébergeur français peut très bien ne pas être HDS, comme un datacenter en France peut appartenir à une société non-HDS. Ce qui compte, c'est la certification HDS en cours de validité sur les activités utilisées.
Le contrat de sous-traitance (Data Processing Agreement, DPA) au titre de l'article 28 du RGPD doit mentionner explicitement le statut HDS de l'hébergeur et son engagement à maintenir la certification. Sans cette mention, le cabinet ne peut pas prouver sa diligence en cas de contrôle.
Le référentiel HDS définit six activités distinctes : mise à disposition d'infrastructure, hébergement d'applications, sauvegarde, administration des systèmes, maintenance applicative, archivage. Un prestataire peut être certifié pour certaines activités et pas d'autres. Vérifier la couverture réelle du périmètre utilisé par le cabinet.
Questions fréquentes.
Qu'est-ce qu'un hébergeur HDS, concrètement ?
HDS signifie Hébergeur de Données de Santé. C'est une certification imposée par l'article L.1111-8 du Code de la santé publique à tout prestataire qui héberge des données personnelles de santé pour le compte d'un professionnel ou établissement de santé français.
La certification est délivrée par un organisme accrédité par le COFRAC après audit complet de la sécurité physique, logique, organisationnelle et réglementaire de l'hébergeur. Elle se renouvelle tous les trois ans.
Un cabinet dentaire a-t-il le droit d'utiliser Google Drive ou Dropbox pour ses devis patients ?
Non, à partir du moment où ces documents contiennent des données nominatives de santé (nom du patient, acte envisagé, diagnostic implicite ou explicite).
Google Drive et Dropbox sont des services généralistes américains, non certifiés HDS. Leur utilisation pour stocker des données de santé françaises constitue une infraction à l'article L.1111-8 CSP et expose le cabinet à des sanctions de la CNIL (jusqu'à 4 % du chiffre d'affaires au titre du RGPD).
La signature d'un devis via DocuSign ou Yousign générique est-elle légale ?
La signature elle-même est conforme eIDAS, oui.
Mais si la plateforme de signature héberge le document signé sur une infrastructure non-HDS (ce qui est le cas de la plupart des plateformes américaines généralistes), le cabinet dentaire est en infraction avec l'obligation d'hébergement HDS des données de santé. Il faut soit une plateforme certifiée HDS, soit exporter immédiatement le document signé vers un hébergeur HDS après signature.
DentiClaire est-il certifié HDS ?
DentiClaire est hébergé sur Scalingo, hébergeur certifié HDS depuis 2018, avec datacenters en France. L'intégralité des données patients, devis, signatures, certificats et pièces jointes sont stockées sur cette infrastructure.
Le contrat de sous-traitance (DPA, article 28 RGPD) signé entre le cabinet et DentiClaire mentionne explicitement l'hébergeur HDS et ses obligations.
Quelles sont les sanctions en cas d'hébergement non-HDS ?
Trois niveaux cumulables.
Pénal : l'article L.1115-1 du Code de la santé publique prévoit jusqu'à trois ans d'emprisonnement et 45 000 € d'amende pour l'hébergeur non-conforme.
Administratif (RGPD) : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, prononcé par la CNIL.
Réputationnel : la CNIL publie ses décisions de sanction, ce qui expose durablement le cabinet à la perte de confiance des patients et des confrères.
Comment vérifier qu'un prestataire est vraiment HDS ?
Trois vérifications :
Un. Demander le certificat HDS en cours de validité (valide trois ans, délivré par un organisme accrédité COFRAC comme LNE, Bureau Veritas, AFNOR).
Deux. Vérifier que le certificat couvre bien les activités d'hébergement utilisées (il existe six activités HDS distinctes dans le référentiel — mise à disposition d'infrastructure, hébergement d'applications, sauvegardes, administration, maintenance, archivage).
Trois. Exiger un DPA (Data Processing Agreement) mentionnant explicitement le statut HDS et l'engagement du prestataire à maintenir la certification.
Héberger vos données
là où la loi l'exige.
DentiClaire est hébergé Scalingo HDS depuis sa création. DPA signable sous Art. 28 RGPD, datacenters France, certification vérifiable.
Démarrer l'essai gratuit Essai 14 j sans CB · DPA disponible à la demande · [email protected]