DentiClaire
Dossier· No 04· Réglementaire
Hébergement Ce que l'article L.1111-8 du CSP impose aux cabinets dentaires

Pourquoi vos données ne peuvent pas être hébergées n'importe où. La loi française impose aux cabinets dentaires un hébergeur HDS certifié. Google Drive, Dropbox, DocuSign génériques, AWS ou Azure non-HDS sont exclus — et les sanctions ne sont pas théoriques.

Lecture 8 min Cadre : Art. L.1111-8 · Art. L.1115-1 CSP · RGPD Mise à jour avril 2026
En bref

Un cabinet dentaire ne peut pas stocker ses devis nominatifs, consentements signés, ou dossiers patients sur un cloud grand public. La loi exige un Hébergeur de Données de Santé (HDS) certifié — une qualification qui s'obtient après audit complet et qui se renouvelle tous les trois ans. Les sanctions en cas d'infraction sont pénales (jusqu'à trois ans de prison), administratives (4 % du chiffre d'affaires), et réputationnelles.

Article L.1111-8 · Code de la santé publique
Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil desdites données, ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.
Version consolidée · en vigueur
01 → 06 · ce qui change entre les deux

Hébergeur HDS vs cloud générique.

Critère
Cloud générique (Google Drive, Dropbox, AWS/Azure non-HDS, DocuSign générique…)
Hébergeur HDS certifié
Certification HDS
AbsentePas d'audit sectoriel santé, pas de renouvellement triennal.
OuiCertificat délivré par organisme accrédité COFRAC (LNE, Bureau Veritas, AFNOR), renouvelé tous les trois ans.
Localisation des serveurs
Souvent États-UnisSoumis au CLOUD Act américain — accès des autorités US possible sans notification.
FranceDatacenters sur sol français, soumis au RGPD et à la législation française uniquement.
Conformité article L.1111-8 CSP
InfractionUtiliser un cloud non-HDS pour des données nominatives de santé est une violation de la loi française.
ConformeCondition nécessaire pour héberger légalement des données de santé pour le compte d'un professionnel de santé français.
Accord de sous-traitance (DPA)
GénériqueContrat standard non spécifique aux données de santé, sans engagement HDS.
SpécifiqueDPA mentionnant explicitement le statut HDS de l'hébergeur et ses obligations (Art. 28 RGPD).
Sanctions possibles en cas de contrôle
LourdesPénal (Art. L.1115-1 CSP) + amende RGPD jusqu'à 4 % du CA mondial + publication CNIL.
AucuneL'usage d'un HDS certifié constitue la preuve de diligence attendue par la CNIL et le juge.
Surcoût typique vs cloud grand public
ApparentCloud grand public souvent moins cher — mais inutilisable légalement pour des données de santé.
ModéréUn hébergement HDS coûte 10 à 30 % de plus qu'un cloud grand public équivalent — un ordre de grandeur inférieur à n'importe quelle sanction.
Comparatif réglementaire — les prestataires ne sont pas nommés individuellement car les périmètres varient selon les offres et versions.
§ 02 · Chronologie

Vingt ans de durcissement réglementaire.

2002
Loi Kouchner

Première loi consacrant les droits du patient sur ses données de santé (4 mars 2002).

2006
Décret HDS initial

Création de l'agrément HDS, premier cadre juridique dédié à l'hébergement des données de santé.

2018
Certification HDS

L'agrément devient certification, avec audit par organismes accrédités COFRAC et renouvellement triennal.

2018
RGPD

Sanctions administratives portées à 4 % du CA mondial ou 20 M€. La CNIL prend le relais.

2024 +
Contrôles accrus

La CNIL et l'ANSSI intensifient les contrôles suite aux cyberattaques récentes sur les cabinets de santé.

§ 03 · Sanctions

Trois types de sanctions, dont deux cumulables.

Pénal
45 000 €+ 3 ans de prison

Article L.1115-1 CSP. Pour l'hébergeur non-conforme — mais le cabinet peut être mis en cause pour complicité ou manquement à son obligation de diligence.

Administratif (RGPD)
4 %du CA mondial (ou 20 M€)

Prononcé par la CNIL. Pour défaut de sécurité des données personnelles de santé — dont l'hébergement non-HDS constitue un cas explicite.

Réputationnel
Publicdécision CNIL affichée

La CNIL publie ses décisions. Le nom du cabinet sanctionné est accessible en recherche web, affectant durablement la confiance patients et confrères.

§ 04 · Pratique

Comment vérifier un prestataire ?

La mention « hébergé en France » ne suffit pas. Elle ne dit rien du statut HDS du prestataire. Un hébergeur français peut très bien ne pas être HDS, comme un datacenter en France peut appartenir à une société non-HDS. Ce qui compte, c'est la certification HDS en cours de validité sur les activités utilisées.

Le contrat de sous-traitance (Data Processing Agreement, DPA) au titre de l'article 28 du RGPD doit mentionner explicitement le statut HDS de l'hébergeur et son engagement à maintenir la certification. Sans cette mention, le cabinet ne peut pas prouver sa diligence en cas de contrôle.

Le référentiel HDS définit six activités distinctes : mise à disposition d'infrastructure, hébergement d'applications, sauvegarde, administration des systèmes, maintenance applicative, archivage. Un prestataire peut être certifié pour certaines activités et pas d'autres. Vérifier la couverture réelle du périmètre utilisé par le cabinet.

§ 05 · FAQ

Questions fréquentes.

Qu'est-ce qu'un hébergeur HDS, concrètement ?

HDS signifie Hébergeur de Données de Santé. C'est une certification imposée par l'article L.1111-8 du Code de la santé publique à tout prestataire qui héberge des données personnelles de santé pour le compte d'un professionnel ou établissement de santé français.

La certification est délivrée par un organisme accrédité par le COFRAC après audit complet de la sécurité physique, logique, organisationnelle et réglementaire de l'hébergeur. Elle se renouvelle tous les trois ans.

Un cabinet dentaire a-t-il le droit d'utiliser Google Drive ou Dropbox pour ses devis patients ?

Non, à partir du moment où ces documents contiennent des données nominatives de santé (nom du patient, acte envisagé, diagnostic implicite ou explicite).

Google Drive et Dropbox sont des services généralistes américains, non certifiés HDS. Leur utilisation pour stocker des données de santé françaises constitue une infraction à l'article L.1111-8 CSP et expose le cabinet à des sanctions de la CNIL (jusqu'à 4 % du chiffre d'affaires au titre du RGPD).

La signature d'un devis via DocuSign ou Yousign générique est-elle légale ?

La signature elle-même est conforme eIDAS, oui.

Mais si la plateforme de signature héberge le document signé sur une infrastructure non-HDS (ce qui est le cas de la plupart des plateformes américaines généralistes), le cabinet dentaire est en infraction avec l'obligation d'hébergement HDS des données de santé. Il faut soit une plateforme certifiée HDS, soit exporter immédiatement le document signé vers un hébergeur HDS après signature.

DentiClaire est-il certifié HDS ?

DentiClaire est hébergé sur Scalingo, hébergeur certifié HDS depuis 2018, avec datacenters en France. L'intégralité des données patients, devis, signatures, certificats et pièces jointes sont stockées sur cette infrastructure.

Le contrat de sous-traitance (DPA, article 28 RGPD) signé entre le cabinet et DentiClaire mentionne explicitement l'hébergeur HDS et ses obligations.

Quelles sont les sanctions en cas d'hébergement non-HDS ?

Trois niveaux cumulables.

Pénal : l'article L.1115-1 du Code de la santé publique prévoit jusqu'à trois ans d'emprisonnement et 45 000 € d'amende pour l'hébergeur non-conforme.

Administratif (RGPD) : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, prononcé par la CNIL.

Réputationnel : la CNIL publie ses décisions de sanction, ce qui expose durablement le cabinet à la perte de confiance des patients et des confrères.

Comment vérifier qu'un prestataire est vraiment HDS ?

Trois vérifications :

Un. Demander le certificat HDS en cours de validité (valide trois ans, délivré par un organisme accrédité COFRAC comme LNE, Bureau Veritas, AFNOR).

Deux. Vérifier que le certificat couvre bien les activités d'hébergement utilisées (il existe six activités HDS distinctes dans le référentiel — mise à disposition d'infrastructure, hébergement d'applications, sauvegardes, administration, maintenance, archivage).

Trois. Exiger un DPA (Data Processing Agreement) mentionnant explicitement le statut HDS et l'engagement du prestataire à maintenir la certification.

Héberger vos données
là où la loi l'exige.

DentiClaire est hébergé Scalingo HDS depuis sa création. DPA signable sous Art. 28 RGPD, datacenters France, certification vérifiable.

Démarrer l'essai gratuit Essai 14 j sans CB · DPA disponible à la demande · [email protected]