Sécurité des données de santé en cabinet psy : ce que “hébergeur certifié HDS” signifie concrètement
Mis à jour le 18 juin 2026
La sécurité des données de santé, ce n'est pas une question informatique. C'est la traduction numérique du secret professionnel : des obligations légales précises, et des sanctions réelles en cas de manquement.
J'ai longtemps stocké mes notes de séance dans un Google Doc partagé entre mes appareils. Pratique, rapide, gratuit. Peut-être que vous aussi. Ce que je ne savais pas, c'est que ce type de stockage est illégal pour des données de santé. Non pas parce que Google est peu fiable au sens courant, mais parce que Google n'est pas certifié Hébergeur de Données de Santé (HDS) pour le périmètre concerné.
Dans beaucoup de cabinets de psychologues libéraux, les notes cliniques sont encore stockées dans des outils qui n'ont pas été choisis pour leur cadre HDS : tableurs personnels, applications grand public, dossiers cloud non qualifiés. Ce n'est pas un jugement. C'est un constat que la réglementation n'a jamais été clairement traduite à destination des praticiens libéraux.
Ce guide tente de le faire. Il couvre ce que la certification HDS implique concrètement, pourquoi les outils grand public ne suffisent pas, ce que le chiffrement AES-256 protège réellement, et quelles sont vos obligations légales si une violation de données survient.
Données de santé vs données personnelles : une distinction que la loi prend très au sérieux
Toutes les données que vous gérez en cabinet ne sont pas soumises au même régime juridique. Le RGPD distingue deux catégories qui n'appellent pas les mêmes mesures de protection.
Les données personnelles ordinairesincluent les coordonnées de vos patients (nom, prénom, email, téléphone, adresse). Elles sont soumises au RGPD et imposent des mesures de sécurité raisonnables, un registre des traitements et une information des personnes sur leurs droits. Ce n'est pas rien, mais c'est un régime de droit commun.
Les données de santérelèvent d'une catégorie spéciale au sens de l'article 9 du RGPD. Elles bénéficient du niveau de protection le plus élevé. Ce sont vos notes de séance, vos comptes rendus, vos diagnostics, vos bilans psychologiques, la fréquence et la nature de vos consultations, tout ce qui révèle l'état de santé physique ou mentale d'une personne.
La distinction n'est pas seulement conceptuelle. Elle a une conséquence réglementaire directe : toute donnée de santé stockée de manière externalisée (c'est-à-dire hors de vos propres locaux, sur des serveurs tiers) doit être confiée à un hébergeur certifié HDS, en application de l'article L. 1111-8 du Code de la santé publique.
Ce qu'on observe souvent, c'est que les psys libéraux qui utilisent des outils non conformes ne le font pas par négligence. Ils ne savent simplement pas que leurs notes cliniques entrent dans la catégorie des données de santé, et que cette catégorie obéit à des règles d'hébergement spécifiques. Ce n'est pas enseigné en formation initiale.
Qu'est-ce que la certification HDS ?
La certification HDS (Hébergeur de Données de Santé) est une exigence posée par l'article L. 1111-8 du Code de la santé publique. Elle s'impose à tout prestataire qui héberge, dans le cadre d'une activité commerciale, des données de santé à caractère personnel pour le compte d'un professionnel de santé ou d'un établissement.
Concrètement, si vous stockez vos notes de séance sur un serveur cloud qui n'est pas le vôtre, ce serveur doit être opéré par un hébergeur certifié HDS. Il n'existe pas de dérogation pour les cabinets individuels.
Les six activités couvertes par la certification HDS
La certification HDS ne s'applique pas à un seul type d'hébergement. L'Agence du Numérique en Santé (ANS) distingue six activités certifiables :
- Hébergement d'infrastructure physique : les serveurs physiques, les salles informatiques.
- Hébergement d'infrastructure virtuelle: les machines virtuelles (VMs) hébergées sur l'infrastructure physique.
- Hébergement d'infrastructure physique pour cloud : la mise à disposition de ressources cloud standardisées.
- Hébergement de plateforme: les bases de données, les middleware, les environnements d'exécution.
- Hébergement d'applications : les logiciels métiers utilisés pour traiter ou gérer les données de santé.
- Infogérance: la gestion externalisée des systèmes d'information de santé.
Un hébergeur peut être certifié sur certaines activités et pas sur d'autres. Avant de choisir un prestataire, il faut donc vérifier que son périmètre de certification couvre bien l'usage que vous en faites.
Qui doit être certifié HDS ?
L'obligation pèse sur l'hébergeur, pas directement sur vous. Mais en tant que responsable de traitement, vous êtes tenu de vous assurer que tout sous-traitant qui traite des données de santé pour votre compte est bien certifié. Faire appel à un hébergeur non certifié revient à violer l'article L. 1111-8 du CSP, avec des risques de sanction par la CNIL et par les instances ordinales.
Comment vérifier une certification HDS
La liste officielle des hébergeurs certifiés HDS est publiée sur le site de l'Agence du Numérique en Santé : esante.gouv.fr. Vous pouvez y rechercher n'importe quel prestataire par nom. Si votre outil de gestion de cabinet n'y figure pas, ou si votre hébergeur de fichiers n'y figure pas, c'est un signal à ne pas ignorer.
Ce que Google Drive, Dropbox et Notion ne peuvent pas vous garantir
Ces outils sont fiables au sens de la disponibilité et de la sécurité informatique générale. Ce n'est pas là que le problème se pose. Le problème, c'est qu'aucun d'entre eux n'est certifié HDS pour les usages courants en France.
Google propose une offre d'hébergement de données de santé aux États-Unis (Google Cloud Healthcare API), mais cette certification ne s'applique pas à Google Drive grand public ni à Google Workspace dans sa configuration standard. Dropbox et Notion ne disposent d'aucune certification HDS à ce jour pour le marché français.
Ce que ces outils ne peuvent pas vous garantir :
- Que vos données restent en France ou en Europe. Google Drive peut stocker vos fichiers sur des serveurs aux États-Unis selon la configuration du compte et la charge des serveurs. L'article 44 du RGPD encadre strictement les transferts hors UE pour les données de catégorie spéciale.
- Que les accès sont tracés et auditables.La certification HDS impose un journal d'audit des accès aux données. Google Drive ne fournit pas ce niveau de traçabilité pour un compte professionnel standard.
- Qu'aucun employé du prestataire n'accède à vos données. Les conditions générales de ces services permettent un accès interne pour des raisons techniques ou légales. Un hébergeur HDS est soumis à des engagements contractuels beaucoup plus contraignants sur ce point.
- Que vous disposez d'un contrat de sous-traitance conforme au RGPD.L'article 28 du RGPD exige un DPA (Data Processing Agreement) spécifique pour toute relation de sous-traitance impliquant des données personnelles. Cocher "j'accepte les conditions" ne constitue pas un tel contrat.
Gérer ses notes cliniques dans un Google Doc, c'est comme tenir ses dossiers patients dans un meuble sans serrure au milieu d'un open space. Ça fonctionne jusqu'au jour où quelqu'un ouvre le tiroir, ou jusqu'au jour où l'inspection arrive.
Chiffrement AES-256 : ce que ça protège réellement (et ce que ça ne protège pas)
Le chiffrement AES-256 est mentionné comme une garantie de sécurité dans beaucoup de communications sur les logiciels de santé. C'est une norme solide. Mais comprendre ce qu'elle protège exactement aide à évaluer ce qu'elle ne protège pas.
Ce que le chiffrement AES-256 protège
AES-256 (Advanced Encryption Standard avec clé de 256 bits) est le standard de chiffrement symétrique retenu par le gouvernement américain pour ses documents classifiés, et recommandé par l'ANSSI pour la protection des données sensibles. Dans le contexte d'un logiciel de santé, il peut être appliqué à deux niveaux :
- Chiffrement en transit (TLS): les données sont chiffrées pendant leur transmission entre votre appareil et les serveurs. Sans cela, une interception réseau (attaque de type "man-in-the-middle") permettrait de lire vos données en clair. C'est le standard minimal, présent dans tous les sites en HTTPS.
- Chiffrement au repos : les données sont chiffrées sur les serveurs de stockage eux-mêmes. Si un disque physique est volé ou si un accès non autorisé aux serveurs est obtenu, les données restent illisibles.
- Chiffrement côté client: les données sont chiffrées sur votre appareil avant même d'être envoyées aux serveurs. L'hébergeur ne dispose alors jamais des données en clair, même techniquement. C'est le niveau le plus protecteur.
Ce que le chiffrement AES-256 ne protège pas
Le chiffrement protège les données stockées ou transmises. Il ne protège pas contre :
- Un accès légitime compromis.Si votre mot de passe est volé, ou si votre appareil est compromis, l'attaquant accède aux données déchiffrées comme vous le feriez. L'authentification à deux facteurs (2FA) est ici la mesure complémentaire essentielle.
- Une erreur de configuration. Une base de données chiffrée mais mal configurée (accès public non restreint, permissions trop larges) peut exposer des données malgré le chiffrement.
- Les métadonnées. Le chiffrement protège le contenu. Il ne masque pas toujours qui a accédé à quoi, quand, ni la structure des données.
Ce que le chiffrement ne remplace pas
Un chiffrement solide est une condition nécessaire, pas suffisante. La sécurité d'un système de santé repose sur un ensemble de mesures : chiffrement, gestion des accès (qui peut lire quoi), journaux d'audit, formation des utilisateurs, et plan de réponse en cas d'incident. Aucune de ces couches n'est redondante.
En cas de violation de données : vos obligations légales
Une violation de données de santé n'est pas seulement un problème technique. C'est un événement qui déclenche des obligations légales précises, avec des délais stricts et des conséquences concrètes si vous ne les respectez pas.
La notification à la CNIL : 72 heures
L'article 33 du RGPD impose au responsable de traitement (c'est vous, en tant que psychologue libéral) de notifier la CNIL dans un délai de 72 heuresaprès avoir pris connaissance d'une violation de données personnelles, à moins que la violation en question soit peu susceptible d'engendrer un risque pour les droits et libertés des personnes.
Pour des données de santé, le risque est rarement considéré comme négligeable. La notification doit décrire la nature de la violation, les catégories et le nombre de personnes concernées, les catégories et le nombre d'enregistrements touchés, et les mesures prises ou envisagées pour y remédier.
La notification aux patients : quand et comment
L'article 34 du RGPD va plus loin. Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, vous devez également informer les patients affectés, dans les meilleurs délais, en langage clair et accessible.
Les données de santé entrent presque systématiquement dans le périmètre du risque élevé. Une violation impliquant des notes cliniques, des diagnostics ou des informations sur des suivis psychothérapeutiques déclenche en principe l'obligation de notification aux patients.
Les sanctions en cas de manquement
Ne pas notifier la CNIL dans les délais peut entraîner une sanction administrative pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, selon l'article 83 du RGPD. Pour un cabinet libéral, c'est un risque existentiel. La CNIL a prononcé des sanctions contre des cabinets médicaux de taille comparable à un exercice libéral individuel.
Il y a un phénomène que j'appelle la distance au risque réglementaire: tant qu'aucun incident ne survient, on ne mesure pas l'exposition. Les obligations du RGPD ne disparaissent pas parce qu'on ne les a pas encore rencontrées. Elles attendent simplement le mauvais moment.
Comment PsyKeria sécurise vos données
Depuis que j'utilise PsyKeria, je n'ai pas eu à me poser la question de la conformité de l'hébergement. Ce n'est pas parce que la question n'existe pas : c'est parce qu'elle a été réglée en amont, par des choix d'infrastructure que voici, factuellement.
Hébergement en France chez un hébergeur certifié HDS
Les données traitées par PsyKeria sont hébergées en France chez un hébergeur certifié Hébergeur de Données de Santé conformément à l'article L. 1111-8 du Code de la santé publique. Vos données ne quittent pas le territoire français.
Chiffrement AES-256 côté client
Les données sensibles (notes cliniques, contenus des dossiers patient) sont chiffrées en AES-256 côté client, c'est-à-dire avant transmission aux serveurs. PsyKeria ne stocke pas vos données en clair. Même en cas d'accès non autorisé à l'infrastructure, les données restent illisibles sans la clé de déchiffrement.
Cloisonnement strict des accès
Le contrôle d'accès isole les données par praticien et par cabinet. Chaque praticien ne peut accéder qu'à ses propres données. Il n'existe pas de requête applicative prévue pour accéder aux données d'un autre cabinet.
Authentification sécurisée
L'accès à l'interface est protégé par un système d'authentification dédié. L'authentification à deux facteurs est disponible. Aucune session ne persiste indéfiniment sans revalidation.
Ce que PsyKeria ne garantit pas
PsyKeria sécurise l'infrastructure et les données stockées. Il ne contrôle pas la sécurité de votre propre appareil (téléphone, ordinateur, navigateur). Un appareil partagé, un mot de passe faible ou une connexion Wi-Fi publique non sécurisée restent des vecteurs de risque qui dépendent de vos propres pratiques. La sécurité est une chaîne : PsyKeria gère les maillons qui lui appartiennent.
Questions fréquentes sur la sécurité des données en cabinet psy
Mes données sont-elles hébergées en France ?
Oui. PsyKeria héberge vos données en France chez un hébergeur certifié HDS. Vos données de santé, vos notes cliniques et vos données de facturation ne quittent pas le territoire français.
Que se passe-t-il si PsyKeria est piraté ?
En cas de violation de données avérée affectant vos données patient, PsyKeria a l'obligation de notifier la CNIL dans un délai de 72 heures (art. 33 RGPD) et, si le risque est élevé pour les personnes concernées, d'en informer les patients affectés (art. 34 RGPD). Les données sont chiffrées en AES-256 côté client : même en cas d'accès non autorisé aux serveurs, elles restent illisibles sans la clé de déchiffrement.
La certification HDS est-elle obligatoire pour un psy libéral ?
Non, pas directement sur vous. La certification HDS s'impose à l'hébergeur : l'entreprise qui stocke vos données de santé pour votre compte. Votre obligation est de vérifier que tout prestataire traitant vos données de santé est bien certifié. Utiliser Google Drive ou Dropbox pour stocker des notes cliniques revient à confier des données de santé à un hébergeur non certifié, ce qui constitue une violation de l'article L. 1111-8 du CSP.
Un simple mot de passe suffit-il à protéger mes données ?
Non. Un mot de passe protège l'accès à une interface, pas les données elles-mêmes. Si les données ne sont pas chiffrées à la source, elles sont lisibles par quiconque accède aux serveurs ou intercepte les échanges réseau. Un hébergement chez un hébergeur certifié HDS implique des mesures techniques qui dépassent largement le mot de passe : chiffrement en transit (TLS), chiffrement au repos, cloisonnement des accès, journaux d'audit. L'authentification à deux facteurs est la mesure complémentaire la plus efficace côté praticien.
Comment vérifier qu'un hébergeur est certifié HDS ?
La liste des hébergeurs certifiés HDS est publiée et consultable sur le site de l'Agence du Numérique en Santé (ANS) : esante.gouv.fr. Vous pouvez y rechercher n'importe quel prestataire par nom ou numéro de certification. La certification se décline en six activités : vérifiez que le périmètre couvre bien le type d'hébergement utilisé par votre logiciel.
Si vous souhaitez évaluer la conformité de votre organisation actuelle
PsyKeria propose une démonstration disponible sans rendez-vous. Vous pouvez explorer l'interface, voir comment les données sont hébergées et chiffrées, et évaluer si cela correspond à vos exigences de conformité. Sans engagement, sans carte requise pendant les 30 premiers jours.