Conformité HDS pour les données de santé : guide associations et ONG

Les associations caritatives, les ONG humanitaires, les structures médico-sociales à but non lucratif partagent un point commun souvent sous-estimé : dès qu'elles traitent ou hébergent des données de santé à caractère personnel, elles relèvent du cadre légal de l'hébergement de données de santé (HDS). Or, ce secteur accumule un retard structurel en matière de conformité, faute de ressources internes dédiées et d'une sensibilisation insuffisante. Cet article vous guide pas à pas pour comprendre ce qu'implique la certification HDS, identifier vos obligations réelles et activer une mise en conformité opérationnelle — même avec une équipe IT limitée.

Qu'est-ce que la certification HDS et pourquoi les associations sont-elles concernées ?

La définition légale des données de santé

Au sens du RGPD (article 4, §15), les données de santé sont des données à caractère personnel relatives à la santé physique ou mentale d'une personne, révélant des informations sur son état de santé. Cette définition est volontairement large. Elle couvre non seulement les dossiers médicaux au sens clinique, mais aussi :

• Les données de bénéficiaires collectées lors de campagnes de dépistage
• Les informations sur les handicaps déclarés dans des dossiers d'aide sociale
• Les données nutritionnelles ou de santé mentale recueillies dans un contexte d'accompagnement psychosocial
• Les résultats de tests ou d'évaluations médicales dans le cadre de programmes humanitaires

Une association de lutte contre les addictions, un réseau d'aide aux personnes âgées dépendantes ou une ONG gérant des consultations médicales de terrain collectent toutes des données entrant dans cette catégorie.

Le dispositif HDS : obligation légale, pas option

La loi n° 2016-41 du 26 janvier 2016 (loi de modernisation du système de santé) a instauré l'obligation d'hébergement certifié HDS pour toute entité qui héberge des données de santé à caractère personnel pour le compte de tiers — y compris les associations et ONG. Le référentiel de certification, défini par le décret n° 2018-137 du 26 février 2018, précise les activités couvertes et les exigences techniques et organisationnelles à satisfaire.

Contrairement à une idée reçue, l'exemption ne s'applique pas au seul fait d'être une structure à but non lucratif. Ce qui compte, c'est la nature des données traitées et le fait que l'hébergement soit réalisé pour le compte d'un tiers (un médecin, un patient, une structure partenaire).

Les six activités HDS et leur portée pour les structures associatives

La certification HDS couvre six activités distinctes, organisées en deux blocs :

Bloc infrastructure (activités 1 à 3)

• Activité 1 : La mise à disposition et le maintien en condition opérationnelle des sites physiques (datacenters)
• Activité 2 : La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle
• Activité 3 : La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle

Bloc logiciel et services managés (activités 4 à 6)

• Activité 4 : La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications
• Activité 5 : L'administration et l'exploitation du système d'information de santé
• Activité 6 : La sauvegarde externalisée des données de santé

Pour une association, les activités les plus souvent concernées sont les activités 4 à 6, notamment lorsqu'elle utilise une solution SaaS tierce pour gérer ses dossiers bénéficiaires ou lorsqu'elle externalise la sauvegarde de ses bases de données. Il est donc essentiel de vérifier que tout prestataire SaaS ou cloud manipulant vos données de santé est bien certifié HDS pour les activités correspondantes.

Dans ce contexte, le recours à une solution de signature électronique dans le secteur de la santé certifiée HDS permet de sécuriser les flux documentaires sensibles — consentements éclairés, formulaires d'admission, ordonnances dématérialisées — sans exposer l'association à un risque de non-conformité.

Comment activer concrètement la conformité HDS dans votre association ?

Étape 1 : Cartographier vos traitements de données de santé

Avant toute démarche technique, il faut procéder à un inventaire précis de l'ensemble des traitements impliquant des données de santé. Cet exercice s'inscrit directement dans l'obligation de tenue du registre des traitements prévue par l'article 30 du RGPD.

Pour chaque traitement, documentez :

• La nature des données collectées (catégorie spéciale au sens RGPD)
• Les finalités du traitement
• Les destinataires et sous-traitants
• Les moyens d'hébergement (serveur interne, cloud, SaaS)
• Les mesures de sécurité en place

Cette cartographie permet d'identifier rapidement les zones à risque et les prestataires à auditer.

Étape 2 : Auditer vos prestataires et exiger la certification

La certification HDS est délivrée par des organismes accrédités par le COFRAC (Comité français d'accréditation). Vous pouvez vérifier le statut de certification d'un hébergeur sur le site de l'ANS (Agence du Numérique en Santé), qui tient une liste publique des hébergeurs certifiés HDS.

Exigez systématiquement de vos prestataires :

• Une copie du certificat HDS en cours de validité
• Le périmètre exact des activités couvertes
• Les conditions contractuelles spécifiques à la protection des données de santé

Ne vous contentez pas d'une déclaration d'intention : la certification doit être vérifiable et à jour.

Étape 3 : Mettre à jour vos contrats et DPA

L'article 28 du RGPD impose la conclusion d'un Data Processing Agreement (DPA) avec tout sous-traitant traitant des données personnelles pour votre compte. Dans le contexte HDS, ce DPA doit être complété par des clauses spécifiques couvrant :

• Les engagements de confidentialité renforcée
• Les obligations de notification d'incident dans les 72 heures
• Les conditions de restitution et d'effacement des données
• La localisation des données (impérativement sur le territoire de l'EEE ou dans un pays bénéficiant d'une décision d'adéquation)

Certaines associations utilisent encore des formulaires papier pour recueillir le consentement de leurs bénéficiaires. La dématérialisation de ces processus via une solution de signature électronique conforme permet d'horodater et d'authentifier les consentements, produisant une preuve juridiquement opposable.

Étape 4 : Former vos équipes et désigner un référent conformité

La conformité HDS n'est pas un projet ponctuel : c'est un processus continu. Désignez un référent interne (qui peut être votre DPO si vous en avez un, conformément à l'obligation prévue à l'article 37 du RGPD pour les organismes traitant des données de santé à grande échelle) et prévoyez des sessions de sensibilisation régulières pour les équipes en contact avec les données sensibles.

Selon une étude publiée par la CNIL en 2024, plus de 60 % des violations de données de santé notifiées impliquaient une erreur humaine (envoi à un mauvais destinataire, absence de chiffrement). La formation est donc un levier de réduction du risque aussi important que les mesures techniques.

Les enjeux spécifiques au secteur associatif : ressources limitées et contraintes budgétaires

Le paradoxe de la donnée sensible et du budget contraint

Les associations et ONG se trouvent dans une position particulière : elles gèrent souvent des données parmi les plus sensibles (état de santé de personnes vulnérables, réfugiés, mineurs isolés) avec des moyens humains et financiers très inférieurs à ceux du secteur hospitalier ou des entreprises privées de santé.

Cette réalité impose d'adopter une stratégie de conformité pragmatique et priorisée. Selon les recommandations de l'ANS, une approche en trois phases est généralement conseillée pour les petites et moyennes structures :

1. Phase d'urgence (0-3 mois) : identification et neutralisation des risques critiques (hébergeurs non certifiés, absence de chiffrement)
2. Phase de consolidation (3-12 mois) : mise à jour des contrats, déploiement des outils conformes, formation
3. Phase de maturité (12-24 mois) : audits internes, plan de continuité, revue annuelle des traitements

Le rôle de la signature électronique dans la conformité HDS associative

La dématérialisation des documents sensibles est un levier souvent sous-exploité par le secteur associatif. Pourtant, remplacer les formulaires papier par des processus de signature électronique qualifiée ou avancée présente plusieurs avantages :

• Traçabilité : chaque signature est horodatée et associée à une identité vérifiée, ce qui facilite la démonstration de la licéité du traitement
• Réduction du risque d'erreur : moins de manipulation manuelle de documents sensibles
• Archivage sécurisé : les documents signés électroniquement peuvent être conservés dans un coffre-fort numérique certifié

Pour aller plus loin sur les critères de sélection d'une solution adaptée à votre structure, consultez notre comparatif des solutions de signature électronique qui détaille les différences entre offres du marché en termes de conformité HDS et eIDAS.

Les associations qui utilisent déjà un outil de gestion RH ou de gestion de dossiers bénéficiaires ont souvent intérêt à vérifier si leur solution actuelle intègre nativement la signature électronique conforme. Notre guide de la signature électronique en entreprise aborde ces critères d'intégration en détail.

Enfin, si vous avez déjà déployé une solution de signature mais souhaitez migrer vers un prestataire certifié HDS, notre offre de migration vous permet de transférer vos données et workflows sans interruption de service.

Cadre légal applicable à l'hébergement de données de santé pour les associations et ONG

Textes fondateurs du cadre HDS

La réglementation française sur l'hébergement des données de santé repose sur un empilement de textes dont la maîtrise est indispensable pour toute association manipulant des données médicales ou médico-sociales.

Loi n° 2016-41 du 26 janvier 2016 (loi de modernisation du système de santé) : elle a inscrit dans le Code de la santé publique (article L. 1111-8) l'obligation de recourir à un hébergeur certifié HDS pour toute personne physique ou morale qui héberge des données de santé à caractère personnel pour le compte de personnes concernées ou d'entités qui les traitent.

Décret n° 2018-137 du 26 février 2018 : il précise les activités soumises à certification, les modalités de délivrance et de retrait de la certification, ainsi que les exigences applicables aux organismes certificateurs (accréditation COFRAC obligatoire).

Arrêté du 8 août 2017 : il fixe le référentiel de sécurité applicable aux systèmes d'information de santé, qui sert de socle technique à l'évaluation HDS.

Articulation avec le RGPD

Le Règlement (UE) 2016/679 (RGPD) constitue le cadre général de protection des données personnelles. Ses dispositions s'appliquent cumulativement aux exigences HDS :

• Article 9 : les données de santé sont des catégories spéciales de données dont le traitement est interdit en principe, sauf exceptions listées (consentement explicite, nécessité pour des soins de santé, intérêt public, etc.)
• Article 28 : tout recours à un sous-traitant hébergeant des données de santé doit faire l'objet d'un contrat écrit détaillé (DPA)
• Article 32 : l'association est tenue de mettre en œuvre des mesures techniques et organisationnelles appropriées (chiffrement, pseudonymisation, contrôle d'accès)
• Article 33 : toute violation de données de santé doit être notifiée à la CNIL dans un délai de 72 heures
• Article 35 : une Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire dès que le traitement est susceptible d'engendrer un risque élevé pour les droits des personnes

Risques juridiques en cas de non-conformité

Le non-respect du cadre HDS expose l'association à plusieurs niveaux de sanctions :

• Sanctions administratives CNIL : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83, §5 du RGPD) pour les violations les plus graves. Pour les associations, la CNIL apprécie le montant en tenant compte des ressources disponibles, mais des sanctions symboliques mais publiques ont déjà été prononcées à l'encontre de petites structures.
• Responsabilité pénale : l'article 226-13 du Code pénal prévoit jusqu'à un an d'emprisonnement et 15 000 euros d'amende pour violation du secret médical.
• Responsabilité civile : les bénéficiaires lésés peuvent engager la responsabilité de l'association sur le fondement des articles 1240 et suivants du Code civil en cas de préjudice démontrable.
• Suspension d'agrément : les associations agréées par des autorités publiques (ARS, conseil départemental) peuvent se voir retirer leur agrément en cas de manquement grave à la protection des données de santé.

Il convient également de noter que la directive NIS2 (directive UE 2022/2555, transposée en France par la loi n° 2024-449 du 21 mai 2024) étend les obligations de cybersécurité à un spectre élargi d'entités, potentiellement incluant certaines grandes associations gérant des infrastructures critiques de santé.

Scénarios d'usage : la conformité HDS en pratique pour les associations et ONG

Scénario 1 : Une association d'aide à domicile gérant 500 dossiers bénéficiaires

Une association intervenant auprès de personnes âgées dépendantes dans plusieurs départements gère environ 500 dossiers actifs incluant des informations sur les pathologies, les ordonnances en cours et les évaluations de dépendance (grille GIR). Ces données sont stockées dans un logiciel de gestion associative hébergé par un prestataire cloud non certifié HDS.

À la suite d'un audit interne déclenché par une demande d'accès d'un bénéficiaire, l'association identifie cette non-conformité. Elle engage une migration vers un hébergeur certifié HDS pour les activités 4 et 5, conclut un DPA conforme avec son prestataire logiciel et déploie une solution de signature électronique pour dématérialiser les formulaires de consentement et les plans d'aide personnalisés.

Résultats observés : réduction de 70 % du délai de traitement des consentements (de 12 jours en moyenne en format papier à moins de 4 jours), suppression totale des risques liés à la perte ou à l'envoi erroné de documents papier, et obtention d'une couverture assurantielle cyber renforcée grâce à la mise en conformité documentée.

Scénario 2 : Une ONG internationale coordonnant des missions médicales de terrain

Une ONG spécialisée dans les soins médicaux d'urgence collecte, dans le cadre de ses missions, des données de santé sur des populations bénéficiaires dans plusieurs pays, dont des données transmises vers un serveur centralisé en France. L'équipe IT est composée de deux personnes bénévoles.

Face à l'impossibilité de maintenir une infrastructure interne certifiée HDS, l'ONG opte pour une architecture 100 % SaaS avec un hébergeur certifié HDS couvrant les activités 1 à 6. Elle met en place un processus de signature électronique pour les protocoles médicaux et les formulaires de consentement adaptés aux zones de faible connectivité (signature en mode hors ligne synchronisée).

Résultats observés : conformité HDS et RGPD atteinte en moins de 6 mois sans recrutement IT supplémentaire, économie estimée à 40 % par rapport à une infrastructure hébergée en propre, et capacité à répondre aux appels à projets institutionnels (AFD, Union européenne) exigeant une certification de conformité des données.

Scénario 3 : Un réseau associatif gérant des centres de santé communautaires

Un groupement associatif fédérant plusieurs centres de santé communautaires (environ 8 000 patients actifs) utilise un logiciel de dossier patient partagé entre les différents sites. La coordination entre sites implique des échanges de données de santé par messagerie non sécurisée, en violation directe du référentiel HDS.

L'association engage une refonte de son système d'information avec l'appui d'un prestataire certifié HDS, implémente une messagerie sécurisée de santé (MSSanté), et dématérialise l'ensemble de ses formulaires d'admission et de consentement via une plateforme de signature électronique conforme eIDAS. Une AIPD est conduite pour chaque traitement à risque élevé.

Résultats observés : zéro violation de données notifiée à la CNIL sur les 18 mois suivant la mise en conformité (contre deux incidents mineurs sur la période précédente), délai moyen d'admission réduit de 35 %, et amélioration du taux de complétion des dossiers patients de 22 % grâce à la suppression des formulaires papier incomplets.

Conclusion

Activer la conformité HDS pour les données de santé dans le secteur associatif et ONG n'est pas une option réservée aux grandes structures hospitalières : c'est une obligation légale qui s'impose à toute entité, quelle que soit sa taille ou son statut juridique, dès lors qu'elle héberge ou traite des données de santé à caractère personnel. La méconnaissance du cadre n'exonère pas de la responsabilité.

La bonne nouvelle : une approche structurée en quatre étapes — cartographie, audit des prestataires, mise à jour contractuelle, formation — permet d'atteindre un niveau de conformité solide même avec des ressources limitées. La dématérialisation des consentements et documents sensibles via une solution de signature électronique certifiée constitue un levier particulièrement efficace pour réduire les risques tout en améliorant l'efficacité opérationnelle.

Certyneo propose une plateforme de signature électronique conforme eIDAS, adaptée aux contraintes du secteur associatif et hébergée sur une infrastructure certifiée HDS. Contactez notre équipe pour un audit gratuit de votre situation documentaire et découvrez comment sécuriser vos flux de données de santé dès aujourd'hui.