Plateforme SaaS santé au travail certifiée HDS : pourquoi c'est indispensable pour les SPST

Les services de prévention et de santé au travail manipulent quotidiennement des données parmi les plus sensibles qui soient : dossiers médicaux, avis d’aptitude, comptes rendus de visites, traçabilité des expositions professionnelles ou encore données de suivi individuel des salariés. Avec la généralisation des solutions SaaS, une question devient essentielle : où ces données sont-elles hébergées et dans quelles conditions de sécurité ?

Lorsqu’un SPST confie l’hébergement de données de santé à un prestataire externe, celui-ci doit répondre à des exigences réglementaires strictes, au premier rang desquelles figure la certification Hébergeur de Données de Santé (HDS). Cette certification ne constitue pas un simple argument commercial : elle représente un cadre de référence reconnu pour garantir la sécurité, la disponibilité et la confidentialité des données de santé.

Concrètement, que recouvre la certification HDS ? Pourquoi est-elle devenue un critère incontournable dans le choix d’une plateforme SaaS dédiée à la santé au travail ? Et comment s’assurer qu’un éditeur respecte réellement ses engagements ?

Dans cet article, nous revenons sur les enjeux de l’hébergement des données de santé, les obligations applicables aux SPST et les points de vigilance à vérifier avant de choisir une solution logicielle.

Plateforme SaaS HDS : de quoi on parle exactement

Une plateforme SaaS (Software as a Service) est un logiciel accessible en ligne, via un navigateur web. L’utilisateur n’a pas besoin d’installer ou de maintenir une infrastructure informatique locale : l’éditeur assure les mises à jour, la maintenance et l’exploitation de la solution. Pour un service de prévention et de santé au travail, cela signifie disposer d’un outil métier comme uEgar® dédié au suivi des salariés tout en s’appuyant sur une infrastructure d’hébergement externalisée.

La certification HDS (Hébergeur de Données de Santé) concerne précisément cette infrastructure. Encadrée par le Code de la santé publique, elle s’applique aux organismes qui hébergent des données de santé à caractère personnel pour le compte de tiers. Son objectif est de garantir un niveau élevé de sécurité, de disponibilité et de confidentialité des informations hébergées.

Dans le cadre de la santé au travail, les données concernées comprennent notamment les dossiers médicaux en santé au travail (DMST), les comptes rendus de visite, les avis d’aptitude, les données relatives aux expositions professionnelles ou encore certaines informations liées au suivi vaccinal.

Une plateforme SaaS certifiée HDS associe donc deux dimensions complémentaires : une application métier accessible en ligne et un hébergement répondant aux exigences spécifiques applicables aux données de santé. Pour les SPST, cette certification constitue aujourd’hui un critère essentiel dans le choix d’une solution numérique.

Quelles données de santé sont concernées par la certification HDS ?

Pour comprendre les enjeux de l’hébergement certifié HDS, il faut d’abord identifier les données concernées. La réglementation vise les données de santé à caractère personnel, c’est-à-dire les informations permettant d’identifier une personne et de connaître, directement ou indirectement, des éléments relatifs à son état de santé.

Dans un SPST, ces données sont nombreuses : dossier médical en santé au travail, comptes rendus de visite, avis d’aptitude, suivi des expositions professionnelles, vaccinations ou encore informations médicales nécessaires à la prise en charge du salarié dans le cadre de son suivi que l’on retrouve dans dossier médical en santé au travail.

Ces données bénéficient d’une protection renforcée au regard du RGPD et du Code de la santé publique. Leur collecte, leur stockage, leur transmission et leur sauvegarde doivent être réalisés dans des conditions garantissant leur confidentialité, leur intégrité et leur disponibilité.

Au-delà de l’obligation réglementaire, l’enjeu est également celui de la confiance. Les professionnels de santé au travail, les employeurs et les salariés doivent pouvoir compter sur des systèmes capables de protéger durablement des informations particulièrement sensibles.

Pourquoi la certification HDS n’est pas une option pour un SPST

Pour un service de prévention et de santé au travail, le choix d’une plateforme numérique ne relève pas uniquement d’un enjeu fonctionnel. Dès lors que la solution héberge des données de santé à caractère personnel, elle doit aussi répondre à un cadre réglementaire précis. Ce cadre repose sur plusieurs niveaux d’exigence.

Le premier concerne l’hébergement des données de santé. Le Code de la santé publique prévoit que les données de santé à caractère personnel hébergées pour le compte d’un tiers doivent l’être par un hébergeur certifié HDS, sur le périmètre concerné. Cette exigence s’applique que l’hébergement soit assuré directement par l’éditeur de la solution ou par un prestataire technique auquel il fait appel.

Le deuxième niveau relève du RGPD. Les données de santé sont des données sensibles, qui nécessitent des mesures de protection renforcées : limitation des accès, traçabilité, sécurité des traitements, information des personnes concernées, maîtrise des durées de conservation. La conformité RGPD en santé au travail, et la certification HDS ne se substituent pas l’une à l’autre : elles se complètent. La loi santé au travail de 2021 a d’ailleurs renforcé ces obligations : nous avons détaillé comment sécuriser la conformité DUERP avec une plateforme dédiée.

Enfin, les informations traitées par les professionnels de santé au travail s’inscrivent dans le cadre du secret médical. Les outils numériques utilisés par les équipes médicales et pluridisciplinaires doivent donc garantir que seules les personnes habilitées peuvent accéder aux informations nécessaires à leur mission.

Pour un SPST, l’absence d’hébergement certifié HDS expose à plusieurs risques : risque de non-conformité réglementaire, risque de sanction en cas de manquement à la protection des données, mais aussi risque de perte de confiance de la part des entreprises adhérentes et des salariés suivis.

La certification HDS n’est donc pas un simple critère technique. C’est un prérequis de conformité, de sécurité et de confiance dans le choix d’une plateforme SaaS dédiée à la santé au travail.

Ce que la certification HDS garantit concrètement

Le sigle rassure, mais il faut savoir ce qu’il y a derrière. La certification HDS repose sur un référentiel exigeant, adossé à la norme ISO 27001 (système de management de la sécurité de l’information) et complété par des exigences propres aux données de santé. Concrètement, cela signifie que les données de santé sont stockées dans un environnement sécurisé, que les accès sont contrôlés et tracés, que des sauvegardes sont réalisées régulièrement et que des dispositifs sont prévus pour assurer la continuité du service en cas d’incident.

La certification impose également des audits réguliers réalisés par un organisme indépendant. L’objectif est de vérifier que les mesures de sécurité sont effectivement appliquées et maintenues dans le temps.

Pour un SPST, cette certification apporte plusieurs garanties essentielles :

• les données de santé des salariés sont hébergées dans un cadre conforme à la réglementation ;
• les accès aux informations sont strictement encadrés ;
• les données sont protégées contre la perte, l’altération ou les accès non autorisés ;
• l’activité peut être maintenue ou reprise rapidement en cas d’incident majeur.

Un point de vigilance mérite toutefois d’être vérifié : selon l’organisation retenue, plusieurs acteurs peuvent intervenir dans l’hébergement d’une solution SaaS. L’éditeur du logiciel peut s’appuyer sur un hébergeur ou un infogéreur certifié HDS pour tout ou partie de l’infrastructure.

Avant de choisir une solution, il est donc recommandé de demander les certificats HDS en vigueur et de vérifier précisément quels acteurs sont certifiés et sur quel périmètre. Un éditeur sérieux doit pouvoir fournir ces informations de manière transparente.

SaaS plus HDS : les vrais avantages pour un SPST

On pourrait croire que le SaaS complique la conformité. C’est l’inverse. Bien choisi, il la simplifie nettement par rapport à un logiciel installé sur vos propres serveurs.

Lorsqu’une solution est hébergée en interne, le service doit assurer lui-même de nombreuses responsabilités : maintenance de l’infrastructure, mises à jour de sécurité, sauvegardes, supervision des systèmes ou encore gestion de la continuité d’activité. Ces missions nécessitent du temps, des compétences spécialisées et des moyens techniques parfois difficiles à mobiliser.

Avec une plateforme SaaS certifiée HDS, une partie de ces responsabilités est prise en charge par des acteurs dont c’est le métier. L’éditeur et ses partenaires d’hébergement mettent en œuvre les mesures nécessaires pour maintenir un niveau élevé de sécurité et de disponibilité du service.

Pour les SPST, cela se traduit notamment par :

• des mises à jour régulières de la solution et des dispositifs de sécurité ;
• des sauvegardes automatisées et des mécanismes de reprise en cas d’incident ;
• des engagements de disponibilité du service ;
• une infrastructure supervisée en continu ;
• une meilleure visibilité sur les coûts liés à l’exploitation de la solution.

Les plateformes SaaS répondent aux nouveaux usages des professionnels de santé au travail. Médecins du travail, infirmiers et équipes pluridisciplinaires peuvent accéder aux informations nécessaires à leurs missions depuis différents lieux d’exercice, tout en bénéficiant d’un cadre de sécurité adapté aux données de santé. Cette mobilité ouvre aussi la voie à la digitalisation des visites médicales, à condition que l’infrastructure d’hébergement suive.

L’objectif n’est pas seulement de disposer d’un logiciel accessible en ligne, mais de s’appuyer sur un environnement conçu pour concilier mobilité, performance et protection des données sensibles.

Souveraineté : héberger les données de santé en France

Le sujet de la souveraineté numérique n’est pas un argument marketing. Pour des données de santé, c’est une question concrète de droit applicable.

Une donnée stockée hors de l’Espace économique européen, ou chez un prestataire soumis à une législation extraterritoriale, peut en théorie être exposée à des demandes d’accès d’autorités étrangères. Pour un dossier médical de salarié, c’est un risque que la plupart des SPST refusent. D’où l’intérêt d’un hébergement dans des datacenters souverains situés en France, opérés par des équipes françaises, sous droit français.

Chez Val Solutions, c’est précisément le choix retenu. Les données de santé des utilisateurs sont hébergées par notre partenaire Proginov, lui aussi certifié ISO 27001 et HDS, dans des datacenters souverains situés en France et maintenus par des équipes internes. Val Solutions dispose également de la double certification ISO 27001 et HDS garantissant un haut niveau d’exigence dans la gestion et la protection des données de santé.

Comment choisir une plateforme SaaS HDS pour votre SPST

Tous les éditeurs qui accompagnent les services de prévention et de santé au travail affichent aujourd’hui le sigle HDS. La vraie question n’est plus « est-ce certifié ? » mais « jusqu’où, et comment le vérifier ? ».

Plusieurs points méritent d’être examinés avant de choisir une solution.

1. Vérifier les certifications

Un éditeur doit pouvoir fournir les certificats HDS en vigueur, ainsi que le périmètre couvert par ces certifications. Lorsque plusieurs acteurs interviennent dans la chaîne d’hébergement, il est également utile d’identifier précisément le rôle de chacun.

2. Connaître la localisation des données

Il est recommandé de vérifier où sont hébergées les données, qui exploite l’infrastructure et quelles garanties sont apportées concernant les éventuels transferts de données.

3. Evaluer la démarche de conformité RGPD

La protection des données de santé ne repose pas uniquement sur l’hébergement. Registre des traitements, gestion des droits des personnes, analyses d’impact ou procédures de gestion des incidents constituent également des indicateurs importants de maturité.

4. Examiner la gestion des accès

Qui peut voir quoi ? Les habilitations respectent-elles le secret médical et la séparation des rôles entre professionnels de santé, employeur et salarié ? Les journaux d’accès permettent-ils d’identifier qui a consulté quel dossier, et quand ? C’est exactement la logique d’un dossier médical numérique bien conçu : chacun accède uniquement à ce que son rôle autorise, et chaque consultation laisse une trace.

5. L’ancrage métier SPST

Au-delà des aspects techniques, une plateforme conçue pour les SPST doit répondre aux besoins spécifiques des médecins du travail, infirmiers, assistants et équipes pluridisciplinaires. La sécurité et la conformité doivent s’intégrer naturellement dans les usages quotidiens. Un bon indicateur : la capacité de la solution à optimiser la gestion de la santé des salariés sans alourdir le travail des équipes.

Une solution qui apporte des réponses claires et documentées sur l’ensemble de ces points offre généralement de solides garanties pour accompagner durablement l’activité d’un SPST.

uEgar : une solution conçue par et pour les SPST

C’est l’approche que nous avons retenue avec uEgar®, notre logiciel métier dédié aux SPST. La sécurité n’est pas un module ajouté : elle est dans l’architecture de la solution. Hébergement HDS souverain en France, double certification ISO 27001 et HDS portée par Val Solutions et par notre hébergeur Proginov, gestion des habilitations alignée sur le secret médical, traçabilité des accès au dossier.

La nouvelle génération, uEgar.neo, poursuit cette approche en intégrant des services collaboratifs sécurisés, des espaces dédiés aux différents acteurs du parcours de santé au travail et des fonctionnalités facilitant la gestion des identités et des échanges dans un cadre conforme aux exigences réglementaires.

L’objectif est de permettre aux SPST de s’appuyer sur une solution métier qui concilie efficacité opérationnelle, sécurité des données et conformité réglementaire.

Questions fréquentes

Qu’est-ce que la certification HDS ?

La certification HDS (Hébergeur de Données de Santé) est un dispositif réglementaire français destiné aux organismes qui hébergent des données de santé à caractère personnel pour le compte de tiers. Encadrée par le Code de la santé publique, elle vise à garantir un niveau élevé de sécurité, de disponibilité et de confidentialité des données hébergées. Elle est délivrée par un organisme certificateur accrédité à l’issue d’un audit et fait l’objet de contrôles réguliers afin de vérifier le maintien des exigences dans le temps.

Pourquoi la certification HDS est-elle importante pour un SPST ?

Les services de prévention et de santé au travail traitent quotidiennement des données de santé à caractère personnel : dossiers médicaux en santé au travail, avis d’aptitude, suivi des expositions ou encore informations nécessaires au suivi individuel des salariés. Lorsque ces données sont hébergées par un prestataire externe, il est essentiel de s’assurer que celui-ci répond aux exigences applicables en matière d’hébergement des données de santé, notamment à travers la certification HDS.

La certification HDS suffit-elle pour être conforme au RGPD ?

Non. La certification HDS concerne l’hébergement des données de santé. Le RGPD encadre plus largement les conditions de collecte, d’utilisation, de conservation et de protection des données personnelles. Pour un SPST, la conformité repose donc à la fois sur un hébergement adapté aux données de santé et sur une démarche globale de gouvernance des données personnelles.

Les données de santé doivent-elles être hébergées en France ?

La réglementation impose la certification HDS, pas strictement le territoire français. Mais pour éviter toute exposition à une législation extraterritoriale et garantir le droit applicable français, l’hébergement dans des datacenters souverains en France est fortement recommandé pour les données de santé d’un SPST.

Comment vérifier qu’une plateforme SaaS est certifiée HDS ?

Un éditeur ou un hébergeur certifié doit être en mesure de fournir son certificat HDS en cours de validité ainsi que le périmètre couvert par la certification. Il est également recommandé de vérifier la localisation des données, les engagements de sécurité, les modalités de réversibilité et, lorsque plusieurs prestataires interviennent, le rôle de chacun dans la chaîne d’hébergement.

Choisir une plateforme SaaS HDS : un enjeu de confiance

La sécurité des données de santé, la conformité réglementaire, la qualité de l’hébergement et la connaissance des enjeux de la santé au travail sont autant de critères à prendre en compte.

Avec uEgar®, Val Solutions a fait le choix d’associer expertise métier, hébergement certifié ISO 27001 et HDS, exigences de sécurité adaptées aux services de prévention et de santé au travail.

Vous souhaitez échanger sur vos enjeux de conformité, d’hébergement ou de transformation numérique ? Nos équipes peuvent vous accompagner pour évaluer vos besoins et vous présenter les solutions les plus adaptées à votre organisation.