HDS en Nouvelle-Calédonie ce que change le nouveau référentiel pour vos données médicales.

Ce que prévoit le nouveau référentiel HDS.

Publié fin 2024 par l’Agence du Numérique en Santé, le référentiel HDS v2 impose des contraintes nouvelles aux hébergeurs et, par ricochet, aux praticiens qui les choisissent. Trois changements sont structurants :

• Localisation des données dans l’EEE : l’hébergement physique des données de santé doit être réalisé exclusivement dans l’Espace économique européen. Plus de marge pour des datacenters américains, asiatiques ou hybrides sur ce périmètre.
• Cartographie publique des transferts : à compter du 26 septembre 2026, tout hébergeur HDS devra publier la liste précise des États non-EEE vers lesquels des données peuvent transiter, et les garanties associées.
• Échéance pour les anciens certifiés : les hébergeurs déjà titulaires de la HDS v1 doivent obtenir leur recertification au plus tard le 16 mai 2026. Au-delà, leur certification est considérée comme caduque.

Pour un praticien calédonien, la question n’est pas seulement « est-ce que mon prestataire est HDS ? » mais désormais « où exactement vivent mes données, et le saviez-vous ? ».

La NC est-elle dans l’EEE ?

Non. La Nouvelle-Calédonie a le statut de Pays et Territoire d’Outre-Mer (PTOM), distinct des Régions Ultrapériphériques (RUP) qui sont dans l’UE. Sur le papier, héberger des données de santé sur un serveur calédonien ne satisfait donc pas le critère de localisation EEE du nouveau référentiel.

En pratique, deux situations existent :

• Hébergement local NC (Stratos, Internet NC, etc.) : juridiquement hors EEE. À utiliser pour les données de santé uniquement avec un encadrement contractuel renforcé : DPO compétent, mention explicite dans la fiche d’information patient, consentement éclairé, mesures de chiffrement au repos et en transit.
• Hébergement métropolitain HDS (OVHcloud HDS, AP-HP Healthcare Cloud, Outscale, etc.) : conforme par défaut au nouveau référentiel, latence transpacifique de 280-350 ms.

Pour la grande majorité des cabinets calédoniens, le bon compromis est un hébergement métropolitain HDS couplé à une copie locale chiffrée (sauvegarde immutable hors-ligne) gérée par un prestataire NC. Ce double-niveau couvre à la fois la conformité française et la résilience face aux coupures de câble sous-marin.

Vos obligations de praticien NC en 2026.

• Identifier vos sous-traitants de données : agenda en ligne, logiciel de cabinet, formulaire de prise de RDV, bots WhatsApp, hébergeur du site internet, mail. Chacun héberge potentiellement des données de santé indirectes.
• Tenir un registre RGPD à jour (article 30 RGPD applicable en NC depuis 2019). Mentionner la base légale de chaque traitement, la durée de conservation, et les destinataires.
• Informer vos patients par une notice de confidentialité accessible sur votre site, en français clair, qui explique où sont leurs données et comment les supprimer.
• Choisir un site web sans tracker tiers : pas de Google Analytics, pas de Meta Pixel, pas de chat tiers (Zendesk, Tawk, Crisp). Préférer des analytics auto-hébergés (Plausible self-hosted, Matomo) ou pas d’analytics du tout sur les pages contenant un formulaire de contact santé.

Comment on conçoit nos sites santé en NC.

Sur les sites de praticiens libéraux qu’on livre en NC (psychologues, dentistes, kinés, ostéopathes), on applique systématiquement :

• Hébergement WordPress sur Cloud Bleu Stratos NC pour le site vitrine (latence locale, autonomie)
• Formulaire de prise de contact chiffré envoyant un email texte simple, sans persistence en base de données
• Aucun tracker tiers, aucun pixel publicitaire, aucun chatbot
• Captcha auto-hébergé (Friendly Captcha ou hCaptcha self-hosted)
• Sauvegardes chiffrées AES-256 stockées localement à Nouméa
• Notice de confidentialité claire, validée juridiquement