Cible · Healthtech et e-santé

Cybersécurité healthtech — HDS, RGPD santé, ISO 27001, AI Act médical.

Pour les healthtech, e-santé et SaaS médicaux, le cumul HDS + RGPD données sensibles + ISO 27001 + AI Act dispositif médical impose une discipline particulière. Pour les startups et scale-ups qui veulent vendre aux établissements de santé européens.

Réserver une scope-call de 20 min

Le paysage réglementaire healthtech en 2026

Le secteur healthtech français est régi par un empilement particulièrement contraignant :

HDS (Hébergeur de Données de Santé) — certification obligatoire pour tout hébergeur de données de santé en France (article L1111-8 CSP). Référentiel HDS-Hébergeur ou HDS-Infogéreur selon le rôle. Audit certificateur agréé par l'ANS (Agence du Numérique en Santé).

RGPD données de santé — données sensibles au sens de l'article 9 RGPD. Obligations renforcées : base légale spécifique, registre, AIPD (analyse d'impact), DPO obligatoire pour les acteurs santé.

ISO 27001 — quasi-prérequis pour vendre à un GHT, un grand établissement, ou un industriel pharmaceutique. Facilite HDS de 50-60%.

MDR (EU 2017/745) — Médical Device Regulation. Pour les dispositifs médicaux logiciels (SaMD), classe IIa et IIb principalement.

AI Act — les systèmes IA dans les dispositifs médicaux sont classés haut risque par l'Annexe III. Articulation avec la MDR.

NIS2 — le secteur santé est explicitement listé. Établissements de santé, fabricants de dispositifs médicaux, laboratoires pharmaceutiques sont entités essentielles ou importantes.

Les chantiers types healthtech

1. Certification HDS. Préalable à toute vente à un acteur santé français. 9-12 mois. Bundle HDS + ISO 27001 sur 12 mois économise 30-40% vs deux démarches.

2. AIPD (Analyse d'impact RGPD). Obligatoire pour le traitement de données de santé. Documentation des risques, mesures de mitigation, validation par DPO.

3. Conformité MDR si SaMD (Software as Medical Device). Notice d'utilisation, surveillance post-commercialisation, traçabilité. Articulation avec ISO 13485 (système qualité dispositif médical).

4. AI Act + ISO 42001 si IA médicale. Documentation Annexe IV, surveillance humaine renforcée (la santé est un domaine où l'humain doit rester décisionnaire), robustesse adversariale.

5. Sécurité produit. Audit code source, threat modeling spécifique santé (modèles d'attaques contre les SaaS médicaux), durcissement de l'infrastructure d'hébergement HDS-compatible.

Pour qui c'est pertinent

Trois profils healthtech où WeeSec apporte le plus de valeur :

  • Startup ou scale-up e-santé (15-100 personnes) qui démarre la chasse aux clients établissement de santé et a besoin de la certification HDS pour qualifier les RFP.
  • SaaS médical IA-native (radiologie assistée, scoring patient, aide au diagnostic) — soumis cumulativement à MDR + AI Act + HDS + RGPD.
  • Healthtech industrielle (pharmaceutique, biotech) qui doit répondre aux DDQ sécurité de leurs partenaires hospitaliers.

Les éditeurs DMP / DPI matures avec services informatiques dédiés ont généralement leur propre fonction cyber — WeeSec intervient alors en mission ad-hoc (audit IA, threat modeling SaaS médical, support audit certificateur).

Combien ça coûte

Programme cyber healthtech complet (HDS + ISO 27001 + RGPD) sur 12-18 mois pour une scale-up 30-100 personnes : 150-300 K€.

Bundle HDS + ISO 27001 sur 12 mois : 120-180 K€ (vs 200-280 K€ séparés).

RSSI externalisé healthtech : 8-15 K€ HT/mois.

Audit HDS seul (gap analysis + plan d'action) : 18-35 K€ HT.

AIPD assistée : 8-15 K€ HT par traitement majeur.

Conformité AI Act + ISO 42001 pour SaaS IA médicale : 50-120 K€ sur 6 mois.

Cadrage direct, sans engagement.

Une scope-call de 20 minutes pour qualifier votre besoin et vous fournir un devis ferme.

Réserver un échange Calendly

Articles connexes

ConformitéISO 27001 SaaS B2B : roadmap 12 mois ConformitéAI Act haut risque : application août 2026 ConformitéISO 42001 vs ISO 27001 : différences Sécurité IAAudit fournisseur LLM tiers : DDQ
FAQ

Questions fréquentes.

Qu'est-ce que la certification HDS ?

HDS (Hébergeur de Données de Santé) est une certification obligatoire en France pour tout acteur qui héberge ou infogère des données de santé à caractère personnel (article L1111-8 du Code de la santé publique). Référentiel HDS-Hébergeur ou HDS-Infogéreur selon le rôle. Audit certificateur agréé par l'ANS (Agence du Numérique en Santé).

Combien de temps prend une certification HDS ?

Pour une scale-up 30-100 personnes partant de zéro : 9-12 mois. Réduit à 6-9 mois si ISO 27001 déjà obtenue. Bundle HDS + ISO 27001 sur 12 mois en démarche conjointe : 30-40% d'économie vs deux démarches séparées. La certification HDS est valable 3 ans avec audits de surveillance annuels.

Mon SaaS de coaching santé est-il soumis à HDS ?

Si vous hébergez des données de santé à caractère personnel (état de santé, diagnostic, traitement), oui — sauf si vous êtes vous-même le responsable de traitement et que vous hébergez en propre. Si vous traitez des données 'bien-être' uniquement (suivi sport, méditation), généralement non. La frontière est fine — un cadrage juridique préalable est indispensable.

Les SaMD (Software as Medical Device) sont-ils tous soumis à AI Act ?

Si le SaMD utilise de l'IA et est classé en Annexe III AI Act (systèmes liés à la santé, en classe IIa/IIb/III MDR), oui. Le double cadre MDR + AI Act s'applique : documentation Annexe IV AI Act + technical file MDR, surveillance post-commercialisation, traçabilité. Application 2 août 2026 pour AI Act.

Comment articuler ISO 27001 et HDS ?

ISO 27001 couvre 50-60% des exigences HDS-Hébergeur. La séquence recommandée : ISO 27001 d'abord (foundation ISMS), puis HDS en 6-9 mois additionnels. Ou en démarche conjointe si la roadmap commerciale impose les deux simultanément. WeeSec dispose d'un canevas combiné HDS + ISO 27001.

Quelle expertise WeeSec sur la healthtech ?

Aroua Biri a accompagné L'Oréal, AXA Assurances santé et plusieurs scale-ups e-santé françaises sur la sécurité produit et la conformité réglementaire. Pratique actuelle : scale-ups e-santé qui doivent passer la certification HDS + ISO 27001 dans les 12-18 prochains mois pour vendre aux GHT, industriels pharma ou assureurs santé.

À propos

Aroua Biri — fondatrice WeeSec, ingénieure docteure en cybersécurité

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt