L’industrie de la santé française a une spécificité que peu d’autres secteurs partagent : tout traitement de données personnelles de santé doit être hébergé chez un Hébergeur de Données de Santé certifié (HDS). Cette obligation, posée par l’article L1111-8 du Code de la santé publique, a longtemps tenu Salesforce à distance des hôpitaux, mutuelles et acteurs du parcours patient.
La situation a changé. Salesforce dispose depuis 2020 de la certification HDS sur certaines de ses offres, et l’écosystème français commence à se structurer. Voici ce qu’il faut savoir pour déployer Salesforce dans le respect des contraintes santé françaises.
Salesforce et la certification HDS : ce qui est possible
Salesforce a obtenu la certification HDS en 2020 et la maintient depuis. Mais attention : la certification HDS de Salesforce ne couvre pas toutes les éditions ni tous les modules. Les conditions d’éligibilité sont précises.
- Sales Cloud, Service Cloud, Health Cloud, Experience Cloud sont éligibles HDS sur l’instance Hyperforce France ou UE.
- Marketing Cloud Engagement historique n’est pas couvert HDS — un point à surveiller pour les usages communication patient.
- Data Cloud, AgentForce, Einstein Platform sont en cours de stabilisation HDS — vérifiez la version la plus récente du contrat avant signature.
- AppExchange tiers : chaque app installée doit elle-même être conforme HDS pour les flux de données de santé. C’est rarement le cas par défaut.
Le bon réflexe : avant tout déploiement Salesforce dans la santé, demandez à votre AE la liste exhaustive des produits couverts par votre contrat HDS et consignez-la dans votre dossier de conformité.
Health Cloud : le module métier dédié
Salesforce Health Cloud est l’édition pensée pour la santé. Il étend le modèle Salesforce avec :
- Patient 360 : vue unifiée du parcours patient, antécédents, prescriptions, rendez-vous, hospitalisations.
- Care Plans : plans de soins structurés avec étapes, objectifs, intervenants, suivi.
- Care Networks : représentation des praticiens, établissements, équipes pluridisciplinaires gravitant autour du patient.
- Clinical Data Model : alignement avec les standards FHIR et HL7 pour l’interopérabilité avec les systèmes hospitaliers.
- Consent Management : gestion native des consentements RGPD santé renforcés.
Health Cloud est particulièrement adapté aux mutuelles, assureurs santé, prestataires de santé à domicile, plateformes de télémédecine, réseaux de soins et acteurs de la prévention. Pour un hôpital public, la situation est plus nuancée — Salesforce s’y déploie en complément du DPI (Dossier Patient Informatisé) plutôt qu’en remplacement.
Les exigences de conformité au-delà de HDS
HDS n’est qu’une première couche. La conformité d’une instance Salesforce dans la santé empile plusieurs exigences.
RGPD santé renforcé
Les données de santé sont catégorie particulière au sens de l’article 9 du RGPD : leur traitement est interdit par principe, sauf base juridique spécifique (consentement explicite, intérêt vital, soins, santé publique, recherche…). Le PIA est obligatoire et la base juridique doit être documentée pour chaque finalité.
Voir notre checklist RGPD Salesforce qui s’applique entièrement, avec un niveau d’exigence renforcé.
PSSI-MCAS et MSSanté
Pour les acteurs publics du secteur (ARS, GHT, hôpitaux), respect de la PSSI-MCAS (Politique de Sécurité des Systèmes d’Information du Ministère de la Santé) et intégration possible avec MSSanté (messagerie sécurisée santé) à prévoir.
Référentiels d’identité (INS, identifiant national de santé)
Le rapprochement avec l’INS est obligatoire dès lors que l’on échange des données patient avec d’autres acteurs santé en France. Salesforce Health Cloud peut stocker l’INS, mais ne le qualifie pas — il faut une intégration avec un téléservice INSi.
Cas d’usage qui marchent dans la santé
Mutuelle santé et complémentaire
Le cas d’usage le plus mature. Service Cloud + Health Cloud + Marketing Cloud = relation adhérent omnicanale, avec respect des contraintes santé. Gestion des sinistres, demandes de remboursement, programmes de prévention, parcours fidélisation. ROI démontré sur la productivité du back-office et la satisfaction adhérent.
Plateforme de télémédecine
Health Cloud + Experience Cloud (portail patient) + intégrations vidéo + DMP. Le parcours patient (prise de rendez-vous, téléconsultation, prescription dématérialisée, suivi) est nativement supporté. Un cas où la couche conformité HDS + RGPD santé doit être totalement verrouillée.
Prestataire de santé à domicile (PSAD)
Field Service + Health Cloud pour les tournées des techniciens santé (oxygénothérapie, perfusion, nutrition entérale). Suivi des dispositifs médicaux installés, planification des interventions, traçabilité des soins. Marché en forte croissance, peu d’intégrateurs spécialisés.
Hôpital privé et clinique
Pas en remplacement du DPI mais en complément : gestion de la relation patient pré- et post-hospitalisation, suivi qualité, programmes de prévention, marketing santé. Le DPI reste sur Maincare, Softway Medical, Sopra HR Healthcare ou équivalent.
Laboratoire pharmaceutique
Cas d’usage CRM commercial classique pour la force de vente médicale (visite médicale, événements, échantillonnage), avec contraintes pharmacovigilance et règles d’information promotionnelle (HAS, ANSM). Salesforce Veeva Vault est l’écosystème dominant, mais Salesforce natif + AppExchange spécialisés est aussi possible.
Les pièges spécifiques à la santé
- Confusion HDS / RGPD. HDS adresse l’hébergement, RGPD adresse le traitement. Vous pouvez être HDS-conforme et RGPD-non-conforme. Les deux exigences sont cumulatives.
- Apps AppExchange non HDS. Vous installez un connecteur Outlook ou un outil de signature électronique sans vérifier sa certification HDS. La donnée santé sort de la zone certifiée. Compliance fragile.
- Sandbox de production avec vraies données patient. Le scénario classique : refresh sandbox depuis prod, prestataire externe accède aux données. Risque RGPD santé majeur. Anonymisation systématique obligatoire (Data Mask ou scripts).
- Marketing automation sur Marketing Cloud non-HDS. Plusieurs mutuelles ont déployé Marketing Cloud Engagement avant que la conformité HDS soit clarifiée. Risque sur les communications adhérents qui contiennent des données de santé.
- Intégration avec l’écosystème santé non sécurisée. Connexion à des téléservices Ameli, INSi, MSSanté sans canal sécurisé qualifié. Audit ARS / CNIL probable.
L’IA en santé : prudence renforcée
L’IA Act classe la plupart des usages IA en santé comme « haut risque » : aide au diagnostic, scoring de patients, priorisation d’urgences, recommandations de traitement. Concrètement pour Salesforce :
- Einstein Copilot et AgentForce sur des cas non régulés (résumé administratif, prise de RDV, FAQ adhérent) : possible avec gouvernance.
- IA décisionnelle sur des paramètres santé : régime AI Act haut risque, analyse de conformité indispensable, supervision humaine obligatoire, documentation lourde.
Voir notre comparatif AgentForce vs Einstein Copilot pour le cadrage IA général.
Combien coûte un projet Salesforce santé sérieux
- Licences Health Cloud + Shield + Backup pour 100 utilisateurs : ordre de grandeur 400 à 700 k€/an.
- Intégration initiale avec le SI santé existant (DPI, INSi, MSSanté, téléservices Ameli) : 500 k€ à 1,5 M€.
- Audit HDS de l’instance et du dossier : 25 à 60 k€, à refaire chaque renouvellement HDS de Salesforce.
- TMA : 15 à 25 % du coût initial.
Le bon ordre de mise en œuvre
- Phase 1 : cadrage de la conformité (HDS, RGPD santé, AI Act, PSSI), validation du périmètre, dossier d’externalisation.
- Phase 2 : architecture cible (Health Cloud, Hyperforce France, Shield, intégrations).
- Phase 3 : POC sur un cas d’usage maîtrisable (relation adhérent ou prise de rendez-vous).
- Phase 4 : industrialisation avec gouvernance des releases.
- Phase 5 : audit annuel HDS + RGPD + sécurité (cumulatif).
Conclusion : Salesforce en santé, une plateforme sérieuse pour les acteurs prêts à investir dans la conformité
Salesforce est une plateforme adaptée à la santé française à condition de prendre la conformité au sérieux dès le cadrage. Mutuelles, télémédecine, PSAD, hôpitaux privés, laboratoires : les cas d’usage existent et fonctionnent. Mais le déploiement « rapide et autonome » qui marche dans le SaaS B2B ne tient pas en santé.
Chez Cloud Girafe, nous accompagnons des acteurs de la santé sur leurs projets Salesforce avec une approche conformité-first. Si vous portez un projet Salesforce dans le secteur santé et que vous voulez en discuter, contactez-nous sur cloudgirafe.fr.
