hipaa-baa-hosting-stacks-2026.html
< BACK Couloir de centre de données faiblement éclairé avec des baies de serveurs clignotantes et une seule lampe ambre, photographié dans un style cinématographique 35 mm

Des stacks d'hébergement qui signent vraiment un BAA HIPAA en 2026

Une startup du secteur médical m'a appelé début 2023. Des fondateurs sympas, un budget correct, un brief clair : formulaires d'admission de patients, planification de rendez-vous, peut-être un widget de télésanté plus tard. « Nous utilisons WP Engine », m'a dit le CTO. Je lui ai demandé si WP Engine avait signé leur BAA. Long silence. « C'est quoi un BAA ? »

C'est là que réside le problème — pas dans le code, pas dans la pile de plugins, mais dans la paperasse que la plupart des développeurs ne lisent jamais et que la plupart des hébergeurs évitent discrètement.

Voici le truc : la conformité HIPAA n'est pas une fonctionnalité qu'on active. C'est un cadre juridique, et le Business Associate Agreement est le contrat qui fait de votre fournisseur d'hébergement une partie formelle de ce cadre. Sans un BAA signé, peu importe si votre serveur exécute TLS 1.3 et que vous avez chiffré tous les champs de la base de données. Vous restez exposé. Vos clients aussi.

Laissez-moi vous expliquer ce que je sais réellement sur les plateformes qui signeront en 2026, et — plus important encore — lesquelles disent les bonnes choses mais refusent de signer.

---

Ce qu'un BAA est réellement (et ce qu'il n'est pas)

Un Business Associate Agreement est un contrat en vertu de la HIPAA Privacy Rule qui lie un fournisseur à des obligations spécifiques concernant les Protected Health Information (PHI). Quand vous hébergez un site de santé, votre fournisseur d'hébergement touche aux PHI — même si c'est seulement au niveau de l'infrastructure. Cela fait d'eux un Business Associate. Point final.Business Associate Agreementis a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI — even if only at the infrastructure layer. That makes them a Business Associate. Full stop.

Ce que le BAA ne fait pas, c'est vous rendre conforme automatiquement. Je vois cette erreur constamment. Le BAA signifie que l'hôte accepte sa part de responsabilité et s'engage à mettre en place des mesures de protection. Votre couche applicative, vos formulaires, vos plugins WordPress, vos journaux — c'est toujours votre responsabilité.theirshare of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging — that's still on you.

Seahawk a eu un projet en 2022 pour un groupe de physiothérapie basé aux États-Unis qui gérait un site WordPress. Le client avait un BAA avec son fournisseur de messagerie (bien), son fournisseur de dossiers médicaux électroniques (évidemment), mais rien avec son hébergeur web. Son site collectait des données de symptômes via Gravity Forms. Chaque soumission était envoyée par email à un compte Gmail. Trois violations distinctes dans un seul workflow. Nous l'avons démêlé en environ six semaines.

---

Les hébergeurs qui vont réellement signer en 2026

AWS, GCP et Azure — Les options sérieuses

Si vous avez besoin d'un BAA et vous avez besoin de certitude, les hyperscalers sont votre réponse. Les trois — Amazon Web Services, Google Cloud Platform et Microsoft Azure — offrent des BAA et maintiennent des listes de services éligibles pour HIPAA.Amazon Web Services, Google Cloud Platform, and Microsoft Azure — offer BAAs and maintain lists of HIPAA-eligible services.

AWS est ce que j'utilise le plus souvent. Le BAA couvre une gamme solide de services : EC2, RDS, S3, CloudFront, Lambda, et plus encore. De manière critique, pas chaque service AWS n'est éligible. DynamoDB est sur la liste ; pas tous les services expérimentaux le sont. Vous devez vérifier la page des services éligibles actuels avant d'architecturer quoi que ce soit.

Le BAA de GCP couvre BigQuery, Cloud SQL, Compute Engine et Cloud Storage, entre autres. Azure a l'adoption entreprise la plus large dans le secteur de la santé en particulier — leur BAA et leur documentation de conformité sont mûrs, et si votre client est déjà dans l'écosystème Microsoft (ce que la plupart des organisations de santé d'entreprise sont), Azure a souvent du sens organisationnel.

Le piège avec ces trois solutions : vous n'obtenez pas du WordPress géré ici. Vous obtenez de l'infrastructure. Quelqu'un doit construire et maintenir la pile — patchs du système d'exploitation, configuration du WAF, sauvegardes, chiffrement au repos et en transit. Chez Seahawk, nous avons utilisé AWS avec une instance EC2 durcie exécutant Nginx, PHP-FPM et MySQL pour des clients du secteur de la santé. Ça fonctionne. C'est aussi beaucoup plus de surcharge opérationnelle que de confier à quelqu'un un accès WP Engine.

Kinsta — Oui, selon la situation

Kinsta fonctionne sur GCP. Ils proposent la signature de BAA pour les clients sur leurs plans de niveau supérieur (Business 1 et au-dessus, à ma dernière vérification). C'est important parce que Kinsta est véritablement un excellent hébergement WordPress géré. Rapide. Fiable. De bons environnements de staging.

Mais — et cela vaut la peine d'être souligné — la couverture BAA de Kinsta est quelque peu plus étroite que d'aller directement à GCP vous-même. Vous dépendez des contrôles internes de Kinsta ainsi que de ceux de GCP. Pour de nombreux projets WordPress dans le secteur de la santé, c'est acceptable. Pour tout ce qui touche à des données très sensibles en volume, je voudrais comprendre exactement ce que dit leur documentation de sécurité avant de m'engager.

Cloudways — Non

Cloudways est populaire dans le monde des agences. Un bon rapport prix-performance. Nous l'avons utilisé sur des dizaines de projets non sensibles. Mais à ma dernière vérification, Cloudways n'offre pas de BAA HIPAA. Ils fonctionnent même sur AWS et GCP en dessous, ce qui est légèrement ironique. La couche gérée introduit une incertitude qu'ils ne sont pas prêts à couvrir contractuellement à des fins HIPAA.

Pantheon — Non (pour la plupart des plans)

Pantheon est excellent pour les agences Drupal et WordPress. La conformité HIPAA n'est pas leur marché. Ils ont été clairs à ce sujet. Ne vous laissez pas tromper par l'image de marque d'entreprise.

WP Engine — Non

Je sais. Ils disposent de documentation de conformité. Ils parlent de sécurité. Ils ne signeront pas de BAA HIPAA. Leurs conditions d'utilisation interdisent explicitement de stocker des PHI sur leur plateforme. Cela les disqualifie pour tout véritable cas d'usage dans le secteur de la santé. La startup que j'ai mentionnée en haut de cet article ? C'est exactement là qu'elle en était.

Liquid Web / Nexcess — Possible, avec réserves

Liquid Web a proposé un hébergement géré conforme à la HIPAA avec signature de BAA, généralement sur leurs produits de serveurs dédiés ou VPS plutôt que sur des plans partagés. Cela vaut la peine d'avoir une conversation directe avec leur équipe commerciale. Leur posture en matière de conformité s'est améliorée. Mais je voudrais avoir le BAA en main avant de construire quoi que ce soit.

---

Ce dont votre pile WordPress a besoin au-delà du BAA

Le BAA est la fondation, pas le bâtiment. Voici ce qui doit réellement se passer au niveau de la couche applicative pour un site WordPress adjacent à la HIPAA.

Formulaires et collecte de données

  • Gravity Forms avec la bonne configuration peut être utilisé, mais Gravity Forms natif stocke les soumissions dans la base de données WordPress par défaut. Pour les PHI, vous devez soit désactiver le stockage en base de données et acheminer les données de manière sécurisée vers une destination conforme à la HIPAA, soit utiliser leur add-on Encrypted Fields avec prudence.with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
  • Cognito Forms et FormAssembly proposent tous deux des niveaux conformes à la HIPAA avec des BAA. Si le formulaire est le point principal de collecte de données, ce sont souvent des solutions plus propres que de lutter avec GF.andFormAssemblyboth offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
  • Ne jamais, au grand jamais, utiliser de plugins de formulaire de contact gratuits qui envoient des données à des serveurs tiers sans vérifier leur posture en matière de conformité.

Email

C'est celui-ci qui tue les gens. Votre site WordPress envoie probablement des emails via wp_mail(), qui utilise par défaut PHP mail ou un plugin SMTP connecté. Gmail standard, Mailchimp standard, SendGrid standard — aucun d'eux ne signe un BAA HIPAA aux niveaux d'entrée.

Paubox est celui que je recommande régulièrement aux petits et moyens clients du secteur santé. Email conforme HIPAA, BAA inclus, tarification transparente. Google Workspace propose également un BAA pour ses clients du secteur santé, mais cela nécessite un plan spécifique et un processus de demande formel — il ne s'applique pas à un compte Google standard.is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process — it doesn't apply to a standard Google account.

Plugins et intégrations tierces

Chaque plugin qui communique vers l'extérieur, chaque script d'analyse, chaque widget de chat en direct — tout cela peut potentiellement toucher à des PHI selon les données présentes sur la page. Menez un audit approprié. J'utilise Query Monitor pour identifier ce qui effectue des requêtes externes, puis je fais une vérification croisée avec la documentation de conformité de chaque fournisseur.Query Monitorto identify what's making external requests, then cross-reference against each vendor's compliance documentation.

HubSpot signera un BAA. Intercom ne le fera pas (aux niveaux standard). Hotjar ne devrait presque certainement pas s'exécuter sur un site santé sans un exercice de cadrage très minutieux.

---

Comment obtenir réellement un BAA signé

C'est plus procédural que technique, mais j'ai vu des projets stagner à cette étape.

  1. Identifiez chaque fournisseur qui touche ou pourrait toucher à des PHI — hébergeur, CDN, email, formulaires, analyse, chat d'assistance, fournisseur de sauvegarde.that touches or could touch PHI — host, CDN, email, forms, analytics, support chat, backup provider.
  2. Demandez la documentation BAA à chaque équipe commerciale ou conformité du fournisseur. Ne supposez rien. Obtenez-le par écrit.from each vendor's sales or compliance team. Don't assume. Get it in writing.
  3. Examinez la portée — un BAA qui ne couvre que certains services ou certains types de données doit être bien compris avant de signer.— a BAA that only covers certain services or certain data types needs to be understood before you sign.
  4. Stockez les accords signés quelque part que l'équipe juridique de votre client peut consulter. Pas seulement dans votre boîte de réception.somewhere your client's legal team can access. Not just in your inbox.
  5. Réexaminez-les chaque année — les vendeurs changent leurs politiques, les services deviennent obsolètes, et un BAA qui couvrait votre stack en 2024 peut avoir des lacunes en 2026.— vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.

Les directives du HHS sur les Business Associates sont en fait lisibles. Ça vaut trente minutes de votre temps si c'est nouveau pour vous.HHS guidance on Business Associatesis actually readable. Worth thirty minutes of your time if you're new to this.

---

Le problème du CDN dont personne ne parle

Vous avez réglé votre hébergeur. Vous avez un BAA. Vous avez sécurisé la couche application. Puis vous mettez Cloudflare devant.

Cloudflare signera un BAA — mais seulement sur leur plan Enterprise, qui commence à un tarif qui l'exclut pour la plupart des petits clients en santé. Les tiers Free et Pro ? Pas de BAA. Ce qui signifie que Cloudflare déchiffre et inspecte techniquement votre trafic HTTPS sans BAA en place, sur un site qui peut avoir des PHI en transit.Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.

Pour les projets plus petits, j'ai contourné cela en utilisant AWS CloudFront (éligible BAA) comme couche CDN quand le site est déjà sur EC2 ou derrière un Application Load Balancer. C'est moins glamour qu'un tableau de bord Cloudflare mais c'est propre du point de vue de la conformité.

---

Ce que je construirais réellement en 2026

Si un client du secteur de la santé me contactait demain avec une exigence WordPress, voici à peu près comment j'architecturerais la solution :

  • Hébergement : AWS EC2 (avec un BAA signé) exécutant une pile LEMP renforcée, ou Kinsta Business avec leur BAA en mainAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
  • Email : Paubox pour les emails transactionnels et ceux destinés aux prestatairesPaubox for transactional and provider-facing email
  • Formulaires : FormAssembly ou Gravity Forms avec stockage en base de données désactivé et routage des soumissions chiffréFormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
  • CDN : AWS CloudFront, pas Cloudflare free/ProAWS CloudFront, not Cloudflare free/Pro
  • Analytique : Matomo auto-hébergé sur la même infrastructure couverte par le BAA — pas Google Analytics pour tout ce qui pourrait contenir des PHI dans l'URL ou les paramètresSelf-hosted Matomo on the same BAA-covered infrastructure — no Google Analytics for anything that has even a chance of PHI in the URL or parameters
  • Sauvegardes : AWS S3 (éligible BAA) avec chiffrement côté serveurAWS S3 (BAA-eligible) with server-side encryption

C'est plus cher qu'un WordPress standard ? Oui. C'est plus complexe opérationnellement ? Aussi oui. Mais l'alternative, c'est un client confronté à une notification de violation HIPAA, des amendes commençant à 100 $ par violation par jour, et une conversation très inconfortable sur les raisons pour lesquelles leur développeur n'a jamais mentionné tout cela.HIPAA breach notificationprocess, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.

---

FAQ

Est-ce que « l'hébergement conforme à la HIPAA » a une valeur légale ?

Non. C'est une formule marketing. Ce qui a une valeur légale, c'est un BAA signé. N'importe quel hébergeur peut se dire conforme à la HIPAA, prêt pour la HIPAA, ou quelque chose du genre. Sans BAA, ces mots sont purement décor. Posez toujours la question précise : « Signerez-vous un Business Associate Agreement avec nous ? »

Mon site a-t-il besoin d'un BAA s'il ne contient qu'un formulaire de contact ?

Si le formulaire de contact collecte des informations qui pourraient constituer des PHI — symptômes, diagnostics, raisons de rendez-vous, n'importe quoi lié à l'identité et l'état de santé d'un patient — alors oui, chaque prestataire dans cette chaîne de données doit avoir un BAA. Un formulaire générique « prendre rendez-vous » qui collecte seulement le nom, le téléphone et l'heure préférée, c'est du gris, mais je penche quand même pour l'obtention du BAA.

Puis-je utiliser WordPress.com pour un site de santé ?

WordPress.com (la plateforme hébergée, pas le logiciel WordPress auto-hébergé) n'offre pas de BAA HIPAA. Point final. C'est différent de WordPress auto-hébergé sur une infrastructure conforme. Le logiciel est correct. La plateforme hébergée n'est pas appropriée pour les PHI.

Que se passe-t-il si un prestataire que j'utilise est acquis et le nouveau propriétaire abandonne le BAA ?

C'est un risque réel et je l'ai vu arriver avec des outils SaaS plus petits. Votre BAA doit avoir des clauses de résiliation qui s'activent si le prestataire ne peut plus respecter les obligations HIPAA. Quand vous recevez un email d'annonce d'acquisition, ne le jetez pas — vérifiez si les engagements de conformité sont maintenus sous la nouvelle entité.

La HIPAA ne concerne-t-elle que les États-Unis ?

Oui, HIPAA est une loi fédérale américaine. Mais si vous construisez pour des clients du secteur de la santé au Royaume-Uni ou en UE, les équivalents — les normes NHS Digital, le Data Security and Protection Toolkit et le RGPD appliqué aux données de santé — imposent des exigences similaires concernant les accords de traitement des données. Le cadre diffère, la logique non.

---

La plupart des développeurs, s'ils sont honnêtes, ne pensent pas au BAA que jusqu'à ce que quelqu'un le demande. À ce moment-là, soit tout va bien (vous avez eu de la chance), soit vous retrofittez une pile sous la pression avec un client nerveux au téléphone.

Mieux vaut connaître le paysage avant de commencer le projet que de réaliser à mi-parcours d'une implémentation que votre hébergeur ne signera pas le seul document qui compte vraiment.

< BACK