Si vous avez passé la semaine dernière à lire des fils Reddit contradictoires sur la conformité HIPAA de Supabase, la version courte est oui — mais seulement avec le bon plan, le bon module complémentaire, et seulement après la signature du BAA. La version plus longue explique pourquoi la plupart des équipes se trompent à ce stade lors de leur premier déploiement et à quoi doit vraiment ressembler votre pile en 2026.
Deux faits ont changé les calculs en 2025 : Vercel a ouvert les BAA HIPAA aux équipes Pro comme module complémentaire à 350 $/mois, et Supabase a rendu son module complémentaire HIPAA en libre-service depuis le tableau de bord. Le coût combiné — 700 $/mois pour la couche plateforme — place enfin une pile Next.js + Supabase conforme à la HIPAA défendable à la portée des équipes health-tech pré-Série A. Avant 2025, la même configuration nécessitait Vercel Enterprise (environ 45 K $/an en médiane) et Supabase Enterprise (tarification personnalisée, généralement un tier similaire), ce qui pousse la plupart des jeunes équipes vers AWS ou Azure.
Supabase est-il conforme à la HIPAA en 2026 ?
Oui, sous deux conditions. D'abord, vous devez être sur le plan Team (599 $/mois) ou le plan Enterprise, plus le module complémentaire HIPAA à 350 $/mois. Les plans Free et Pro ne supportent pas la HIPAA à aucun prix — le plan Pro de Supabase (25 $/mois) ne peut pas stocker de PHI dans aucune configuration. Deuxièmement, vous devez avoir un Accord d'associé commercial (BAA) signé avec Supabase, exécuté via le tableau de bord pour les clients Team et Enterprise.
Stocker des PHI dans un projet Supabase Pro sans le module complémentaire HIPAA constitue une violation HIPAA indépendamment du niveau de verrouillage de vos politiques RLS. Le BAA est la couche contractuelle qui donne de la valeur aux protections techniques. Pas de BAA, pas de conformité — même règle que pour tous les autres fournisseurs de votre pile.
Ce que l'add-on HIPAA de Supabase vous apporte réellement à 350 $/mois
L'add-on à 350 $ couvre quatre choses que votre plan Pro n'a pas : un BAA signé, des contrôles de sécurité supplémentaires (audit logging, IP allow-listing, MFA enforcement, log retention), une infrastructure dédiée pour les workloads sensibles à la conformité, et l'accès à la documentation de conformité de Supabase requise pour vos propres audits.
- Chiffrement au repos avec AES-256, en transit avec TLS 1.2+ — identique à Pro, mais contractuellement défini sous le BAA.
- Conservation des audit logs étendue pour respecter l'exigence HIPAA de 6 ans pour les logs d'accès touchant les PHI.
- La récupération ponctuelle de la base de données et les sauvegardes sont couvertes par le BAA, donc une restauration à partir d'une sauvegarde ne vous place pas en dehors de l'accord.
- Les Storage buckets, Auth, Edge Functions et Realtime sont tous couverts. Vous pouvez utiliser la plateforme complète pour les workloads HIPAA.
- La fonctionnalité AI / Vector (pgvector) est couverte, mais si vous incorporez des PHI aux vecteurs, vous êtes responsable de la posture de chiffrement des embeddings eux-mêmes et de tous les appels externes à une API d'embedding.
La pile HIPAA complète de 700 $/mois : Vercel + Supabase + les pièces que vous devez toujours construire
Une pile Next.js + Supabase conforme à HIPAA et défendable coûte 700 $/mois pour la couche plateforme en 2026 — 350 $ à Vercel pour l'add-on Pro BAA, 350 $ à Supabase pour l'add-on HIPAA. Ce prix suppose que vous êtes sur Vercel Pro et Supabase Team, qui coûtent ensemble environ 620 $/mois avant les BAAs. Plancher total : environ 1 320 $/mois, plus les sièges, plus tout service tiers admissible à HIPAA.
Ce que les BAAs de plateforme couvrent
- Hébergement (Vercel) : runtime Edge, Functions, ISR, optimisation des images, conservation des journaux. Le BAA Pro N'INCLUT PAS Secure Compute (réseaux isolés, adresses IP dédiées, peering VPC) — cela est réservé à l'Enterprise à environ 45 K$/an en médiane.
- Base de données, Auth, Storage, Realtime, Edge Functions (Supabase) : tout est couvert par le BAA.
- DNS, CDN, pipeline de build (Vercel) : couvert.
Ce que les BAA de la plateforme ne couvrent PAS — votre responsabilité
- Journalisation d'audit au niveau de l'application — chaque lecture/écriture de PHI doit atterrir dans votre propre table d'audit ou vers un logger admissible HIPAA externe comme une Edge Function Supabase écrivant dans un bucket à rétention isolée.
- Authentification et gestion de session — Supabase Auth avec le BAA couvre le stockage des identifiants, mais votre code de gestion de session, vos vérifications de rôles et votre application de délai d'inactivité sont au niveau applicatif.
- PHI dans les journaux d'erreur — Sentry, Datadog, LogRocket, PostHog, etc. ne sont PAS couverts à moins d'avoir leur tier HIPAA séparé (la plupart en proposent un, tous facturent un supplément). Le tier HIPAA de Sentry existe au plan Business (80+$/siège/mois). L'add-on HIPAA de Datadog nécessite Enterprise.
- Email — Resend, Postmark, SendGrid : chacun a son propre tier HIPAA. Le support HIPAA de Resend s'est établi en 2025 sur le plan Pro avec un BAA séparé. Vérifiez avant d'envoyer des rappels de rendez-vous ou toute PHI par email.
- Intégrations tierces — chaque API externe qui touche à la PHI a besoin de son propre BAA. Stripe Health, Twilio HIPAA, JotForm Gold (HIPAA à 99$/mois inclus), HubSpot Healthcare, etc.
Comment déployer une configuration Next.js + Supabase conforme HIPAA en 2026 — la séquence pratique
1. Signez d'abord les BAA, avant d'écrire votre schéma
Configurez un compte Vercel Pro, ajoutez l'extension HIPAA BAA via le tableau de bord. Configurez un compte d'équipe Supabase, demandez l'extension HIPAA, signez le BAA depuis le tableau de bord. Les deux sont des accords en un clic — pas des appels commerciaux Entreprise — et les deux doivent être complétés avant que toute PHI ne touche votre infrastructure. Si vous construisez d'abord et signez plus tard, chaque octet de PHI qui a atterri dans un stockage pré-BAA est une violation.
2. Concevez votre schéma en tenant compte de l'isolement des PHI
Séparez les colonnes PHI des colonnes non-PHI. Les politiques RLS doivent être appliquées sur chaque table PHI, avec la politique par défaut étant refuser. Utilisez pgcrypto pour le chiffrement au niveau des colonnes sur les champs très sensibles (numéro de sécurité sociale, codes de diagnostic, notes de santé mentale) — le BAA couvre AES-256 au repos, mais la défense en profondeur sur les champs les plus sensibles est ce que votre auditeur vous demandera.
3. Journalisation d'audit pour chaque accès PHI
HIPAA exige que vous enregistriez chaque lecture et écriture de PHI, et conserviez les journaux pendant six ans. Le modèle qui fonctionne dans Supabase : une table audit_log séparée que chaque requête touchant les PHI écrit via un déclencheur ou une Edge Function. Le journal d'audit lui-même est adjacent à la PHI — vous stockez les ID utilisateurs, les horodatages et les ID patients, mais jamais le contenu PHI lui-même dans la ligne d'audit. Conservez le journal d'audit selon une politique de rétention séparée de la base de données opérationnelle.
4. Authentification avec gestion de session éligible HIPAA
Supabase Auth avec l'extension HIPAA est couvert par le BAA. Les exigences au niveau de l'application restent à votre charge : sessions avec délai d'inactivité (généralement 15 minutes pour les postes de travail cliniques, 30 minutes pour les applications accessibles aux patients), application de l'authentification multifacteur pour les comptes cliniciens, politiques de rotation de mot de passe si votre auditeur l'exige, et contrôle d'accès basé sur les rôles explicite sur chaque route protégée. Utilisez le middleware Next.js pour la vérification de session, pas seulement des garde-fous côté client.
5. Stockage des documents et images PHI
Supabase Storage avec l'extension HIPAA couvre l'accès par URL signée, le chiffrement au repos et les buckets couverts par le BAA. Le modèle au niveau de l'application : un bucket par locataire, politique RLS sur la table storage.objects, URL signées avec expiration courte (5 à 15 minutes pour les documents PHI), et ne jamais exposer les URL publiques aux PHI même par obscurité. Auditez la lecture/écriture de chaque URL signée dans votre audit_log.
6. Formulaires — utilisez JotForm Gold pour 99 $/mois avant de construire le vôtre
Si votre seule admission PHI passe par des formulaires, JotForm Gold à 99 $/mois inclut HIPAA sans frais supplémentaires. Intégrez le formulaire via iframe, les PHI ne touchent jamais votre infrastructure, et vous avez un stockage de formulaires signé-BAA et audité en un après-midi. Construire des formulaires conformes à HIPAA nativement dans Next.js + Supabase est un engagement de 2 à 3 semaines que JotForm résout pour 99 $ par mois. Réservez la construction personnalisée aux parties de votre produit où le formulaire seul ne suffit pas.JotForm Gold at $99/month includes HIPAA at no add-on cost. Embed the form via iframe, the PHI never touches your infrastructure, and you have signed-BAA, audit-logged form storage in an afternoon. Building HIPAA-compliant forms natively in Next.js + Supabase is a 2-3 week engagement that JotForm solves for $99 monthly. Save the custom build for the parts of your product where the form alone is not enough.
Où Supabase n'est pas le bon choix pour les charges de travail HIPAA
- Si votre auditeur exige que chaque octet de PHI réside à l'intérieur de votre propre VPC. Supabase HIPAA vous donne une infrastructure multi-tenant avec BAA ; elle ne vous donne pas l'isolation VPC. La solution est Supabase Enterprise (devis personnalisé) avec infrastructure dédiée, ou Postgres auto-hébergé sur AWS RDS ou Azure en vertu de leur BAA.
- Si vous avez besoin de couverture FedRAMP ou StateRAMP en plus de HIPAA. Ces certifications relèvent du territoire Azure / AWS GovCloud. Supabase n'a pas d'autorisation FedRAMP à partir de mi-2026.
- Si votre application requiert une latence de lecture inférieure à 10 ms sur un ensemble de données patients multi-régions. Supabase a des répliques de lecture, mais l'histoire multi-régions n'est pas encore au niveau de CockroachDB + Vercel Edge avec réplication personnalisée.
- Si votre équipe a zéro profondeur opérationnelle Postgres et vous avez besoin d'une base de données clinique entièrement gérée avec schéma fourni par le fournisseur, API FHIR, et support aux décisions cliniques en standard. C'est le territoire d'Aidbox, Health Samurai, ou Particle Health, pas Supabase.
FAQ
Combien coûte Vercel HIPAA BAA ?
L'accord Business Associate Agreement HIPAA de Vercel est un complément de 350 $ par mois au plan Pro, signé via un clic d'auto-service dans le tableau de bord sans contrat Entreprise requis. SAML SSO est un complément séparé de 300 $ par mois. Combinés, une configuration de conformité typique sur Vercel Pro s'élève à 650 $ par mois avant les coûts de siège. Enterprise (environ 45 000 $ par an en médiane) regroupe BAA, SSO, et Secure Compute.
Supabase est-il conforme à la norme HIPAA ?
Oui, sur le forfait Team (599 $ par mois) ou Enterprise, plus le module complémentaire HIPAA à 350 $ par mois, avec un Business Associate Agreement signé exécuté via le tableau de bord. Les forfaits Supabase Free et Pro ne supportent pas la norme HIPAA quelle que soit la configuration. Stocker des PHI dans un projet Supabase Pro sans le module complémentaire HIPAA constitue une violation de la norme HIPAA indépendamment du verrouillage de vos politiques de sécurité au niveau des lignes.
Le forfait Supabase Pro est-il conforme à la norme HIPAA ?
Non. Supabase Pro à 25 $/mois ne supporte pas la norme HIPAA quelle que soit la configuration, et Supabase ne signera pas de BAA sur le forfait Pro. Pour stocker des PHI sur Supabase, vous devez être sur le forfait Team (599 $/mois) ou Enterprise, plus le module complémentaire HIPAA à 350 $/mois. Le plancher combiné est d'environ 950 $/mois pour la couche de base de données seule, avant les coûts de siège.
Le BAA de Vercel couvre-t-il Supabase, ou en ai-je besoin des deux ?
Vous en avez besoin des deux. Le BAA de Vercel couvre leur hébergement, runtime, edge et services de plateforme. Le BAA de Supabase couvre la base de données, l'authentification, le stockage et les fonctions edge sur l'infrastructure Supabase. Le BAA de chaque fournisseur ne couvre que ses propres services — il n'existe pas d'héritage HIPAA entre fournisseurs. Signez-en un avec chaque fournisseur qui accède à des PHI, y compris toute API tierce dans le chemin de la requête.
Puis-je utiliser Supabase Realtime pour des charges de travail HIPAA ?
Oui, sur le forfait Team avec le module complémentaire HIPAA, Supabase Realtime est couvert par le BAA. Les règles au niveau applicatif s'appliquent toujours : la sécurité au niveau des lignes doit être appliquée sur les canaux de diffusion, vos clients abonnés doivent s'authentifier via Supabase Auth, et les événements de diffusion PHI doivent être enregistrés dans votre table d'audit de la même façon que les lectures directes de base de données.
Qu'en est-il de pgvector et de l'IA sur Supabase HIPAA ?
La fonctionnalité pgvector est couverte par le BAA de Supabase. Le hic est que si vous encodez des PHI en vecteurs à l'aide d'une API externe (OpenAI, Anthropic, Voyage), l'appel d'encodage quitte l'infrastructure couverte par le BAA de Supabase et arrive chez un service tiers qui a besoin de son propre BAA. L'API OpenAI supporte la norme HIPAA via des points de terminaison à rétention zéro avec un BAA obtenu auprès de baa@openai.com. Claude d'Anthropic nécessite le forfait Enterprise (généralement 50 K $/an) pour la conformité HIPAA. Le stockage vectoriel dans pgvector est couvert par le BAA ; le pipeline d'encodage relève de votre responsabilité de couvrir complètement avec un BAA.
Les Edge Functions de Supabase comptent-elles comme du traitement de PHI selon le BAA?
Oui. Les Edge Functions sur le plan Team ou Enterprise avec l'add-on HIPAA sont dans le périmètre. Le bémol: les appels fetch sortants d'une Edge Function vers une API tierce ne sont pas dans le périmètre sauf si ce tiers dispose aussi d'un BAA. Si votre Edge Function appelle Stripe, Twilio ou Resend, chacun de ces fournisseurs doit être sur son tier HIPAA pour que l'appel soit conforme. Le BAA de Supabase ne s'étend pas à l'API que la fonction appelle.
Lectures connexes
Applications conformes à HIPAA en 2026 — Next.js, WordPress ou JotForm $99 — l'article parent de ce cluster couvrant les trois approches architecturales. — the parent post in this cluster covering all three architectural paths.
Les stacks d'hébergement qui signent réellement un BAA HIPAA en 2026 — comparaison d'hébergement plus large incluant AWS, Azure, GCP et les hôtes WordPress spécifiques à HIPAA. — broader hosting comparison including AWS, Azure, GCP, and the WordPress-specific HIPAA hosts.
WordPress Stack Advisor — collez votre URL, obtenez une recommandation de stack personnalisée en 30 secondes. Utile si vous pesez si votre brief healthcare a réellement besoin de la configuration complète Next.js + Supabase ou si le chemin WordPress + JotForm le résout moins cher. — paste your URL, get a tailored stack recommendation in 30 seconds. Useful if you are weighing whether your healthcare brief actually needs the full Next.js + Supabase setup or whether the WordPress + JotForm path solves it cheaper.
Si vous êtes à six semaines de votre application healthcare et que vous ne pouvez pas répondre « votre stack est-elle conforme à HIPAA aujourd'hui » par un simple oui, les trente prochaines minutes le résoudront.
Réservez un appel HIPAA stack de 30 minutes — décrivez le produit, parcourez votre stack actuelle, partez avec un chemin HIPAA défendable auprès de votre auditeur et au prix de votre stade. — describe the product, walk through your current stack, leave with a HIPAA path that is defensible to your auditor and priced for your stage.