Certification HDS : essentielle pour sécuriser les données de santé

Dans le secteur de la santé, la protection des données constitue une priorité absolue face aux enjeux éthiques et à la confidentialité des informations médicales. Ces données hautement sensibles circulent entre professionnels, prestataires et partenaires, nécessitant des garanties de sécurité strictes. La Certification Hébergeur de Données de Santé (HDS) s’impose ainsi comme un cadre de référence qui assure la conformité réglementaire et une protection optimale des données de santé.

Qu’est-ce que la certification HDS ?

La certification HDS (Hébergeur des données de santé) est une norme française reconnue qui atteste de la capacité d’un hébergeur à garantir la sécurité, l’intégrité et la confidentialité des données.

Obligatoire en France, elle remplace l’ancien agrément HADS et s’appuie sur la norme ISO 27001 pour établir un cadre structuré de gestion des risques.

La certification HDS est encadrée par :

• Le décret n° 2018-137 du 26 février 2018, qui définit les conditions de mise en place de la certification.
• L’arrêté du 26 avril 2024, qui établit le référentiel HDS v2, renforçant les exigences de sécurité et d’audit.

Elle s’adresse à toute organisation qui héberge ou traite des données médicales à caractère personnel, comme :

• Les établissements de santé ;
• Les éditeurs de logiciels médicaux ;
• Les prestataires de services cloud.

Qui est concerné par la certification HDS ?

La certification HDS concerne tous les acteurs qui hébergent des données de santé à caractère personnel, exploitent un système d’information de santé, ou s’occupent de stocker et/ou de sauvegarder des données de ce type pour le compte d’un tiers. La certification des hébergeurs de données de santé est donc une obligation légale.

La loi française impose aux établissements de santé et médico-sociaux (hôpitaux, cliniques, laboratoires, pharmacies, entreprises pharmaceutiques, maisons de santé, EHPAD, …) ainsi qu’aux professionnels (médecins, infirmier·ères, radiologues, …) qui gèrent des données sensibles d’avoir recours aux services d’un fournisseur Cloud offrant toutes les garanties de sécurité nécessaires – autrement dit, un prestataire certifié HDS, (Code de la Santé Publique, article L1111-8).

Le prestataire de services Cloud s’attache ainsi à respecter les exigences réglementaires pour le compte de son client. Plus particulièrement, la certification HDS concerne plusieurs activités, classées dans deux catégories :

• Pour l’hébergeur d’infrastructure physique : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information employé pour réaliser le traitement des données de santé, ou des sites physiques (datacenters) qui hébergent l’infrastructure matérielle utilisée dans le même but.
• Pour l’hébergeur en infogérance : la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ou de la plateforme d’hébergement d’applications du système d’information ; la gestion et l’exploitation du système d’information ; et la sauvegarde des données de santé.

Quelles sont les 6 activités visées par la certification HDS

La certification HDS (Hébergeur de Données de Santé) vise 6 activités précises, définies par le décret n°2018-137 et reprises dans le référentiel HDS v2 (arrêté du 26 avril 2024).

1. Mise à disposition d’infrastructures physiques : location de salles informatiques sécurisées, hébergement en datacenter.
2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle : serveurs, équipements de stockage, réseaux, sauvegardes, etc.
3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement : virtualisation, systèmes d’exploitation, middleware, etc.
4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure applicative : bases de données, environnements applicatifs, gestion des API, conteneurs, etc.
5. Mise à disposition et maintien en condition opérationnelle des applications : logiciels métiers de santé (DPI, outils de télémédecine, solutions de gestion de données patient, etc.).
6. Sauvegarde des données de santé : services de sauvegarde, archivage sécurisé, restauration de données en cas d’incident.

En pratique, les activités 1 à 4 concernent principalement les hébergeurs d’infrastructures (datacenters, cloud providers), tandis que les activités 5 et 6 visent plutôt les éditeurs de logiciels de santé et prestataires de services applicatifs.

Pourquoi obtenir la certification HDS ?

La certification HDS (Hébergeur de Données de Santé) est obligatoire en France pour toute organisation qui héberge ou traite des données de santé. Instaurée par le décret n°2018-137 et renforcée par le référentiel HDS v2 (arrêté du 26 avril 2024), elle repose sur la norme internationale ISO/IEC 27001 et intègre des exigences spécifiques au secteur de la santé.

Concrètement, la certification impose la mise en œuvre de mesures strictes de sécurité informatique : protocoles de sauvegarde et de chiffrement, contrôles d’accès rigoureux, protection physique des infrastructures et surveillance continue.

Elle exige également un engagement organisationnel fort : formation des collaborateurs, adoption de procédures de gestion des incidents, et respect d’obligations contractuelles garantissant transparence et protection des données de santé.

Au-delà de la conformité réglementaire, la certification HDS constitue un gage de confiance pour les patients, les établissements de santé et les partenaires, et représente un avantage concurrentiel pour les entreprises du numérique en santé.

Processus en 4 étapes pour obtenir la certification HDS

L’obtention de la certification HDS (Hébergeur de Données de Santé) nécessite au préalable la certification ISO/IEC 27001, qui définit un Système de Management de la Sécurité de l’Information (SMSI). Le processus s’articule en quatre grandes étapes :

1. Définir le périmètre et analyser les risques

• Identifier les activités HDS visées (parmi les 6 définies par la réglementation).
• Déterminer quelles infrastructures, plateformes, applications ou services sont concernés.
• Réaliser une analyse de risques et une analyse d’impact liées à la sécurité des données de santé.

2. Mettre en conformité son organisation et ses systèmes

• Mettre en place un système de management de la sécurité de l’information (SMSI) conforme à l’ISO 27001.
• Déployer les mesures spécifiques exigées par le référentiel HDS v2 (traçabilité, gestion des accès, sauvegardes, plan de reprise d’activité, etc.).
• Formaliser les politiques, procédures et preuves (sécurité, gouvernance, gestion des incidents).

La collaboration sécurisée et souveraine

Découvrez notre solution de collaboration sécurisée, hébergée en France et certifiée HDS.

En savoir plus

3. Réaliser un audit interne et préparer la certification

• Former les équipes et sensibiliser aux obligations HDS.
• Effectuer un audit interne pour vérifier la conformité.
• Corriger les éventuelles non-conformités avant l’audit externe.

4. Passer l’audit de certification avec un organisme accrédité par le COFRAC

• Phase 1 : audit documentaire (vérification des preuves et procédures).
• Phase 2 : audit sur site (contrôle opérationnel).
• En cas de succès, l’organisme délivre la certification HDS valable 3 ans, avec un audit annuel de surveillance.

Le référentiel HDS v2 : ce qui a changé

Le référentiel HDS v2, publié au Journal officiel le 16 mai 2024, marque une évolution majeure de la certification des Hébergeurs de Données de Santé. Tous les certificats délivrés sous l’ancienne version devront obligatoirement migrer vers ce nouveau référentiel au plus tard le 16 mai 2026.

Parmi les principaux changements figurent l’introduction d’exigences de souveraineté, imposant que l’hébergement et le traitement des données soient réalisés au sein de l’Espace économique européen (EEE), ainsi que de nouvelles obligations contractuelles entre les prestataires et leurs clients.

Le v2 apporte également une clarification des périmètres de certification, facilitant l’identification des activités couvertes, et intègre la norme ISO/IEC 27001:2022, qui renforce le management de la sécurité de l’information et aligne le référentiel sur les standards internationaux les plus récents.

Révision du référentiel HDS

Découvrez les principales avancées du V2, leurs implications pour les acteurs du numérique, et les perspectives futures.

En savoir plus

Quel est le calendrier de transition de la version 2 ?

Le référentiel HDS v2 a été publié au Journal officiel le 16 mai 2024 et est entré en vigueur le 16 novembre 2024. À compter de cette date, toute nouvelle certification doit être obtenue sur la base de cette version.

Les organisations déjà certifiées HDS selon la précédente version disposent d’un délai de transition de deux ans pour se mettre en conformité. Ainsi, tous les certificats « v1 » devront impérativement avoir migré vers le référentiel HDS v2 au plus tard le 16 mai 2026.

Ce calendrier impose aux hébergeurs de données de santé d’anticiper leur audit de transition afin de garantir la continuité de leur certification et d’éviter toute rupture de conformité réglementaire.

La certification HDS et son intégration avec la norme ISO/IEC 27001 et le RGPD

La certification HDS s’intègre dans un cadre réglementaire global visant à renforcer la cybersécurité et la protection des données personnelles. La norme ISO/IEC 27001 constitue le socle de la certification en définissant les principes fondamentaux de gestion des risques et de sécurisation des systèmes d’information.dits annuels afin de s’assurer de la conformité continue.