Certification HDS : définition, enjeux et obligations pour l’hébergement des données de santé

La transformation numérique du secteur de la santé s’accompagne d’une explosion des volumes de données sensibles collectées et partagées chaque jour. Qu’il s’agisse de résultats d’analyses, de dossiers patients ou encore d’applications de télémédecine, ces informations nécessitent une protection maximale.
En France, cette exigence est encadrée par la certification HDS (Hébergement de Données de Santé), un référentiel obligatoire pour tout acteur hébergeant ou traitant des données de santé.
Qu’est-ce que la certification HDS ?
La certification HDS est le cadre réglementaire français qui régit l’hébergement de données de santé à caractère personnel.
Elle garantit que les informations médicales sont stockées et traitées dans des conditions de sécurité, de confidentialité et de disponibilité strictes.
Cadre légal : Article L.1111-8 du Code de la santé publique
Supervision : Agence du Numérique en Santé ANS
Délivrance : Organismes certificateurs accrédités par le COFRAC
Alignement européen : conforme au RGPD et partiellement alignée avec les normes ISO 27001, 27017 et 27018
Les objectifs clés de la certification HDS
L’obtention de la certification HDS poursuit plusieurs finalités :
Assurer la sécurité et l’intégrité des données médicales face aux cybermenaces.
Garantir la conformité avec le RGPD et les réglementations françaises.
Protéger la confidentialité des patients en réduisant les risques de fuite de données.
Maintenir la disponibilité des services de santé, 24h/24 et 7j/7.
Créer un climat de confiance entre professionnels de santé, patients et prestataires IT.
Qui est concerné par la certification HDS ?
La certification est obligatoire pour tous les acteurs manipulant ou hébergeant des données de santé :
Fournisseurs cloud et hébergeurs
Éditeurs de logiciels en mode SaaS dans le domaine médical
Hôpitaux, cliniques, laboratoires, pharmacies établissements de santé externalisant leur hébergement
Entreprises HealthTech (télémédecine, portails patients, objets connectés)
Prestataires IT tiers assurant l’infrastructure pour des acteurs de santé
Les 6 activités couvertes par l’HDS
La certification HDS couvre 6 activités réparties en deux grands domaines :
Domaine | Services / Activités couvertes |
Domaine 1 – Services d’hébergement d’infrastructures | - Hébergement physique de l’infrastructure IT - Hébergement de la plateforme matérielle du système d’information (SI) - Hébergement de serveurs virtuels |
Domaine 2 – Services de gestion des données de santé | - Administration et exploitation du SI contenant des données de santé - Sauvegarde et gestion des données de santé - Restauration et continuité de service en cas d’incident |
Chaque prestataire doit obtenir la certification pour les activités correspondant à son périmètre.
Une certification exigeante alignée sur les normes internationales
La certification HDS s’appuie sur des référentiels éprouvés :
ISO 27001 : gestion de la sécurité de l’information
ISO 27017 : sécurité dans le cloud
ISO 27018 : protection des données personnelles dans le cloud
La validité est de 3 ans, assortie d’audits de surveillance annuels, garantissant un haut niveau de conformité dans la durée.
Transparence et registre public
L’ensemble des prestataires certifiés HDS est recensé publiquement par l’ANS. Cette transparence permet aux établissements de santé et aux éditeurs de logiciels de vérifier facilement la conformité de leurs partenaires technologiques.
FAQ – Certification HDS
La certification HDS est-elle obligatoire pour tous les acteurs de santé ?
Oui, elle est obligatoire pour tout hébergeur ou prestataire manipulant des données de santé en France.Cependant, il existe quelques exceptions à cette règle. Par exemple, les services d’archivage informatique ne sont pas concernés par cette obligation.Quelle est la durée de validité d’une certification HDS ?
La certification est valable 3 ans avec des audits de surveillance annuels.- Quelle est la différence entre la certification HDS et l’ISO 27001 ?
La norme ISO 27001 couvre la sécurité de l’information en général, tandis que la certification HDS ajoute des exigences spécifiques aux données de santé.