Retour aux actualitésHDS Santé

    Certification HDS (Hébergement de Données de Santé) : guide complet 2026

    16 min de lecture

    En France, toute structure qui héberge des données de santé à caractère personnel pour le compte d'un tiers doit, depuis le décret n° 2018-137, être certifiée HDS (Hébergeur de Données de Santé). Cette obligation, inscrite à l'article L.1111-8 du Code de la santé publique, concerne aussi bien les éditeurs SaaS médicaux que les infogéreurs, les opérateurs cloud et les acteurs de la télémédecine. Elle s'articule avec le RGPD, la directive NIS2 et la sectorisation santé NIS2.

    Qu'est-ce qu'une donnée de santé ?

    Au sens de l'article 4.15 du RGPD, une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d'une personne, y compris la prestation de services de santé, qui révèle des informations sur l'état de santé. Cela inclut :

    • Dossiers patients, comptes-rendus, ordonnances, imagerie.
    • Données issues d'objets connectés médicaux (DM, DMDIV).
    • Données de rendez-vous médicaux nominatives.
    • Données génétiques et biométriques à des fins d'identification unique.
    • Numéros de sécurité sociale (NIR) associés à un soin.

    Qui doit être certifié HDS ?

    Toute personne physique ou morale qui héberge, pour le compte d'un responsable de traitement, des données de santé issues de prestations de soin. Concrètement :

    • Éditeurs SaaS médicaux (logiciels de cabinet, télémédecine, dossier patient).
    • Opérateurs cloud qui hébergent des données pour des structures de soin (AWS, Azure, OVHcloud, Outscale, Scaleway).
    • Infogéreurs qui exploitent les systèmes d'un établissement de santé.
    • Plateformes de prise de rendez-vous, de téléconsultation, de coordination de soins.
    • Laboratoires, sous-traitants d'imagerie, prestataires de DMP.

    Un établissement de santé qui héberge ses propres données pour son propre usage n'est pas soumis à la certification HDS — il reste soumis au RGPD, à la PGSSI-S et à NIS2.

    Les 6 activités du référentiel HDS

    1. Mise à disposition et maintien en condition opérationnelle des sites physiques d'hébergement (datacenters).
    2. Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle du SI.
    3. Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement applicative (PaaS, conteneurs).
    4. Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle (IaaS).
    5. Infogérance du SI (administration et exploitation).
    6. Sauvegarde externalisée des données de santé.

    L'organisme certifie son périmètre activité par activité (1 à 6). Un éditeur SaaS qui s'appuie sur AWS / Azure / OVH (déjà HDS sur 1-4) couvre typiquement les activités 5 et 6 sur son propre périmètre.

    Le référentiel HDS : ISO 27001 + exigences spécifiques

    Le référentiel HDS s'appuie sur la norme ISO/IEC 27001complétée par ISO 27018 (protection des données personnelles dans le cloud) et par des exigences additionnelles propres à la santé :

    • Localisation des données et des sauvegardes au sein de l'Union européenne.
    • Réversibilité et restitution des données en fin de contrat.
    • Notification d'incident dans des délais courts.
    • Confidentialité renforcée : engagement des personnels, sous-traitants, partenaires.
    • Continuité d'activité et PRA documentés.
    • Encadrement strict des accès distants et de l'administration.

    Le processus de certification

    1. Cadrage : périmètre, activités visées, gap analysis vs ISO 27001 et HDS.
    2. Mise en œuvre du SMSI : politiques, procédures, contrôles, journalisation.
    3. Audit à blanc (souvent réalisé par un cabinet conseil).
    4. Audit initial par un organisme certificateur accrédité COFRAC (LSTI, BSI, AFNOR, Bureau Veritas, etc.) :
      • Étape 1 : revue documentaire.
      • Étape 2 : audit terrain (datacenter, processus, entretiens).
    5. Décision de certification — valable 3 ans.
    6. Audits de surveillance annuels et renouvellement à 3 ans.

    Durée typique : 8 à 14 mois entre le lancement et l'obtention. Coûts indicatifs : 25 k€ à 80 k€ pour une PME éditrice (conseil + audit), plus le coût interne (RSSI, DPO, équipes ops).

    Articulation avec le RGPD, NIS2 et la PGSSI-S

    • RGPD : HDS ne remplace pas le RGPD. Vous devez toujours désigner un DPO, tenir un registre des traitements et signer un DPA avec le responsable de traitement.
    • NIS2 : le secteur santé fait partie des secteurs hautement critiques. La certification HDS couvre une part importante des exigences techniques NIS2.
    • PGSSI-S : politique générale de sécurité des SI de santé (référentiel ANS). Compatible et complémentaire de HDS.
    • HDS + Ségur : les éditeurs labellisés Ségur du numérique en santé doivent être HDS ou s'appuyer sur un hébergeur HDS.
    • Cloud de confiance / SecNumCloud : pour les données les plus sensibles, certains acteurs combinent HDS et SecNumCloud (ANSSI).

    Choisir un hébergeur HDS : les critères

    • Activités certifiées réellement couvertes (1 à 6) — exiger le certificat à jour.
    • Localisation des données et des sauvegardes (UE, France).
    • Souveraineté juridique : exposition au Cloud Act américain ?
    • Engagements contractuels de réversibilité.
    • Capacité à fournir les preuves d'audit (DPA, logs, rapports).
    • Articulation avec votre cyber-assurance.

    Erreurs fréquentes

    • Penser que l'hébergement chez un hyperscaler HDS suffit : vous restez responsable de votre propre périmètre applicatif et organisationnel.
    • Sous-estimer la charge documentaire (politiques, procédures, preuves).
    • Oublier le DPO et la cartographie RGPD.
    • Ne pas inclure les sous-traitants dans le périmètre.
    • Sauvegardes hors UE chez un acteur non HDS.

    Conclusion

    La certification HDS est aujourd'hui un prérequis commercial pour tout acteur qui manipule des données de santé en France. Bien conduite, elle renforce non seulement la sécurité, mais aussi la confiance des établissements clients, des patients et des partenaires institutionnels (ANS, ARS, CNAM). Elle s'inscrit naturellement dans une démarche globale couvrant RGPD, NIS2 et ISO 27001, et constitue un investissement structurant pour la pérennité de l'activité.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit