HDSHébergementConformité

Certification HDS : le guide complet 2025

3 février 2025 · Thomas Bozzo

Qu'est-ce que la certification HDS ?

La certification HDS (Hébergeur de Données de Santé) est un dispositif réglementaire français encadré par le Code de la santé publique (articles L.1111-8 et R.1111-8-8 et suivants). Elle impose à tout organisme hébergeant des données de santé à caractère personnel de justifier d'un niveau de sécurité adapté à la sensibilité de ces informations.

Concrètement, la certification est délivrée par des organismes certificateurs accrédités par le COFRAC (Comité français d'accréditation). Elle s'appuie sur un référentiel technique exigeant, aligné sur la norme ISO 27001 et complété par des exigences spécifiques au secteur de la santé.

Les deux périmètres de certification

La certification HDS couvre deux grandes catégories d'activités :

  • Hébergeur d'infrastructure physique : gestion des datacenters, alimentation électrique, climatisation, sécurité physique des locaux.
  • Hébergeur infogéreur : administration des systèmes, supervision, sauvegarde, gestion de la sécurité applicative.

Un prestataire peut être certifié sur l'un, l'autre ou les deux périmètres. Il est essentiel de vérifier le périmètre exact de certification de votre hébergeur avant de signer un contrat.

Qui est concerné par l'obligation HDS ?

La réponse est plus large qu'on ne le pense souvent. Sont concernés :

  • Les établissements de santé (hôpitaux, cliniques, EHPAD) qui externalisent l'hébergement de leurs données patients
  • Les éditeurs de logiciels de santé (DPI, télémédecine, e-learning santé) qui stockent des données pour le compte de tiers, notamment dans le cadre de la cybersécurité des établissements
  • Les plateformes de coordination (CPTS, réseaux de santé, filières)
  • Les prestataires de services numériques intervenant sur des systèmes contenant des données de santé
  • Les organismes de recherche manipulant des données de santé pseudonymisées ou identifiantes

Toute personne physique ou morale qui héberge des données de santé à caractère personnel pour le compte de tiers doit être certifiée HDS. Il n'y a pas d'exception liée à la taille de la structure.

Les cas d'exemption

Quelques cas spécifiques ne relèvent pas de l'obligation HDS :

  • L'hébergement de données de santé par le patient lui-même (applications personnelles)
  • L'hébergement en interne par l'établissement de santé sur ses propres serveurs
  • Les données anonymisées de manière irréversible (qui ne sont plus des données personnelles)

Les exigences clés du référentiel

Le référentiel de certification HDS impose des garanties sur plusieurs axes fondamentaux.

Sécurité technique

  • Chiffrement des données au repos (AES-256 minimum) et en transit (TLS 1.2+)
  • Cloisonnement des environnements clients
  • Gestion des accès avec authentification forte et traçabilité complète
  • Détection d'intrusion et monitoring continu

Disponibilité et résilience

  • PCA/PRA (Plan de Continuité et de Reprise d'Activité) documentés et testés
  • Sauvegardes régulières avec tests de restauration
  • Redondance des infrastructures critiques (alimentation, réseau, stockage)
  • SLA (accords de niveau de service) contractualisés

Gouvernance et conformité

  • DPO (Délégué à la Protection des Données) désigné
  • Registre des traitements à jour
  • Notification des incidents dans les délais réglementaires
  • Audits réguliers internes et externes

Un projet d'hébergement HDS ?

Nous vous accompagnons dans le choix de votre hébergement de données de santé et déployons vos applications sur un cloud certifié HDS et SecNumCloud.

Discuter de votre projet →

Comment bien choisir son hébergeur HDS ?

Le choix d'un hébergeur HDS ne se résume pas à vérifier un certificat. Voici les critères essentiels à évaluer.

1. Vérifier la validité et le périmètre du certificat

Le certificat HDS a une durée de validité de trois ans, avec un audit de surveillance annuel. Demandez systématiquement :

  • La copie du certificat en cours de validité
  • Le périmètre exact certifié (infrastructure physique, infogérance, ou les deux)
  • Les résultats du dernier audit de surveillance

2. Evaluer la localisation des données

Pour les données de santé, la localisation est un enjeu majeur. Privilégiez un hébergeur dont les datacenters sont situés en France métropolitaine. Cela simplifie la conformité RGPD et évite les problématiques liées aux transferts hors UE.

3. Considérer les qualifications complémentaires

Au-delà de HDS, certaines qualifications renforcent la confiance :

  • SecNumCloud (ANSSI) : le plus haut niveau de sécurité cloud en France
  • ISO 27001 : système de management de la sécurité de l'information
  • ISO 27018 : protection des données personnelles dans le cloud

4. Analyser le support et l'accompagnement

  • Existe-t-il un support 24/7 en français ?
  • L'hébergeur propose-t-il un accompagnement à la mise en conformité ?
  • Quelle est la réactivité en cas d'incident de sécurité ?

5. Examiner la souveraineté

Un point souvent sous-estimé : l'hébergeur est-il soumis à des législations extraterritoriales (Cloud Act, FISA) ? Les filiales de groupes américains, même avec des datacenters en France, restent potentiellement soumises à ces lois.

Chez Ducal, nous avons choisi Outscale (filiale de Dassault Systemes), doublement certifié HDS et qualifié SecNumCloud. C'est la garantie d'une souveraineté totale sur les données de santé de nos clients.

Les sanctions en cas de non-conformité

L'hébergement de données de santé sans certification HDS expose à des sanctions pénales prévues par l'article L.1115-1 du Code de la santé publique :

  • Trois ans d'emprisonnement
  • 45 000 euros d'amende

A cela peuvent s'ajouter les sanctions de la CNIL au titre du RGPD, pouvant atteindre 4 % du chiffre d'affaires annuel mondial.

Ce qu'il faut retenir

La certification HDS n'est pas une option, c'est une obligation légale pour tout acteur manipulant des données de santé pour le compte de tiers. Bien choisir son hébergeur, c'est :

  • S'assurer de la conformité réglementaire de son organisation
  • Protéger les données des patients
  • Se prémunir contre les risques juridiques et financiers
  • Construire la confiance avec les professionnels de santé et les usagers

Le paysage de l'hébergement santé en France évolue rapidement. Le mouvement vers le cloud souverain, combinant HDS et SecNumCloud, dessine les standards de demain. L'adoption de solutions open source sécurisées renforce cette dynamique souveraine. Anticiper cette évolution, c'est prendre une longueur d'avance. N'hésitez pas à nous consulter pour un accompagnement sur mesure.

Thomas Bozzo

Fondateur — Expert santé numérique

Thomas Bozzo

Plus de 10 ans d'expérience dans le numérique en santé. Spécialiste HDS, FHIR, Article 51 et plateformes d'éducation thérapeutique.

LinkedIn

Articles récents

ETPComparatif

Outils numériques pour l'ETP : comparatif 2026

Lire
ConformitéVibe coding

Développement IA et conformité : comment garantir HDS, RGPD et RGAA

Lire
Cahier des chargesHDS

Cahier des charges logiciel santé HDS : modèle et checklist

Lire

Un projet de digitalisation santé ?

Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.

Nous contacter