Certification HDS : guide complet pour les hébergeurs de données de santé

La certification Hébergeur de Données de Santé (HDS) est un cadre réglementaire obligatoire en France pour tout acteur qui héberge ou exploite des données de santé pour des tiers. Elle impose des exigences strictes en matière de sécurité, de traçabilité et de conformité, et constitue souvent un prérequis d’accès au marché de la santé. Elle concerne principalement les hébergeurs cloud, les éditeurs de solutions SaaS santé, les ESN et les startups e-santé. Chez BYCYB, nous décryptons la certification HDS car elle structure les obligations réglementaires et les conditions d’entrée sur le marché de la santé numérique.

HDS repose sur ISO/IEC 27001, qui constitue le socle du système de management de la sécurité de l’information. Elle y ajoute des exigences spécifiques au secteur santé, notamment sur les contrats, la réversibilité, la sous-traitance, la localisation et la traçabilité des données. En pratique, ISO 27001 structure la sécurité de l’information, tandis que HDS encadre la conformité et les conditions d’accès au marché de la santé en France.

Qu’est-ce que la certification HDS (Hébergeur de Données de Santé) ?

Définition et base légale

La certification HDS (hébergeur de données de santé) est un cadre réglementaire français régi par l’article L. 1111-8 du Code de la santé publique (Legifrance). Elle encadre les conditions dans lesquelles des données de santé à caractère personnel peuvent être hébergées par un tiers, en imposant un niveau élevé de sécurité, de traçabilité et de transparence.

Note : La certification HDS a remplacé l’agrément d’hébergeur de données de santé (HADS) en 2018. Les organismes certifiés selon l’ancien référentiel HDS v1 avaient jusqu’au 16 mai 2026 pour migrer vers le référentiel HDS v2.

Les 2 types de certificats de la certification HDS

Le référentiel HDS distingue deux types de certificats correspondant à deux niveaux d’intervention : l’hébergement de l’infrastructure physique, d’une part, et l’hébergement infogéré, d’autre part. La première concerne la mise à disposition et le maintien en condition opérationnelle des sites physiques et de l’infrastructure matérielle. La seconde couvre l’administration, l’exploitation et la sauvegarde des systèmes d’information de santé.

Une organisation peut être certifiée sur l’un de ces périmètres, ou sur les deux simultanément.

Les 6 activités couvertes par le référentiel

Le référentiel HDS définit 6 activités d’hébergement soumises à certification :

• Activité 1 : mise à disposition et maintien en condition opérationnelle des sites physiques (locaux, énergie, climatisation, sécurité physique des datacenters)
• Activité 2 : mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle (serveurs, équipements réseau, stockage physique)
• Activité 3 : mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle (hyperviseurs, machines virtuelles, stockage virtuel)
• Activité 4 : mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications (PaaS, orchestration, middleware)
• Activité 5 : administration et exploitation du système d’information de santé (gestion des droits d’accès, administration des bases de données, supervision)
• Activité 6 : sauvegarde externalisée des données de santé

Point d’attention : L’activité 5 (« administration et exploitation du système d’information contenant les données de santé ») a longtemps été l’activité HDS la plus complexe à interpréter. Son périmètre a suscité de nombreuses interrogations, notamment pour les prestataires réalisant des opérations d’administration système, d’exploitation ou de gestion de bases de données pour le compte d’établissements de santé. Une analyse du périmètre exact des prestations est nécessaire afin de déterminer si la certification HDS pour l’activité 5 est requise.

Qui est concerné par l’obligation HDS ?

Les acteurs soumis à la certification

La certification HDS est obligatoire pour les organismes qui réalisent une ou plusieurs activités d’hébergement de données de santé à caractère personnel pour le compte d’un tiers, telles que définies par le Code de la santé publique et le référentiel HDS.

Sont notamment concernés :

• Les hébergeurs cloud proposant des services d’infrastructure ou de plateforme à des acteurs de la santé (IaaS, PaaS, SaaS de santé)
• Les éditeurs de logiciels de santé proposant leurs applications en mode hébergé ou SaaS (DPI, logiciels de cabinet médical, télémédecine, imagerie)
• Les entreprises de services numériques (ESN) qui administrent ou exploitent des SI de santé pour le compte de leurs clients
• Les prestataires de sauvegarde qui externalisent des données de santé
• Les startups de e-santé qui collectent et hébergent des données de santé pour des patients ou des professionnels de santé

Les cas d’exemption

Un établissement de santé qui gère son propre système d’information sans faire appel à un tiers pour l’hébergement ou l’exploitation n’est pas tenu d’être certifié HDS pour ses propres infrastructures.

En revanche, dès qu’il externalise tout ou partie de l’hébergement ou de l’administration de son SI de santé à un prestataire, ce prestataire doit être certifié HDS.

Le cas des éditeurs de logiciels de santé, la confusion la plus fréquente

Un éditeur de logiciel dont la solution est déployée exclusivement sur les infrastructures de son client n’est généralement pas soumis à la certification HDS. En revanche, lorsqu’il fournit une solution en mode SaaS ou hébergée et réalise une ou plusieurs activités relevant du référentiel HDS, la certification devient réglementaire.

HDS et ISO 27001:2022, quelle complémentarité en 2026 ?

ISO 27001 comme socle obligatoire de la certification HDS

Le référentiel HDS n’est pas une certification indépendante d’ISO 27001 : il la présuppose. Pour obtenir la certification HDS, l’organisation doit mettre en œuvre un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001:2022.

Concrètement, les certifications ISO 27001 et HDS reposent sur de nombreuses exigences communes. Il est donc possible d’obtenir les deux certifications dans le cadre d’un audit conjoint, ce qui permet d’optimiser les coûts et la durée du processus de certification.

Ce que HDS ajoute au-delà d’ISO 27001

ISO 27001 couvre la sécurité de l’information au sens large. HDS y ajoute des exigences spécifiques au contexte de l’hébergement de données de santé :

• Réversibilité et portabilité des données : l’hébergeur doit garantir la possibilité de récupérer les données dans un format exploitable en cas de résiliation
• Encadrement renforcé de la localisation et des transferts de données, notamment en dehors de l’Espace économique européen (EEE), exigence renforcée par la version 2 de la certification HDS et par le RGPD
• Transparence sur la chaîne de sous-traitance : tout sous-traitant accédant aux données de santé doit être identifié et contractuellement encadré
• Traçabilité renforcée : journal des accès aux données de santé, conservation des traces
• Obligations contractuelles spécifiques : un contrat d’hébergement HDS doit inclure des clauses obligatoires définies par le référentiel

Tableau comparatif

Dimension	ISO 27001:2022	HDS v2	RGPD	SecNumCloud
Nature	Norme internationale	Référentiel de certification réglementaire souverain	Réglementation UE	Qualification ANSSI
Périmètre	Toute organisation	Hébergeurs données santé	Tout collecteur ou traiteur de données de santé	Prestataires cloud souverain
ISO 27001 requis ?	Référentiel de certification volontaire	✅ Obligatoire, ISO 27001 devient (réglementaire)	Socle recommandé	✅ Obligatoire
Public cible	Tous secteurs	Secteur santé	Tous secteurs	Services critiques État
Valeur commerciale	Appels d’offres	Secteur de la santé	Conformité légale	Marchés publics souverains

À retenir : viser ISO 27001:2022 et HDS conjointement est généralement la stratégie la plus efficace et la plus économique pour un acteur de la santé numérique. Les audits peuvent être mutualisés, ce qui réduit à la fois les coûts et la mobilisation des équipes. Pour recevoir une proposition personnalisée, vous pouvez nous contacter via contact@bycyb.com.

HDS v2, les changements du référentiel 2024

Les évolutions majeures

L’arrêté du 26 avril 2024 a publié le nouveau référentiel HDS v2. Ses évolutions reflètent les mutations du paysage numérique en santé et le renforcement de la réglementation européenne.

• Alignement sur ISO 27001:2022 : le référentiel HDS v2 exige désormais la version 2022 de la norme ISO 27001, intégrant les nouveaux contrôles relatifs au cloud, aux exfiltrations discrètes et à l’effacement sécurisé
• Souveraineté EEE obligatoire : les données de santé doivent être hébergées et traitées au sein de l’Espace Économique Européen (EEE). Cette exigence répond aux risques juridiques liés au Cloud Act américain pour les données hébergées chez des prestataires soumis à la législation américaine
• Renforcement des obligations contractuelles : introduction de clauses obligatoires sur la réversibilité, la portabilité et la transparence de la sous-traitance
• Exigences renforcées sur la traçabilité : conservation et intégrité des journaux d’accès aux données de santé

Le calendrier de transition

La transition vers le référentiel HDS v2 s’est déroulée en deux étapes :

• 16 novembre 2024 : entrée en vigueur du référentiel HDS v2 pour tous les nouveaux audits de certification
• 16 mai 2026 : date limite de transition obligatoire pour tous les hébergeurs disposant d’un certificat HDS v1. Passé cette date, les certificats basés sur l’ancienne version ne sont plus valides

Comment obtenir la certification HDS, le processus complet

Étape 1 : Audit documentaire

L’audit documentaire constitue la première phase de la certification HDS. L’organisme certificateur examine l’ensemble de la documentation du SMSI de l’organisation : politique de sécurité, analyse de risques, déclaration d’applicabilité, procédures, contrats d’hébergement, politiques de gestion des accès et de traçabilité.

Cette étape permet d’identifier les écarts entre l’existant documentaire et les exigences du référentiel HDS v2 avant l’audit sur site. Un pré-audit peut être réalisé en amont pour préparer l’organisation et réduire le risque de non-conformité lors de l’audit officiel.

Étape 2 : Audit sur site

L’audit sur site porte sur la vérification concrète de la mise en œuvre des mesures de sécurité. Les auditeurs examinent les infrastructures physiques, les configurations techniques, les habilitations et les processus opérationnels. Des entretiens avec les équipes techniques et de gouvernance sont systématiquement conduits.

Décision de certification et durée de validité

À l’issue du processus de certification, l’organisme certificateur rend une décision basée, entre autres, sur les différents éléments produits par l’équipe d’audit. Le dossier est soumis à un comité de lecture interne indépendant de l’équipe d’audit, qui prend la décision de certification.

Le certificat HDS est délivré pour une durée de 3 ans, avec des audits de surveillance annuels obligatoires pour maintenir la certification.

Quels sont les délais pour obtenir la certification HDS ?

Les délais dépendent principalement du niveau de maturité de l’organisation en matière de sécurité de l’information et de l’existence ou non d’une démarche ISO 27001.

• Organisation sans certification ISO 27001 préexistante : lorsqu’une organisation doit mettre en place son Système de Management de la Sécurité de l’Information (SMSI), la préparation à la certification représente un projet structurant pouvant s’étendre sur plusieurs mois. À titre indicatif, il faut généralement prévoir entre 6 et 18 mois pour construire et déployer un SMSI conforme à ISO 27001, puis quelques semaines à quelques mois supplémentaires pour intégrer les exigences spécifiques de la certification HDS. Le travail peut toutefois être pensé en parallèle.
• Organisation déjà certifiée ISO 27001:2022 : pour une organisation déjà certifiée ISO 27001, la préparation est généralement plus rapide. Les efforts portent principalement sur les exigences spécifiques au référentiel HDS, telles que la réversibilité, la traçabilité ou certaines exigences contractuelles. Dans ce contexte, une période de préparation de 2 à 3 mois est souvent suffisante.
• Durée de l’audit de certification : la durée de l’audit est distincte du temps de préparation. Elle dépend notamment du périmètre de certification et de la taille de l’organisation. À titre indicatif, un audit HDS peut représenter de quelques jours-hommes à plusieurs jours d’audit répartis entre les différentes phases de certification.

Hébergement de données de santé sans certification HDS quels risques ?

L’hébergement de données de santé sans certification HDS constitue une infraction à l’article L.1111-8 du code de la santé publique.

• Risque pénal : l’hébergement de données de santé sans certification HDS peut constituer un manquement au cadre de l’article L.1111-8 du Code de la santé publique, qui impose un hébergeur certifié pour les données de santé à caractère personnel.
• Risque contractuel : un établissement de santé qui confie ses données à un hébergeur non certifié engage sa propre responsabilité vis-à-vis des patients et des régulateurs. En pratique, l’absence de certification HDS entraîne la résiliation des contrats dès leur découverte.
• Risque commercial : la certification HDS est devenue un critère éliminatoire dans les appels d’offres publics du secteur santé. Sans elle, l’accès au marché est bloqué.
• Risque RGPD : les données de santé sont des données sensibles au sens du RGPD ; un incident de sécurité sur des données hébergées sans HDS peut donc exposer l’organisation à des sanctions au titre du RGPD, en plus du non-respect du cadre HDS.

BYCYB soutient les hébergeurs dans leur certification HDS

BYCYB, filiale du groupe LNE entièrement dédiée à la cybersécurité, accompagne les organisations dans leur démarche de certification HDS, depuis l’audit de diagnostic jusqu’aux audits de surveillance.

En tant qu’organisme certificateur accrédité, BYCYB propose une approche intégrée permettant de mutualiser les audits ISO 27001:2022 et HDS dans le cadre d’une même démarche, afin d’optimiser les coûts et la mobilisation des équipes.

• Évaluation de l’état de préparation à l’audit de certification : identification et qualification des écarts par rapport aux exigences applicables du référentiel HDS.
• Audit de certification : audit documentaire, puis audit sur site, réalisés par des auditeurs qualifiés. Les audits de surveillance et de renouvellement sont ensuite réalisés conformément aux exigences de l’accréditation.
• Surveillance annuelle : réalisation des audits de surveillance permettant le maintien de la certification.
• Mutualisation ISO 27001:2022 et HDS : possibilité de réaliser des audits conjoints afin d’optimiser les coûts et les ressources mobilisées.

À retenir. La mise en œuvre conjointe des démarches ISO 27001:2022 et HDS constitue souvent une approche efficace pour les acteurs de la santé numérique. Lorsque cela est pertinent, les audits peuvent être mutualisés afin de réduire les coûts et de limiter la mobilisation des équipes.

Pour obtenir une proposition personnalisée, contactez-nous à l’adresse contact@bycyb.com.

FAQ : Questions fréquentes sur la certification HDS