Qu’est-ce que la certification des hébergeurs de données de santé (HDS) ?

Par Xavier Deloffre

Dans un monde de plus en plus connecté, la protection des données personnelles est devenue une priorité. Cela est encore plus vrai lorsqu’il s’agit des données de santé, qui figurent parmi les informations les plus sensibles. La transformation numérique du secteur médical (télémédecine, dossiers patients informatisés, applications mobiles de santé) implique une collecte massive de données nécessitant une sécurité renforcée. C’est dans ce contexte que la certification HDS (Hébergeur de Données de Santé) a vu le jour en France, portée par des exigences strictes et une volonté de rassurer les professionnels comme les patients. Mais que signifie réellement cette certification ? Pourquoi est-elle indispensable dans l’écosystème numérique de la santé ? À qui s’adresse-t-elle, et comment l’obtenir ? Cet article vous propose un éclairage complet sur la certification HDS, ses enjeux, ses exigences et son rôle dans la régulation du numérique en santé.

Les origines et les objectifs de la certification HDS

La certification HDS (Hébergeur de Données de Santé) est née d’un besoin croissant de sécuriser les données à caractère personnel dans le domaine médical, face à l’essor rapide de la numérisation des services de santé. Dès le début des années 2010, les pouvoirs publics ont pris conscience que les informations de santé, du fait de leur sensibilité, nécessitaient un encadrement réglementaire spécifique. Il ne s’agit pas seulement de données administratives : antécédents médicaux, traitements, diagnostics, résultats d’examens… Ces données peuvent avoir des conséquences importantes sur la vie privée, l’accès à l’assurance ou encore l’emploi. Pour répondre à ces enjeux, la France s’est dotée d’un cadre législatif exigeant, en s’appuyant notamment sur le Code de la santé publique, le Règlement général sur la protection des données (RGPD) et les recommandations de la CNIL. La certification HDS s’inscrit dans cette logique de protection renforcée. Elle a été conçue comme un outil réglementaire pour garantir que les acteurs numériques manipulant des données de santé mettent en œuvre des pratiques sécurisées, éprouvées, et auditées.

La mise en œuvre de cette certification est confiée à l’Agence du Numérique en Santé (ANS), qui a repris les missions de l’ASIP Santé. L’ANS définit les exigences du référentiel HDS et veille à la cohérence des pratiques en lien avec les orientations nationales de la santé numérique. Contrairement à l’ancien système d’agrément HDS, attribué directement par l’État, le nouveau dispositif repose sur une logique de certification déléguée à des organismes tiers, accrédités par le COFRAC (Comité français d’accréditation). Cela permet une évaluation plus rigoureuse, objective et harmonisée sur tout le territoire. Les objectifs de la certification HDS sont à la fois techniques, organisationnels et éthiques. Elle repose sur deux grands piliers :

  • Garantir un haut niveau de sécurité pour le stockage, le traitement et la conservation des données de santé, en couvrant l’ensemble des risques : intrusions, pertes de données, interruptions de service, accès non autorisés, etc. Cela inclut à la fois la sécurité physique (des serveurs et data centers) et la sécurité logique (accès, chiffrement, traçabilité) ;
  • Instaurer une relation de confiance entre les citoyens, les professionnels de santé et les acteurs du numérique, en montrant que les hébergeurs certifiés respectent des normes strictes et sont régulièrement audités. La certification permet également aux établissements de santé de sélectionner leurs prestataires en toute connaissance de cause.

Le décret n°2018-137 du 26 février 2018 a officiellement instauré ce nouveau régime de certification, remplaçant l’agrément HDS en vigueur depuis 2006. Ce texte précise les modalités de certification, les conditions d’accréditation des organismes certificateurs, et les différents périmètres couverts par le référentiel. La réforme vise également à aligner la réglementation française sur les standards internationaux, notamment la norme ISO 27001, tout en tenant compte des spécificités du secteur de la santé.

Ainsi, la certification HDS s’inscrit dans une stratégie globale de confiance numérique en santé. Elle pousse les acteurs à renforcer leur cybersécurité, à formaliser leurs processus, à documenter leurs pratiques, et à se soumettre à une veille continue. Elle devient ainsi un levier structurant pour toute entreprise qui souhaite évoluer de manière pérenne dans l’écosystème du numérique en santé.

histoire hebergement hds

À qui s’adresse la certification HDS et quelles sont ses exigences ?

La certification HDS s’adresse à toute entité, publique ou privée, qui héberge, conserve ou traite des données de santé à caractère personnel pour le compte de tiers, notamment dans le cadre d’une externalisation des services informatiques. Elle ne concerne donc pas uniquement les hébergeurs traditionnels, mais englobe un large spectre d’acteurs du numérique en santé. Dès lors qu’une structure a accès à des données de santé sensibles dans le cadre d’un contrat de service, elle entre dans le champ d’application de la certification HDS, que ce soit de manière directe ou indirecte. Parmi les acteurs concernés, on retrouve :

  • Les éditeurs de logiciels de santé, tels que les fournisseurs de Dossiers Médicaux Partagés (DMP), de logiciels de gestion de cabinet, ou de solutions informatiques hospitalières qui proposent une infrastructure d’hébergement intégrée ou sous-traitée.
  • Les plateformes de téléconsultation ou de télé-expertise, qui collectent, transmettent et stockent des données médicales pendant les échanges entre professionnels de santé et patients.
  • Les fournisseurs d’infrastructure cloud, qu’ils proposent des solutions de type IaaS, PaaS ou SaaS, à condition que les données hébergées soient de nature médicale et personnelles.
  • Les sociétés de maintenance informatique hospitalière ou les prestataires de services techniques impliqués dans l’exploitation, l’administration ou la supervision d’environnements informatiques contenant des données de santé.
  • Les start-ups de la e-santé, du bien-être connecté et du quantified self, dont les applications collectent des informations personnelles liées à l’état de santé des utilisateurs.

Cette certification concerne donc à la fois des géants du cloud, comme AWS, Azure ou OVHcloud, mais aussi des acteurs plus petits qui proposent des services numériques à destination des professionnels ou établissements de santé. Elle est également obligatoire pour les sous-traitants des structures de santé si ces derniers ont accès aux données dans le cadre de leur prestation. La certification HDS est structurée autour de deux grands types d’activités :

  1. Les activités d’infrastructure physique : Elles concernent la gestion et la maintenance des data centers, incluant la sécurité des bâtiments, l’alimentation électrique, la climatisation, la surveillance physique et les accès aux installations.
  2. Les activités de services d’hébergement : Elles englobent les couches logicielles, l’administration système, la sauvegarde, la restauration des données, la supervision des performances, la gestion des incidents et la sécurité des accès logiques.

Pour obtenir la certification, un hébergeur doit démontrer sa conformité avec un référentiel défini par l’Agence du Numérique en Santé. Ce référentiel est découpé en six périmètres opérationnels, correspondant à des fonctions précises de l’hébergement :

Périmètre Description
1. Mise à disposition et maintien en condition opérationnelle de l’infrastructure physique Gestion des installations physiques (bâtiments, énergie, climatisation, sécurité des locaux, contrôle d’accès…)
2. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement Supervision technique des équipements informatiques, réseaux, serveurs et ressources matérielles.
3. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle Fourniture et gestion des ressources virtuelles (machines virtuelles, conteneurs, réseaux virtuels, stockage).
4. Administration et exploitation du système d’information Gestion des accès utilisateurs, politiques de sécurité, journalisation, gestion des vulnérabilités et des mises à jour.
5. Sauvegarde des données de santé Mise en place de stratégies de sauvegarde, de conservation à long terme et de restauration en cas de besoin.
6. Reprise d’activité Déploiement de plans de continuité et de reprise d’activité (PCA et PRA) afin de garantir la disponibilité des données.

Chaque périmètre peut être certifié indépendamment ou en combinaison, selon l’activité de l’entreprise. Par exemple, un acteur qui ne gère pas lui-même l’infrastructure physique mais propose une plateforme logicielle devra obtenir la certification uniquement sur les périmètres 3 à 6. Le processus de certification se déroule en plusieurs étapes : audit initial par un organisme certificateur accrédité par le COFRAC, délivrance du certificat en cas de conformité, puis audits de surveillance chaque année pendant trois ans. Passé ce délai, une recertification complète est nécessaire.

La certification HDS repose fortement sur la norme ISO 27001, qui encadre les systèmes de management de la sécurité de l’information (SMSI). Les exigences spécifiques du référentiel HDS viennent compléter cette norme avec des obligations ciblées sur le contexte sanitaire français. La conformité implique donc la mise en œuvre de politiques de sécurité formalisées, la formation du personnel, la traçabilité des actions, une gestion rigoureuse des incidents, ainsi qu’un pilotage structuré des risques liés à la donnée de santé.

Au-delà des aspects techniques, la certification HDS engage les entreprises dans une démarche qualité continue, qui les oblige à documenter et améliorer leurs pratiques. Elle constitue ainsi une forme de reconnaissance officielle qui rassure les professionnels de santé, les patients, mais aussi les partenaires et donneurs d’ordre institutionnels, notamment les établissements hospitaliers et les agences publiques de santé.

entreprises concernées certification HDS

Les bénéfices de la certification HDS pour les entreprises et les utilisateurs

La certification HDS est ainsi un véritable levier stratégique pour les acteurs du numérique en santé, en particulier pour les sociétés spécialisées en cybersécurité. Elle apporte une valeur ajoutée à tous les niveaux de la chaîne, de l’hébergeur au patient final. En garantissant un haut niveau de sécurité, de fiabilité et de transparence, elle renforce l’écosystème numérique de santé dans son ensemble.

Un avantage pour les hébergeurs (français de préférence)

  • Un positionnement concurrentiel renforcé : Sur un marché particulièrement exigeant et en pleine expansion, obtenir la certification HDS permet de se distinguer de la concurrence. Les établissements de santé, les mutuelles ou les start-ups recherchent en priorité des partenaires certifiés, capables de démontrer leur capacité à sécuriser les données sensibles. Pour un fournisseur cloud ou un éditeur de logiciels, c’est un argument décisif dans les appels d’offres et les partenariats ;
  • Une meilleure maîtrise des risques : La mise en conformité avec le référentiel HDS oblige les entreprises à structurer leur gestion des risques. Cela passe par une évaluation régulière des vulnérabilités, la définition de plans de continuité d’activité (PCA) et de reprise après sinistre (PRA), ainsi que par la sensibilisation des équipes internes. Résultat : les incidents sont mieux anticipés et gérés, réduisant les impacts sur l’activité ;
  • La conformité réglementaire : Dans de nombreux cas, la certification HDS est un prérequis pour exercer certaines activités. Elle permet de répondre aux exigences du Code de la santé publique, du RGPD, de la CNIL, et des marchés publics de la santé. Pour les hébergeurs, c’est l’assurance d’être juridiquement en règle et de limiter leur exposition aux sanctions en cas de faille de sécurité ou de non-conformité ;
  • Une gouvernance IT plus mature : Le processus de certification incite les entreprises à améliorer leur organisation interne, à documenter leurs procédures et à structurer leur système de management de la sécurité de l’information (SMSI). Cela se traduit souvent par une meilleure qualité de service, des équipes plus formées et des pratiques harmonisées sur l’ensemble des projets.

Une sécurisation de confiance pour les professionnels de santé

  • Un gage de confiance : Les médecins, infirmiers, pharmaciens ou établissements hospitaliers doivent pouvoir s’appuyer sur des outils numériques fiables pour gérer les dossiers médicaux, réaliser des téléconsultations ou partager des données entre professionnels. La certification HDS constitue pour eux une assurance que leurs prestataires appliquent des standards élevés de sécurité et de confidentialité ;
  • La garantie de la confidentialité et de l’intégrité des données : Les professionnels de santé manipulent quotidiennement des informations critiques. Toute altération ou fuite de données peut avoir des conséquences graves, tant sur le plan médical que juridique. Grâce à la certification HDS, ils bénéficient de garanties renforcées concernant l’hébergement et la protection des données de leurs patients ;
  • Une simplification des démarches administratives : En choisissant un prestataire certifié, les professionnels de santé s’affranchissent d’une partie des obligations de vérification réglementaire, notamment en ce qui concerne le respect des normes de sécurité. La certification joue ainsi un rôle de simplificateur dans la relation contractuelle avec leurs fournisseurs informatiques.

Un risque amoindri pour les données patients

  • Une meilleure protection de leurs données personnelles : Dans un contexte où les cyberattaques ciblant le secteur de la santé sont en hausse, les patients ont besoin d’être rassurés. La certification HDS leur garantit que leurs données médicales (parfois extrêmement sensibles) sont stockées dans des environnements hautement sécurisés, audités et contrôlés régulièrement ;
  • Une transparence accrue : Les hébergeurs certifiés HDS sont listés publiquement sur les sites officiels (notamment celui de l’Agence du Numérique en Santé). Cette visibilité permet aux patients, comme aux professionnels, de s’informer facilement sur la conformité des prestataires qu’ils utilisent, favorisant ainsi des choix éclairés et responsables ;
  • Un climat de confiance numérique : A mesure que les services de santé en ligne se développent (prise de rendez-vous, accès au dossier médical, téléconsultation…), les patients sont de plus en plus engagés dans la gestion de leur santé. La certification HDS contribue à instaurer un climat de confiance indispensable pour favoriser l’adhésion à ces nouveaux outils, en particulier auprès des publics les plus réticents au numérique.

La certification HDS s’inscrit dans une démarche plus large de transformation du système de santé vers le numérique, tout en garantissant que cette évolution ne se fait pas au détriment de la sécurité ou des droits fondamentaux des citoyens. Elle complète d’autres cadres de conformité comme la norme ISO 27001, le RGPD ou les recommandations de la CNIL. En formalisant des engagements précis, mesurables et audités, elle participe activement à construire une infrastructure de confiance au service de la santé numérique.

La certification HDS représente un véritable atout stratégique pour les entreprises, un gage de fiabilité pour les professionnels de santé, et une garantie de respect des droits pour les patients. C’est un élément structurant qui contribue à faire du numérique en santé un environnement sécurisé, éthique et durable.

Xavier Deloffre

Xavier Deloffre

Fondateur de Facem Web, agence implantée à Arras et à Lille (Hauts-de-France), je suis spécialiste du Web Marketing, formateur expérimenté, et blogueur reconnu dans le domaine du Growth Hacking. Passionné par le référencement naturel (SEO) que j'ai découvert en 2009, j'imagine et développe des outils web innovants afin d'optimiser la visibilité de mes clients dans les SERPs. Mon objectif principal : renforcer leur notoriété en ligne par des stratégies digitales efficaces et créatives.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Besoin de visibilité ?

☑️ Experts du référencement

☑️ + de 12 ans d’éxpérience

☑️ + 500 clients satisfaits

☑️ Création de sites

☑️ Audit SEO

☑️ Conseil SEO

☑️ Référencement de sites

☑️ Devis gratuit

Devenez visible !