INTELIGIA
Certification Hébergement Données de santé

HDS - Hébergement de Données de Santé

La certification Hébergement de Données de Santé (HDS) est obligatoire depuis 2018 pour tout prestataire qui héberge des données de santé à caractère personnel. Elle garantit le respect des exigences de sécurité, de confidentialité et de traçabilité des données de santé.

1. Définition et enjeux

Qu'est-ce que la certification HDS ?

La certification HDS (Hébergement de Données de Santé) est une certification délivrée par des organismes accrédités qui atteste qu'un hébergeur de données de santé respecte les exigences de sécurité, de confidentialité et de traçabilité définies par le référentiel HDS établi par l'ASIP Santé (devenue l'Agence du Numérique en Santé - ANS).

Depuis le 1er avril 2018, la certification HDS est devenue obligatoire pour tout prestataire qui héberge des données de santé à caractère personnel pour le compte de personnes physiques ou morales (établissements de santé, ESMS, professionnels de santé libéraux, éditeurs de logiciels, etc.).

Bon à savoir : Un hébergeur non certifié HDS s'expose à des sanctions pénales (1 an d'emprisonnement et 15 000€ d'amende) pour exercice illégal de l'activité d'hébergement de données de santé.

Données de santé concernées

La certification HDS s'applique à l'hébergement de données de santé à caractère personnel, définies par l'article L.1111-8 du Code de la santé publique comme :

  • Données issues du DUI (Dossier Usager Informatisé)
  • Données issues des systèmes d'information de santé
  • Données recueillies lors d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social
  • Données issues de dispositifs médicaux et d'objets connectés de santé
  • Données d'imagerie médicale
  • Données biologiques et génétiques

Enjeux pour les ESMS

Pour les établissements et services médico-sociaux, la certification HDS concerne :

  • Logiciels métiers : DUI, gestion des projets personnalisés, transmissions
  • Messageries sécurisées de santé : MSSanté
  • Plateformes de télémédecine : téléconsultation, téléexpertise
  • Solutions de sauvegarde : archivage des dossiers usagers
  • Services cloud : stockage documentaire de données de santé

Vigilance : Avant de choisir un logiciel ou une solution cloud, vérifiez systématiquement que l'éditeur ou l'hébergeur dispose d'une certification HDS en cours de validité.

2. Obligations et exigences

Qui doit être certifié HDS ?

Doivent obligatoirement être certifiés HDS tous les acteurs qui hébergent des données de santé à caractère personnel pour le compte de tiers :

  • Hébergeurs d'infrastructures physiques : datacenters, fournisseurs cloud (AWS, Azure, OVH, etc.)
  • Hébergeurs d'applications de santé : éditeurs de logiciels métiers (DUI, facturation, etc.)
  • Prestataires infogérants : infogérance, maintenance applicative
  • Opérateurs de sauvegarde : solutions de backup et d'archivage
  • Gestionnaires de messageries sécurisées de santé

Exception : Les établissements qui hébergent leurs propres données de santé en interne (serveurs on-premise) ne sont pas soumis à la certification HDS, mais doivent néanmoins respecter les exigences de sécurité de la PGSSI-S.

Les 6 activités du référentiel HDS

Le référentiel HDS définit 6 activités pouvant faire l'objet d'une certification (une ou plusieurs) :

Activité 1 : Mise à disposition et maintien en condition opérationnelle

De l'infrastructure physique nécessaire à l'hébergement (datacenters, serveurs, réseaux)

Activité 2 : Mise à disposition et maintien en condition opérationnelle

De la plateforme d'hébergement d'applications (environnements virtuels, systèmes d'exploitation)

Activité 3 : Mise à disposition et maintien en condition opérationnelle

De l'infrastructure virtuelle nécessaire à l'hébergement (IaaS - Infrastructure as a Service)

Activité 4 : Administration et exploitation du système d'information

Contenant les données de santé (infogérance, supervision, gestion des incidents)

Activité 5 : Sauvegarde de données de santé

Backup, restauration et archivage des données de santé

Activité 6 : Administration et exploitation du système d'information

Contenant les applications métiers (logiciels métiers, plateformes SaaS)

Exigences du référentiel HDS

Le référentiel HDS 2018 impose des exigences organisationnelles, techniques et juridiques :

  • Organisation et pilotage : gouvernance de sécurité, gestion des risques, politique de sécurité
  • Locaux et infrastructures : sécurité physique des datacenters, contrôle d'accès, vidéosurveillance
  • Architecture technique : cloisonnement, redondance, disponibilité, plan de continuité
  • Sécurité logique : authentification, gestion des habilitations, traçabilité, chiffrement
  • Exploitation et supervision : monitoring, détection d'incidents, gestion des correctifs
  • Sauvegarde : fréquence, chiffrement, tests de restauration
  • Ressources humaines : habilitation du personnel, formation, sensibilisation
  • Contractualisation : clauses obligatoires dans les contrats avec les clients
  • Sous-traitance : maîtrise de la chaîne d'hébergement, exigences HDS pour les sous-traitants

Obligations contractuelles

Le contrat d'hébergement de données de santé doit obligatoirement comporter :

  • Les mentions obligatoires prévues par le Code de la santé publique
  • Les clauses RGPD lorsque l'hébergeur agit en tant que sous-traitant
  • Les engagements de niveau de service (SLA)
  • Les modalités de réversibilité et de restitution des données
  • Les conditions de notification des incidents de sécurité
  • La localisation géographique des données (Union Européenne)

3. Mise en conformité et certification

Processus de certification

La certification HDS est délivrée par des organismes certificateurs accrédités par le COFRAC (Comité Français d'Accréditation). Le processus comprend :

  1. Pré-audit ou audit à blanc : évaluation préparatoire (optionnelle)
  2. Audit documentaire : examen de la documentation (politique de sécurité, procédures, analyses de risques)
  3. Audit sur site : visite des locaux, interviews, tests techniques
  4. Délivrance du certificat : si conformité totale, certificat valable 3 ans
  5. Audits de surveillance : audits annuels pour maintenir la certification
  6. Renouvellement : nouvel audit complet tous les 3 ans

Durée du processus : Comptez entre 6 et 12 mois entre le début de la démarche de mise en conformité et l'obtention de la certification HDS.

Organismes certificateurs accrédités

En France, plusieurs organismes sont accrédités par le COFRAC pour délivrer la certification HDS :

  • BSI Group France (British Standards Institution)
  • AFNOR Certification
  • DEKRA Certification
  • Bureau Veritas Certification
  • SGS ICS

Coût de la certification

Le coût de la certification HDS varie selon :

  • Le nombre d'activités certifiées (1 à 6)
  • La taille et la complexité de l'organisation
  • Le nombre de sites à auditer
  • L'organisme certificateur choisi

À titre indicatif, le coût initial (audit + certification) peut varier de 15 000€ à 50 000€, avec des audits de surveillance annuels compris entre 5 000€ et 15 000€.

Liste des hébergeurs certifiés

L'Agence du Numérique en Santé (ANS) publie la liste officielle des hébergeurs certifiés HDS, régulièrement mise à jour. Cette liste est consultable en ligne et permet aux ESMS de vérifier la certification de leurs prestataires.

Vérification obligatoire : Avant de signer un contrat d'hébergement, consultez systématiquement la liste officielle des hébergeurs certifiés HDS sur le site esante.gouv.fr pour vérifier la certification et son périmètre.

4. Cadre réglementaire

Textes fondateurs

Évolution réglementaire

Le cadre réglementaire de la certification HDS a connu plusieurs évolutions majeures :

  • 2006 : Création du régime d'agrément des hébergeurs (procédure d'agrément par le ministère)
  • 2018 : Passage d'un régime d'agrément à un régime de certification par des organismes accrédités
  • 2018 : Publication du nouveau référentiel HDS avec 6 activités distinctes
  • Période transitoire 2018-2020 : Coexistence agrément/certification
  • Depuis 2020 : Certification HDS obligatoire pour tous les nouveaux hébergeurs

Transition : Les anciens agréments délivrés avant 2018 sont restés valables jusqu'à leur expiration, mais ne peuvent plus être renouvelés. Tous les hébergeurs doivent désormais obtenir une certification.

Sanctions pénales

L'article L.1111-8 du Code de la santé publique prévoit des sanctions pénales pour :

  • Exercice illégal de l'activité d'hébergeur de données de santé sans certification : 1 an d'emprisonnement et 15 000€ d'amende
  • Violation du secret professionnel : 1 an d'emprisonnement et 15 000€ d'amende (article 226-13 du Code pénal)
  • Non-respect des obligations RGPD : sanctions administratives de la CNIL

5. Ressources utiles

Sites officiels

Agence du Numérique en Santé (ANS)

Référentiel HDS, liste des hébergeurs certifiés, FAQ et guides pratiques

Accéder au site esante.gouv.fr →

Documentation officielle

Référentiel HDS 2018

Référentiel complet des exigences pour les 6 activités

Télécharger →

Liste des hébergeurs certifiés

Liste officielle mise à jour régulièrement par l'ANS

Consulter →

FAQ HDS

Questions fréquentes sur la certification HDS

Consulter →

Guide pratique pour les établissements

Comment choisir un hébergeur certifié HDS

Télécharger →

Organismes certificateurs

Contact

Agence du Numérique en Santé (ANS)
Tour Montparnasse
33 avenue du Maine
75015 Paris
contact@esante.gouv.fr
Formulaire de contact ↗

6. Services liés

Sécurité et conformité

RGPD ESMS

Protection des données personnelles et conformité RGPD

PGSSI-S

Politique Générale de Sécurité des SI de Santé

DUI

Dossier Usager Informatisé avec hébergement HDS

Consentement numérique

Recueil et gestion du consentement des usagers

Besoin d'aide pour choisir un hébergeur certifié HDS ?

INTELIGIA vous accompagne dans le choix de vos solutions d'hébergement et vérifie la conformité HDS de vos prestataires.

Contactez-nous