""

Certification HDS V2 : un cadre exigeant pour sécuriser l’hébergement des données de santé

Les données de santé figurent parmi les données les plus sensibles au sens du RGPD. Toute fuite ou compromission porte atteinte à la confidentialité des données des patients, et peut altérer la qualité et la continuité des soins. À ce titre, les données de santé doivent faire l’objet d’une protection renforcée.

La certification HDS (Hébergeur de Données de Santé) constitue l’un des piliers de la protection des données de santé en France. Elle impose des exigences de sécurité à l’ensemble des acteurs hébergeant, ou souhaitant héberger, des données de santé.

La santé : un secteur ciblé, mais dont la résilience progresse

Le secteur de la santé est aujourd'hui l’un des plus exposés aux cybermenaces. Selon le Panorama de la cybermenace 2025 publié par l'ANSSI en mars 2026, il représente 10 % des incidents portés à la connaissance de l’Agence en 2025, soit le troisième secteur le plus touché. Les établissements de santé représentaient 4 % des structures victimes d’attaques par rançongiciel en 2024. Ce chiffre est passé à 8 % en 2025, signe d’un ciblage croissant.

Face à cette pression, les acteurs du secteur s’équipent et se protègent davantage. Leur maturité progresse. Dans son Observatoire 2024 des signalements d’incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social, le CERT Santé (cellule d’accompagnement en cybersécurité des structures de santé) note une amélioration significative du niveau de sécurité des établissements de santé. Si le nombre d’incidents signalés augmente, le nombre d’incidents majeurs est quant à lui en baisse.

Un cadre réglementaire de plus en plus protecteur pour les données de santé

Les exigences réglementaires autour de la protection des données de santé se renforcent au regard du risque grandissant qui pèse sur ces données. À l’échelle européenne, la collecte et le traitement de données de santé, qui forment une catégorie particulière de données personnelles, sont encadrées par le RGPD.



La directive européenne NIS 2 (Directive UE 2022/2555), en cours de transposition en France, concerne à double titre le sujet de la protection des données de santé. D’une part, les établissements de santé eux-mêmes figureront parmi les entités essentielles (EE) soumises aux exigences de la directive européenne. D’autre part, le secteur de la gestion des TIC (Technologies de l’Information et de la Communication), dans lequel s’inscrivent les hébergeurs de données (en fournissant la puissance de calcul et l'espace disque nécessaires au fonctionnement des sites web, applications et messageries en ligne), entre également dans le périmètre NIS 2.



En France, le sujet de la protection des données de santé est porté avec une grande attention par l’Agence du Numérique en Santé (ANS). Héritière de l’ASIP Santé, l’ANS est chargée de piloter la transformation numérique du système de santé. Elle joue un rôle essentiel dans la cybersécurité des acteurs du secteur de la santé.



L’ANS porte le référentiel HDS, créé en 2018 et régulièrement mis à jour afin de mieux répondre à l’évolution des menaces. Ce référentiel est propre à la France, et n’a pas d’équivalent dans d’autres pays européens. Toutefois un cadre de gestion européen existe, le EHDS (European Heath Data Space) : https://www.european-health-data-space.com/

La certification HDS : réponse aux exigences de sécurité et gage de confiance

La certification HDS : un cadre structurant pour l’hébergement des données de santé


La certification HDS (Hébergeur de Données de Santé) garantit un niveau de maturité en sécurité pour les données de santé personnelles. Elle assure une gestion optimisée de la protection des données (intégrité, disponibilité, confidentialité), la conformité réglementaire, et la localisation de l'hébergement (généralement en France, ou dans l'EEE). Elle s'appuie sur la norme ISO/IEC 27001.

Quels acteurs sont impactés par la transition vers HDS v2 ?

La certification HDS est obligatoire pour tout prestataire hébergeant des données de santé pour le compte de tiers tels que des centres hospitaliers, cliniques, cabinets de radiologie, laboratoires d'analyses médicales, EHPAD, etc.

Les sous-traitants assurant l’hébergement de données de santé (hébergeurs cloud, éditeurs de logiciels de santé, opérateurs d'infrastructures, etc.) ont l’obligation de s’engager dans une démarche de certification. Les responsables de traitement qui hébergent leurs propres données peuvent eux aussi s’engager dans une démarche de certification HDS, mais de façon volontaire.

Au-delà de l'obligation réglementaire, la certification HDS représente un signal de confiance. Elle atteste que les données confiées seront protégées selon la connaissance des risques à l’état de l’art, instillant de la confiance entre l’ensemble des acteurs concernés, jusqu’aux patients.

La transition vers HDS v2 implique pour ces acteurs une mise en conformité renforcée, notamment sur les exigences de souveraineté, de transparence et de gestion des accès.

HDS v2 : des exigences de souveraineté et de transparence renforcées


Les candidats à la certification HDS doivent désormais s’aligner sur la nouvelle version du référentiel de certification, dite « HDS v2 ». Cette version actualisée du référentiel HDS renforce les exigences en matière de souveraineté des données (localisation physique des données dans l’Espace Économique Européen : EEE) et de transparence en cas d’accès distant depuis un pays hors UE. HDS v2 précise également l’articulation entre les exigences de la certification HDS et celles de la qualification SecNumCloud. De plus elle intègre certaines évolutions issues du passage à la norme ISO 27001:2022.

Le référentiel HDS v2 s’impose à tout nouveau candidat à la certification depuis le 16 novembre 2024. Pour les structures déjà certifiées sous l’ancienne version, la transition complète vers les nouvelles exigences devait être finalisée au plus tard le 16 mai 2026.

LSTI est accrédité par le COFRAC sur le référentiel HDS depuis 2019 (n°4-0064 portée disponible sur le site du cofrac), ce qui en fait l’un des acteurs historiques de la certification HDS en France. Cette position lui donne une expérience et une expertise approfondie du référentiel, mise au service des acteurs souhaitant s’engager dans une démarche de certification HDS.

Sécuriser les données de santé : un effort continu et collectif

Le cadre réglementaire applicable aux hébergeurs de données de santé évolue constamment, en réponse aux enjeux de souveraineté numérique et aux risques que font peser les législations extra-européennes. Le décret n° 2026-209 du 24 mars 2026, portant modification de certaines dispositions du code de la santé publique relatives à l'hébergement de données de santé à caractère personnel, en témoigne. Il s’inscrit dans la continuité du référentiel HDS v2, dont il reprend et consolide plusieurs exigences.

Ce texte consacre l’obligation de stocker les données de santé exclusivement au sein de l’Espace Économique Européen. Les contrats d’hébergement doivent désormais mentionner les informations relatives à d’éventuels transferts hors EEE et, le cas échéant, les mesures d’atténuation mises en place. Il impose également aux hébergeurs de rendre publique une cartographie des transferts de données de santé vers des États tiers, ainsi que des accès distants éventuels à ces données, et des risques d’accès non autorisés.

La dynamique d’amélioration continue se poursuit. L’ANS travaille activement sur une prochaine évolution du référentiel HDS (v2.1), sous forme de concertation avec appel à contribution auprès des membres de l’écosystème. L’objectif de cette nouvelle évolution du référentiel HDS est d’adapter les mesures de sécurité aux menaces actuelles, de renforcer la protection des données de santé, et d’améliorer la capacité de résilience des établissements.

La démarche menée par l’ANS illustre bien la logique qui prévaut sur le sujet : l’amélioration de la sécurité des données de santé exige une adaptation permanente et un effort collectif.

LSTI, du fait de son positionnement historique, de ses expériences, et de son expertise sur le sujet, a participé activement à la concertation menée par l’ANS pour faire évoluer le référentiel HDS et construire un cadre de confiance toujours plus protecteur autour des données de santé.

Un projet de certification HDS ?

Contactez nous

FAQ

  • Pourquoi le référentiel HDS a-t-il évolué vers la version HDS v2 ?

    Le référentiel HDS a évolué vers la version HDS v2 afin d’adapter la sécurité de l’hébergement des données de santé à un niveau de menace en forte progression, notamment face à l’augmentation des cyberattaques dans le secteur de la santé. Cette évolution renforce les exigences de souveraineté des données, de transparence des accès et d’alignement avec les réglementations européennes comme le RGPD et la directive NIS 2, dans une logique d’amélioration continue de la sécurité des hébergeurs de données de santé.

  • Quelles sont les échéances pour se conformer à la certification HDS v2 ?

    Les échéances de mise en conformité à la certification HDS v2 imposent que tout nouvel hébergeur de données de santé candidat applique le référentiel HDS v2 depuis fin 2024, tandis que les organismes déjà certifiés doivent finaliser leur transition au plus tard le 16 mai 2026. À cette date, l’ensemble des certificats HDS devront attester de la conformité aux nouvelles exigences, notamment en matière de souveraineté et de transparence.

  • La certification ISO 27001 est-elle suffisante pour héberger des données de santé ?

    La certification ISO 27001 n’est pas suffisante pour héberger des données de santé en France, car elle constitue un socle de management de la sécurité de l’information sans couvrir les exigences spécifiques du secteur de la santé. La certification HDS vient compléter l’ISO 27001 en imposant des contrôles supplémentaires obligatoires pour les hébergeurs de données de santé, afin de garantir la confidentialité, l’intégrité et la disponibilité des données médicales.

  • Comment la certification HDS v2 traite-t-elle la souveraineté des données de santé ?

    La certification HDS v2 traite la souveraineté des données de santé en imposant un hébergement au sein de l’Espace Économique Européen et en renforçant les obligations de transparence sur les transferts de données et les accès distants. Les hébergeurs de données de santé doivent documenter ces flux et publier une cartographie des accès, afin de mieux maîtriser les risques juridiques et les risques d’accès non autorisé.

  • La certification HDS protège-t-elle contre les cyberattaques ?

    La certification HDS ne protège pas de manière absolue contre les cyberattaques, mais elle garantit que l’hébergeur de données de santé met en œuvre un cadre de sécurité structuré, conforme à l’état de l’art et fondé sur une approche de gestion des risques. Elle atteste que des mesures sont en place pour prévenir, détecter et répondre aux incidents, ce qui permet de réduire significativement leur probabilité et leur impact

  • Pourquoi faire appel à un organisme certificateur accrédité comme LSTI ?

    Faire appel à un organisme certificateur accrédité comme LSTI permet de garantir une évaluation indépendante et reconnue de la conformité à la certification HDS, conformément à la norme ISO/IEC 17021-1. Cette indépendance repose sur une séparation stricte entre audit et conseil, assurant l’impartialité des évaluations et renforçant la crédibilité de la certification auprès des autorités, des partenaires et des clients.

Découvrez nos actualités