La certification Hébergeur de Données de Santé (HDS) atteste qu’un hébergeur met en œuvre des mesures adaptées pour protéger les données de santé à caractère personnel, conformément au référentiel national publié par l’Agence du Numérique en Santé (ANS).
Comprendre le référentiel HDS
La certification HDS s’inscrit dans un cadre réglementaire et méthodologique structuré, visant à assurer un niveau de sécurité adapté au traitement de données de santé. Pour en comprendre la portée, il est nécessaire d’identifier les fondements du référentiel qui en définit les exigences.
Elle repose sur un Système de Management de la Sécurité de l’Information (SMSI) conforme à ISO/IEC 27001, complété par des exigences spécifiques au traitement et à la protection des données de santé.
La certification peut couvrir six activités d’hébergement
1 | La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé |
2 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information |
3 | La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information |
4 | La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information |
5 | L’administration et l’exploitation du système d’information contenant les données de santé |
6 | La sauvegarde des données de santé. |
Chaque entité peut être certifiée sur un ou plusieurs de ces domaines. Le périmètre retenu doit inclus dans le périmètre du certificat ISO/IEC 27001, et il doit être clairement défini dans le certificat et refléter les services réellement fournis
Cadre légale de l’Hébergement de Données de Santé (HDS)
“Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.”
L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016
La procédure de certification repose sur une évaluation de conformité au référentiel de certification.
L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).
A qui s'adresse la certification HDS
La certification HDS s’applique à toute organisation — publique ou privée — qui héberge, exploite ou met à disposition des services d’hébergement de données de santé à caractère personnel.
Elle est notamment destinée à :
- des hébergeurs d’infrastructures physiques ou virtuelles,
- des infogéreurs de systèmes d’information de santé,
- des organisations responsables ou sous-traitantes d’hébergement pour des établissements ou acteurs sanitaires ou médico-sociaux.
Enjeux et objectifs de la certification HDS
Au-delà de l’obligation réglementaire, la certification HDS constitue un levier de maîtrise opérationnelle et de confiance pour les organisations impliquées dans l’hébergement de données de santé. Elle répond à des finalités clairement établies, tant pour les hébergeurs que pour les responsables de traitement.
La certification HDS permet ainsi de garantir que l’hébergeur a mis en œuvre un dispositif cohérent et pérenne répondant notamment aux objectifs suivants :
- garantir la confidentialité, l’intégrité et la disponibilité des données de santé,
- répondre aux obligations légales et réglementaires (CSP et RGPD),
- formaliser les garanties contractuelles (niveaux de service, réversibilité, droits des personnes, maîtrise des sous-traitants),
- démontrer un niveau de sécurité évalué de manière indépendante.
Pourquoi choisir LSTI pour la certifiction HDS
Au-delà de l’obligation réglementaire, la certification HDS constitue un levier de maîtrise opérationnelle et de confiance pour les organisations impliquées dans l’hébergement de données de santé. Elle répond à des finalités clairement établies, tant pour les hébergeurs que pour les responsables de traitement.
La certification HDS permet ainsi de garantir que l’hébergeur a mis en œuvre un dispositif cohérent et pérenne répondant notamment aux objectifs suivants :
- garantir la confidentialité, l’intégrité et la disponibilité des données de santé,
- répondre aux obligations légales et réglementaires (CSP et RGPD),
- formaliser les garanties contractuelles (niveaux de service, réversibilité, droits des personnes, maîtrise des sous-traitants),
- démontrer un niveau de sécurité évalué de manière indépendante.
Processus de la certifcation
Le cycle de certification HDS suit une démarche encadrée, progressive et récurrente. Il vise à évaluer la conformité initiale du système d’hébergement, puis à garantir son maintien dans le temps.
- Audit initial : réalisé en deux phases — revue documentaire puis audit sur site ou à distance. Il vise à vérifier la conformité du système d’hébergement aux exigences du référentiel HDS.
- Délivrance du certificat : si les exigences sont remplies, un certificat HDS est délivré pour une durée de trois ans.
Audits de surveillance annuels : permettent de s’assurer du maintien de la conformité. - Audit de renouvellement : à l’issue du cycle triennal, un audit complet permet de prolonger la certification.
Le référentiel HDS version 2.0 est entré en vigueur à partir du 16 novembre 2024 pour les nouveaux candidats, et au plus tard le 16 mai 2026 pour les hébergeurs déjà certifiés.
