Skip to main content
Santé & e-santé

Hébergement de données de santé : qu’est-ce que la certification HDS ?

By 21 novembre 2025No Comments

En France, l’hébergement des données de santé pour un tiers est soumis à l’obligation réglementaire d’obtenir la certification HDS. Elle est la preuve que l’hébergeur respecte le référentiel de protection, assurant l’intégrité et la confidentialité des informations à caractère personnel.

Ce qu’il faut retenir :

  • L’hébergement des données de santé à caractère personnel pour un tiers est encadré par le Code de la santé publique et le RGPD.
  • La certification HDS garantit le niveau de sécurité du système d’information pour la protection des personnes.
  • Un hébergeur certifié doit obtenir au moins un des deux certificats (infrastructure physique ou infogéreur), selon les services fournis.
  • La certification HDS repose sur un référentiel exigeant, basé sur la norme ISO 27001 et complété par des mesures spécifiques au secteur de la santé.
  • Le processus comprend un audit documentaire et un audit sur site.

Lexagone est un cabinet conseil RGPD spécialisé dans les enjeux spécifiques des acteurs de la santé. Faites confiance à nos experts pour garantir la conformité de vos activités.

PARLER À UN EXPERT

Hébergement des données de santé : un sujet sensible

La conservation et le traitement des données personnelles représentent un enjeu majeur car ces informations sont le reflet de la vie privée des individus. Leur utilisation abusive peut entraîner des dommages considérables, d’où l’existence de cadres réglementaires stricts comme le RGPD.

Les données de santé à caractère personnel sont considérées comme encore plus sensibles car elles touchent à l’intimité corporelle et psychique des personnes. C’est pourquoi le RGPD (article 9) les classe parmi les « catégories particulières de données à caractère personnel », soumettant leur traitement à des conditions d’autorisation et des mesures de sécurité plus rigoureuses.

Les aspects légaux de l’hébergement des données de santé

L’hébergement des données de santé est encadré par l’article L1111-8 du Code de la santé publique (CSP) et le décret du 26 février 2018 relatif à l’hébergement des données de santé.

Le CSP indique que :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. »

Ce cadre réglementaire, fortement articulé avec le RGPD, exige que toute donnée de santé à caractère personnelle stockée hors du système d’information (SI) de l’établissement ou du professionnel lui-même passe par un prestataire certifié HDS.

Qu’est-ce que la certification HDS ?

certification hds définition

Héberger des données relatives à l’état de santé d’une personne pour un tiers requiert la certification HDS

La certification HDS est un label réglementaire français obligatoire pour toute entité qui souhaite stocker, archiver ou gérer des données de santé à caractère personnel pour le compte d’établissements ou de professionnels de santé. Elle vise à garantir un niveau de sécurité et de confidentialité maximal pour ces données.

Un certificat HDS est délivré pour trois ans par un organisme accrédité (comme le COFRAC), avec un audit de surveillance chaque année. Il atteste que l’hébergeur respecte un référentiel strict basé sur la norme ISO 27001 (relative à la sécurité des systèmes d’information), complété par des exigences spécifiques au secteur de la santé.

Deux types de certificats

La certification HDS se décline en deux certificats différents, correspondant à deux niveaux d’intervention technique. Un prestataire peut obtenir l’un, l’autre ou les deux.

  • Certification Hébergeur d’infrastructure physique: elle concerne les prestataires qui fournissent uniquement l’environnement matériel et physique sécurisé nécessaire à l’hébergement des données (serveurs, réseau physique, baies de stockage, par exemple). Ils n’ont pas accès aux données elles-mêmes.
  • Certification Hébergeur infogéreur: elle concerne les prestataires intervenant sur l’administration et l’exploitation du système (plateforme cloud, mises à jour, gestion des accès notamment). C’est le niveau qui implique le plus de proximité avec les données traitées.

Les données concernées par la certification HDS

Les données de santé regroupent toutes les informations relatives à l’état de santé physique ou mentale passé, présent ou futur d’une personne physique.

C’est notamment le cas des :

  • Résultats d’examens et d’analyses médicales
  • Diagnostics
  • Prescriptions
  • Dossiers médicaux
  • Comptes rendus d’hospitalisation

La procédure de certification HDS

certification hds audit min

La procédure de certification HDS entraîne un audit documentaire et un audit sur site

Pour être certifié HDS, il faut en faire la demande auprès d’un organisme accrédité, comme le COFRAC (ou équivalent). Un audit en deux étapes est ensuite réalisé. En cas de non-conformité, l’hébergeur dispose de trois mois pour ajuster les éléments non-conformes et faire auditer ses corrections.

  • Audit documentaire: l’auditeur examine les documents relatifs au SI du candidat pour s’assurer de sa conformité théorique.
  • Audit sur site: l’organisme certificateur assure une vérification concrète et physique de la mise en œuvre des engagements.

Notre cabinet conseil accompagne des GHT et centres hospitaliers en tant que DPO externe spécialisé en santé. Nous vous accompagnons à tous les niveaux, par exemple pour un audit de mise en conformité RGPD de vos traitements de données sensibles ou pour la gestion des droits des patients et des collaborateurs.

PARLER À UN EXPERT

Questions fréquentes

Qui est concerné par la certification HDS ?

Tout organisme hébergeant des données de santé pour le compte d’un tiers (établissement de santé, médico-social, professionnel libéral) est concerné par l’obligation d’être hébergeur de données de santé.

Un établissement ou un professionnel de santé qui conserve les données de santé de ses patients localement n’est pas concerné. Deux professionnels peuvent également s’échanger des données de santé. Un échange via des messageries non sécurisées ou des solutions tierces non HDS reste néanmoins une non-conformité potentielle.

Quelle est la différence entre la certification HDS et la norme ISO 27001 ?

La norme ISO 27001 est la référence internationale permettant aux organisations de mettre en place un système de management de la sécurité de l’information (SMSI) efficace et robuste. La certification HDS est conforme à la norme ISO 27001 et répond également aux exigences spécifiques à la loi française et au RGPD.

Quelles sont les sanctions encourues en l’absence de certification HDS ?

L’article 226-16 du Code Pénal prévoit une peine pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende en cas de manquement à l’obligation d’être hébergeur de données de santé. La CNIL peut quant à elle sanctionner les manquements à la Loi Informatique et Libertés et au RGPD à hauteur de 4% du chiffre d’affaires mondial ou 20 millions d’euros, le chiffre le plus haut étant retenu.

Author Morgane Horreard

Morgane Horreard est DPO externe au sein du cabinet Lexagone, et spécialisée dans les problématiques de santé, e-santé et recherche clinique. Elle accompagne les établissements de santé, les acteurs de la recherche et les entreprises dans la mise en conformité de leurs traitements de données avec le RGPD et les exigences réglementaires spécifiques au secteur.

More posts by Morgane Horreard