Skip to main content
Santé & e-santé

Hébergement de données de santé : qu’est-ce que la certification HDS ?

By 21 novembre 2025novembre 26th, 2025No Comments

En France, l’hébergement des données de santé pour le compte d’un tiers est soumis à l’obligation réglementaire d’obtenir la certification HDS. Elle est la preuve que l’hébergeur respecte le référentiel de protection, assurant l’intégrité et la confidentialité des informations à caractère personnel.

Ce qu’il faut retenir :

  • L’hébergement des données de santé à caractère personnel pour un tiers est encadré par le Code de la santé publique et le RGPD.
  • La certification HDS garantit le niveau de sécurité du système d’information pour la protection des personnes.
  • Un hébergeur certifié doit obtenir au moins un des deux certificats (infrastructure physique ou infogéreur), selon les services fournis.
  • La certification HDS repose sur un référentiel exigeant, basé sur la norme ISO 27001 et complété par des mesures spécifiques au secteur de la santé.
  • Le processus comprend un audit documentaire et un audit sur site.

Lexagone est un cabinet conseil RGPD spécialisé dans les enjeux spécifiques des acteurs de la santé. Faites confiance à nos experts pour garantir la conformité de vos activités.

PARLER À UN EXPERT

Hébergement des données de santé : un sujet sensible

La conservation et le traitement des données personnelles représentent un enjeu majeur car ces informations sont le reflet de la vie privée des individus. Leur utilisation abusive peut entraîner des dommages considérables, d’où l’existence de cadres réglementaires stricts comme le RGPD.

Les données de santé à caractère personnel sont considérées comme encore plus sensibles car elles touchent à l’intimité corporelle et psychique des personnes. C’est pourquoi le RGPD (article 9) les classe parmi les « catégories particulières de données à caractère personnel », soumettant leur traitement à des conditions d’autorisation et des mesures de sécurité plus rigoureuses.

Les aspects légaux de l’hébergement des données de santé

L’hébergement des données de santé est encadré par l’article L1111-8 du Code de la santé publique (CSP) et le décret du 26 février 2018 relatif à l’hébergement des données de santé.

Le CSP indique que :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article. »

Ce cadre réglementaire, fortement articulé avec le RGPD, exige que toute donnée de santé à caractère personnelle stockée chez un prestataire d’un établissement ou d’un professionnel de santé le soit dans un environnement certifié HDS.

Qu’est-ce que la certification HDS ?

certification hds définition

Héberger des données relatives à l’état de santé d’une personne pour un tiers requiert la certification HDS

La certification HDS est un processus réglementaire français obligatoire pour tout prestataire qui souhaite traiter (stocker, archiver ou gérer,…) des données de santé à caractère personnel pour le compte d’un autre établissement. Elle vise à garantir un niveau de sécurité et de confidentialité maximal pour ces données.

Un certificat HDS est délivré pour trois ans par un organisme accrédité, avec un audit de surveillance chaque année. Pour cela, il convient de faire appel à un organisme certificateur accrédité par le COFRAC. Il atteste que l’hébergeur respecte un référentiel strict basé sur la norme ISO 27001 (relative à la sécurité des systèmes d’information), complété par des exigences spécifiques au secteur de la santé.

Deux types de certificats

La certification HDS se décline en deux certificats différents, correspondant à deux niveaux d’intervention technique. Un prestataire peut obtenir l’un, l’autre ou les deux.

  • Certification Hébergeur d’infrastructure physique: elle concerne les prestataires qui fournissent uniquement l’environnement matériel et physique sécurisé nécessaire à l’hébergement des données (serveurs, réseau physique, baies de stockage, par exemple).
  • Certification Hébergeur infogéreur: elle concerne les prestataires intervenant sur l’administration et l’exploitation du système (plateforme cloud, mises à jour, gestion des accès notamment). C’est le niveau qui implique le plus de proximité avec les données traitées.

Les données concernées par la certification HDS

Les données de santé regroupent toutes les informations relatives à l’état de santé physique ou mentale passé, présent ou futur d’une personne physique.

C’est notamment le cas des :

  • Résultats d’examens et d’analyses médicales
  • Diagnostics
  • Prescriptions
  • Dossiers médicaux
  • Comptes rendus d’hospitalisation

La procédure de certification HDS

certification hds audit min

La procédure de certification HDS entraîne un audit documentaire et un audit sur site

Pour être certifié HDS, il faut en faire la demande auprès d’un organisme accrédité. Un audit en deux étapes est ensuite réalisé. En cas de non-conformité, l’hébergeur dispose de trois mois pour ajuster les éléments non-conformes et faire auditer ses corrections.

  • Audit documentaire: l’auditeur examine les documents relatifs au SI du candidat pour s’assurer de sa conformité théorique.
  • Audit sur site: l’organisme certificateur assure une vérification concrète et physique de la mise en œuvre des engagements.

Notre cabinet conseil accompagne des GHT et centres hospitaliers en tant que DPO externe spécialisé en santé. Nous vous accompagnons à tous les niveaux, par exemple pour un audit de mise en conformité RGPD de vos traitements de données sensibles ou pour la gestion des droits des patients et des collaborateurs.

PARLER À UN EXPERT

Questions fréquentes

Qui est concerné par la certification HDS ?

Tout organisme hébergeant des données de santé pour le compte d’un tiers (établissement de santé, médico-social, professionnel libéral) est concerné par l’obligation d’être hébergeur de données de santé.

Un établissement de santé qui gère son système d’information n’a pas l’obligation d’être HDS. Sous certaines conditions cumulatives, il existe également des exemptions dans le cadre d’un GHT.

Quelle est la différence entre la certification HDS et la norme ISO 27001 ?

La norme ISO 27001 est la référence internationale permettant aux organisations de mettre en place un système de management de la sécurité de l’information (SMSI) efficace et robuste. La certification HDS garantit la protection des données de santé hébergées pour le compte d’un tiers. Elle s’appuie sur la norme ISO 27001 et le RGPD. Elle est obligatoire pour ce type d’hébergement.

Quelles sont les sanctions encourues en l’absence de certification HDS ?

L’article 226-16 du Code Pénal prévoit une peine pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende en cas de non-respect des obligations lors des traitements de données de santé. La CNIL peut quant à elle sanctionner les manquements graves à la Loi Informatique et Libertés et au RGPD à hauteur de 4% du chiffre d’affaires mondial ou 20 millions d’euros, le chiffre le plus haut étant retenu.

Author Mathilde STINES

Forte de plusieurs années d’expérience en protection des données, tant comme CIL/DPO interne que comme DPO externe, Mathilde accompagne aujourd’hui des organisations de tous secteurs — privé, médico-social et e-santé — dans leur mise en conformité et la structuration de leur gouvernance RGPD.

More posts by Mathilde STINES