Certification Hébergeur de Données de Santé (HDS)

La certification Hébergeur de Données de Santé (HDS) atteste qu’un hébergeur met en œuvre des mesures adaptées pour protéger les données de santé à caractère personnel, conformément au référentiel national publié par l’Agence du Numérique en Santé (ANS).

Comprendre le référentiel HDS

La certification HDS s’inscrit dans un cadre réglementaire et méthodologique structuré, visant à assurer un niveau de sécurité adapté au traitement de données de santé. Pour en comprendre la portée, il est nécessaire d’identifier les fondements du référentiel qui en définit les exigences.
Elle repose sur un Système de Management de la Sécurité de l’Information (SMSI) conforme à ISO/IEC 27001, complété par des exigences spécifiques au traitement et à la protection des données de santé.

La certification peut couvrir six activités d’hébergement :

La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information
La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information
La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
L’administration et l’exploitation du système d’information contenant les données de santé
La sauvegarde des données de santé.

Chaque entité peut être certifiée sur un ou plusieurs de ces domaines. Le périmètre retenu doit inclus dans le périmètre du certificat ISO/IEC 27001, et il doit être clairement défini dans le certificat et refléter les services réellement fournis.

Cadre légale de l’Hébergement de Données de Santé (HDS)

“Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.”

L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016

La procédure de certification repose sur une évaluation de conformité au référentiel de certification.

L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).

Contactez-nous

A qui s'adresse la certification HDS

La certification HDS s’applique à toute organisation — publique ou privée — qui héberge, exploite ou met à disposition des services d’hébergement de données de santé à caractère personnel.
Elle est notamment destinée à :

Des hébergeurs d’infrastructures physiques ou virtuelles
Des infogéreurs de systèmes d’information de santé
Des organisations responsables ou sous-traitantes d’hébergement pour des établissements ou acteurs sanitaires ou médico-sociaux.

Enjeux et objectifs de la certification HDS

Au-delà de l’obligation réglementaire, la certification HDS constitue un levier de maîtrise opérationnelle et de confiance pour les organisations impliquées dans l’hébergement de données de santé. Elle répond à des finalités clairement établies, tant pour les hébergeurs que pour les responsables de traitement.

La certification HDS permet ainsi de garantir que l’hébergeur a mis en œuvre un dispositif cohérent et pérenne répondant notamment aux objectifs suivants :

Garantir la confidentialité, l’intégrité et la disponibilité des données de santé
Répondre aux obligations légales et réglementaires (CSP et RGPD)
Formaliser les garanties contractuelles (niveaux de service, réversibilité, droits des personnes, maîtrise des sous-traitants)
Démontrer un niveau de sécurité évalué de manière indépendante.

Processus de certification

Le cycle de certification HDS suit une démarche encadrée, progressive et récurrente. Il vise à évaluer la conformité initiale du système d’hébergement, puis à garantir son maintien dans le temps.

Audit initial : réalisé en deux phases — revue documentaire puis audit sur site ou à distance. Il vise à vérifier la conformité du système d’hébergement aux exigences du référentiel HDS.
Délivrance du certificat : si les exigences sont remplies, un certificat HDS est délivré pour une durée de trois ans.
Audits de surveillance annuels : permettent de s’assurer du maintien de la conformité.
Audit de renouvellement : à l’issue du cycle triennal, un audit complet permet de prolonger la certification.

Le référentiel HDS version 2.0 est entré en vigueur à partir du 16 novembre 2024 pour les nouveaux candidats, et au plus tard le 16 mai 2026 pour les hébergeurs déjà certifiés.

Retrouvez nos règlements de certification sur la page Téléchargements.

Contactez-nous

Pourquoi choisir LSTI ?

Expertise reconnue

Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Auditeurs spécialisés

Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Tiers indépendant et accompagnement dédié

Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.