""

Certification HDS : Certification Hébergeurs de Données de Santé

La certification Hébergeur de Données de Santé (HDS) est le pilier de la confiance numérique en France. Elle atteste qu'un prestataire informatique déploie une stratégie de cybersécurité robuste pour assurer la protection des données à caractère personnel. Ce processus d'audit de certification, supervisé par l'Agence du Numérique en Santé (ANS), garantit l'intégrité et la disponibilité des informations sensibles.

Cadre réglementaire et référentiel de certification HDS V2

""
""

La certification HDS s’inscrit dans un cadre réglementaire et méthodologique structuré, visant à assurer un niveau de gouvernance de la sécurité des systèmes d'information adapté au traitement de données de santé. Pour en comprendre la portée, il est nécessaire d’identifier les fondements du référentiel qui en définit les exigences.
Elle repose sur un Système de Management de la Sécurité de l’Information (SMSI) conforme à ISO/IEC 27001, complété par des exigences spécifiques au traitement et à la protection des données de santé.

La certification HDS peut couvrir six activités d’hébergement

 

La certification HDS peut couvrir six activités distinctes définies par le Code de la santé publique. Pour les quatre premières activités, la norme impose non seulement la mise à disposition des ressources, mais aussi leur Maintien en Condition Opérationnelle (MCO), c’est-à-dire l’ensemble des mesures (maintenance, surveillance, mises à jour) garantissant que le service reste disponible, performant et sécurisé en continu.

  1. La mise à disposition et le MCO de sites physiques permettant d’héberger l’infrastructure matérielle (datacenters, salles informatiques sécurisées).
  2. La mise à disposition et le MCO de l’infrastructure matérielle (serveurs physiques, baies de stockage, équipements réseaux).
  3. La mise à disposition et le MCO de l’infrastructure virtuelle (serveurs virtuels, réseaux et stockages virtuels via hyperviseur).
  4. La mise à disposition et le MCO de la plateforme d’hébergement d’applications (plateforme applicative de type PaaS permettant de déployer des logiciels de santé).
  5. L’administration et l’exploitation du système d’information contenant les données de santé (gestion technique et applicative quotidienne).
  6. La sauvegarde des données de santé, s'entendant spécifiquement comme la gestion des sauvegardes externalisées pour garantir la récupération des données en cas d'incident.

 

Chaque entité peut être certifiée sur un ou plusieurs de ces domaines en fonction des services réellement fournis. Il est impératif que le périmètre retenu soit inclus dans celui du certificat ISO/IEC 27001 et qu'il soit clairement défini sur le certificat final pour refléter la réalité des prestations opérées.

 

Cadre légal de l’Hébergement de Données de Santé (HDS)

 

“Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.” L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016.

 La procédure de certification repose sur une évaluation de conformité au référentiel de certification. L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).

 

 
Contactez-nous

Quels sont les enjeux de la certification HDS ?

Pour les responsables de traitement (établissements de santé, professionnels de santé, éditeurs), la certification HDS constitue bien plus qu’une simple exigence réglementaire : c’est un gage de confiance et de maîtrise opérationnelle. En choisissant un hébergeur certifié par un tiers indépendant comme LSTI, le responsable de traitement a l'assurance que son prestataire met en œuvre des mesures de sécurité adaptées et un dispositif cohérent pour protéger les données les plus sensibles.

 

Cette confiance repose sur quatre piliers fondamentaux renforcés par le référentiel HDS V2 :

  • La preuve d'une gouvernance de la sécurité des systèmes d'information robuste : Le responsable de traitement bénéficie d’un niveau de sécurité évalué de manière indépendante, garantissant la confidentialité, l'intégrité et la disponibilité (DIC) des données de santé.
  • La conformité réglementaire simplifiée : La certification atteste que l’hébergeur respecte les obligations strictes du Code de la santé publique (CSP) et du RGPD, facilitant ainsi la propre démarche de conformité du responsable de traitement.
  • Des garanties contractuelles transparentes : Conformément à l'article R.1111-11 du CSP, les engagements sur les niveaux de service, le respect des droits des personnes concernées et la réversibilité sécurisée des données sont formellement encadrés.
  • La visibilité sur la chaîne de service : La nouvelle « Représentation des garanties » introduite par la V2 offre une transparence totale sur l'ensemble des acteurs et sous-traitants intervenant dans la prestation, permettant au responsable de traitement de maîtriser parfaitement son écosystème de données.

 

En déléguant l’hébergement à une structure certifiée HDS V2, le responsable de traitement transforme une obligation légale en un actif stratégique, garantissant une protection optimale et pérenne des informations confiées par les patients.

A qui s'adresse la certification HDS ?

La certification HDS est une obligation légale qui s’applique à toute organisation — publique ou privée — qui héberge, exploite ou met à disposition des services d'hébergement pour des données de santé à caractère personnel (DSCP). Elle concerne spécifiquement les entités ayant la qualité de sous-traitant au sens du RGPD pour le compte de responsables de traitement (établissements de santé, professionnels de santé) ou du patient lui-même.

 

Cette certification est notamment destinée aux acteurs suivants :

  • Hébergeurs d’infrastructures physiques : prestataires assurant la mise à disposition et le maintien en condition opérationnelle de sites physiques (datacenters) destinés à l'infrastructure matérielle.
  • Hébergeurs d’infrastructures virtuelles : organismes fournissant des serveurs virtuels et les plateformes applicative d'infrastructure associées.
  • Hébergeurs de plateformes applicatives (PaaS) : acteurs mettant à disposition l'environnement nécessaire au déploiement d'applications de santé.
  • Infogéreurs et administrateurs de systèmes d’information : prestataires chargés de l'exploitation et de la maintenance critique des systèmes contenant des données de santé.
  • Services de sauvegarde externalisée : toute organisation assurant la sauvegarde de sécurité des données de santé pour le compte d'un tiers.
Demandez un devis

Un périmètre défini par l'usage

 

L'obligation de certification s'applique dès lors que les données hébergées sont recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Que vous soyez responsable de l'infrastructure globale ou un sous-traitant spécialisé, votre périmètre de certification doit refléter les services réellement fournis au sein de l'écosystème de santé.

 

HDS V2 : Représentation des garanties et conformité des acteurs

 

La version HDS V2 impose désormais une transparence totale sur la chaîne de sous-traitance. Si vous faites appel à un tiers pour une partie de vos activités (comme le stockage physique), vous devez vous assurer que ce dernier est également certifié pour les activités qu'il opère.

 

Que faire avant de passer la certification HDS ?

Avant de solliciter un audit de certification HDS auprès de LSTI, il est essentiel que votre organisation franchisse plusieurs étapes clés pour garantir la conformité de son système aux exigences du référentiel HDS V2 et de la norme ISO/IEC 27001.

 

Établir un SMSI conforme et opérationnel

La certification HDS reposant sur le socle de la norme ISO 27001, vous devez d'abord structurer et déployer un Système de Management de la Sécurité de l'Information (SMSI). Il est fortement recommandé que ce système soit opérationnel depuis au moins six mois avant le passage de l'audit initial pour démontrer sa maturité.

Définir précisément votre périmètre d'activité

Vous devez identifier les activités d'hébergement (parmi les 6 domaines définis par le Code de la santé publique) que vous fournissez réellement à vos clients . Ce périmètre doit être clairement documenté, car il sert de base à l'ensemble de votre analyse de risques et à l'élaboration de votre Déclaration d'Applicabilité (SoA).

Analyse de risques et sécurité informatique du Système d’Information de Santé

En complément d'une analyse de risques, le référentiel HDS V2 impose d'envisager des scénarios spécifiques, tels que :

  • La perte de contrôle des supports matériels (copies, réallocation d'espace).
  • La maîtrise des accès et des interventions techniques.
  • Les risques liés à la souveraineté des données et à la sujétion éventuelle à des législations extra-européennes.

Mettre en conformité vos contrats et garanties

Assurez-vous que vos contrats d’hébergement intègrent déjà les clauses obligatoires de l'article R.1111-11 du Code de la santé publique (niveaux de service, réversibilité, droits des personnes) . Vous devez également préparer votre document de « Représentation des garanties » détaillant l'ensemble des acteurs de votre chaîne de service.

Valider la conformité par un audit interne

La réalisation d'un audit interne est une modalité préalable indispensable. Cet audit doit notamment vérifier la conformité du SMSI aux exigences HDS et la réalité de la traçabilité des accès aux données de santé par vos équipes . Enfin, une revue de direction doit être conduite pour valider l'adéquation et l'efficacité du système avant l'intervention de LSTI.

Comment se déroule la certification HDS ?

Le processus d'audit de LSTI repose sur une méthodologie rigoureuse, éprouvée auprès de nombreux prestataires de services informatiques et établissements de santé. Nos audits sont conçus pour valider l'efficacité réelle de votre dispositif de cybersécurité tout en assurant une transition fluide vers le référentiel HDS V2.
LSTI réalise les audits ISO 27001 et HDS V2 simultanément avec la même équipe d’auditeurs spécialisés, assurant ainsi une cohérence et une efficacité maximales.

 

Un cycle de certification en trois étapes clés

Le cycle de certification HDS suit une démarche encadrée, progressive et récurrente. Il vise à évaluer la conformité initiale du système d’hébergement, puis à garantir son maintien dans le temps.

  • Audit initial : réalisé en deux phases, ce processus débute par une revue documentaire (Étape 1) suivie d'une vérification opérationnelle sur site ou à distance (Étape 2) pour valider la conformité du système ainsi que votre stratégie de gestion des risques d’hébergement aux exigences aux référentiels 27001 et HDS.
  • Délivrance du certificat : si les exigences sont remplies, un certificat 27001 et un certificat HDS sont délivrés pour une durée de trois ans.
  • Audits de surveillance annuels : ils permettent de s’assurer du maintien de la conformité et de l’amélioration continue du système durant le cycle de vie des certificats.
  • Audit de renouvellement : à l’issue du cycle triennal, un audit complet permet de prolonger la certification 27001 et la certification HDS pour un nouveau cycle.

 

Le cadre réglementaire du référentiel HDS V2 s'impose à tout nouveau candidat depuis le 16 novembre 2024. Pour les structures déjà certifiées, la transition complète vers ces nouvelles exigences doit être impérativement finalisée au plus tard le 16 mai 2026.

Retrouvez nos règlements de certification sur la page Téléchargements.

 

Durée d'un certificat

Le certificat HDS est délivré pour une durée de trois ans et fait l'objet d'audits de surveillance annuels afin de garantir le maintien rigoureux de la conformité et de la sécurité des données tout au long du cycle. 

 
Demandez un devis

Vos question sur la certification Hébergeur de Données de Santé (HDS)

  • Qu’est-ce qu’une donnée de santé (DSCP) au sens du référentiel ?

    Une donnée de santé (DSCP) au sens du référentiel désigne les données à caractère personnel définies par l'article 4.15 du RGPD, recueillies lors d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social pour le compte de professionnels de santé, d'établissements ou du patient lui-même.

  • Quelles sont les obligations de souveraineté concernant le stockage des données de santé ?

    Les obligations de souveraineté concernant le stockage des données de santé imposent que l’hébergeur ou ses sous-traitants stockent ces DSCP exclusivement au sein de l’Espace Économique Européen (EEE), tout en documentant et communiquant au client la localisation exacte de ce stockage.

  • Qu’entend-on par « Acteur » dans le cadre de la prestation d’hébergement ?

    Par « Acteur » dans le cadre de la prestation d’hébergement, on entend tout intervenant qui contribue à la sécurité des données de santé, à l'exclusion du responsable de traitement et des sous-traitants de l'hébergeur lorsqu'ils agissent selon la politique de sécurité et sous la surveillance de l'entité certifiée.

  • Quelles sont les spécificités de l’Activité 5 dans le référentiel HDS V2 ?

    Les spécificités de l’Activité 5 dans le référentiel HDS V2 résident dans la maîtrise des interventions sur les ressources du client via la revue annuelle des accès nominatifs, la sécurisation des procédures, la traçabilité des logs et la validation préalable des actions ; ces missions sont intrinsèques aux activités 1 à 4 mais obligatoires pour tout prestataire administrant des ressources sans fournir l'infrastructure.

  • Comment obtenir la certification HDS ?

    Pour obtenir la certification HDS, une organisation doit structurer un Système de Management de la Sécurité de l'Information (SMSI) conforme à l'ISO 27001 complété par les exigences du référentiel de l'ANS, réaliser un audit interne obligatoire, puis valider sa conformité par un audit officiel réalisé par un organisme accrédité comme LSTI.

  • La certification HDS est-elle obligatoire ?

    La certification HDS est obligatoire selon l'article L.1111-8 du Code de la santé publique pour toute personne physique ou morale hébergeant des données de santé à caractère personnel pour le compte de tiers, cette obligation s'appliquant aux hébergeurs d'infrastructures physiques ou virtuelles et aux infogéreurs.

  • Quel est le lien entre ISO 27001 et HDS ?

    Le lien entre ISO 27001 et HDS réside dans le fait que la certification HDS s’appuie obligatoirement sur un SMSI certifié ISO/IEC 27001 , le périmètre HDS devant être inclus dans le périmètre ISO 27001 et la validité du certificat HDS étant conditionnée au maintien de la certification ISO 27001.

  • Qu'est-ce que le référentiel HDS version 2.0 ?

    La version 2.0 du référentiel, publiée en 2024, renforce les exigences de transparence et de sécurité. Elle introduit notamment des obligations strictes concernant la souveraineté des données (stockage au sein de l'EEE), la transparence sur les transferts hors UE et la standardisation de la présentation des garanties offertes aux clients. Elle est obligatoire pour les nouveaux candidats depuis le 16 novembre 2024 et l'ensemble des acteurs certifiés doivent avoir fait leur transition avant le 16 mai 2026.

  • Le Responsable de Traitement qui héberge lui-même ses propres données est-il soumis à l’obligation de certification HDS ?

    Le Responsable de Traitement hébergeant ses propres données n'est pas soumis à l'obligation légale de certification HDS V2, celle-ci ciblant les entités agissant en qualité de sous-traitant pour le compte de tiers. Une démarche volontaire reste possible pour garantir une sécurité évaluée par un tiers, offrant via le socle ISO 27001 + HDS un levier de conformité structurant face à la directive NIS2 s'appliquant au secteur de la santé.

En savoir plus

sur nos autres certifications

""
Certification ISO 27001 : Certifier votre Système de Management de la Sécurité de l'Information (SMSI)
Face à l’augmentation continue des cybermenaces et des exigences réglementaires, la sécurité de l’information constitue un enjeu stratégique pour les organisations. La norme ISO/IEC 27001 s’est imposée comme le référentiel international de référence pour structurer la gouvernance de la sécurité de l’information et maîtriser les risques associés aux systèmes d’information.
La certification ISO 27001 repose sur le déploiement d'un Système de Management de la Sécurité de l'Information (SMSI) garantissant la confidentialité, l'intégrité et la disponibilité des données. En tant qu'organisme tiers indépendant, LSTI valide la conformité de votre démarche, transformant cette exigence de sécurité en un véritable facteur de confiance et un avantage concurrentiel pour vos services numériques, cloud ou de santé.
Découvrir
""
Certification ISO 27701

La certification ISO/IEC 27701 complète le Système de Management de la Sécurité de l’Information (SMSI) défini par ISO/IEC 27001, afin de structurer un Système de Management de la Protection de la Vie Privée (PIMS).

Elle permet aux organisations de démontrer leur capacité à gérer, protéger et gouverner les données à caractère personnel en conformité avec les exigences du RGPD et des réglementations internationales associées.

Cette certification concerne toutes les entités qui traitent des données à caractère personnel dans le cadre de leurs activités : entreprises privées, organismes publics, sous-traitants, opérateurs de services numériques, organismes de santé, institutions financières, opérateurs critiques, etc.

Découvrir
""
Certification ISO 22301

La certification ISO/IEC 22301 permet d’établir, maintenir et améliorer un Système de Management de la Continuité d’Activité (BCMS).

Elle garantit qu’une organisation est en mesure d’anticiper, gérer et surmonter des incidents majeurs (cyberattaque, panne critique, indisponibilité de prestataire, sinistre, crise organisationnelle) tout en assurant la continuité des activités essentielles.

Cette certification s’adresse aux organisations publiques ou privées soumises à des enjeux de disponibilité opérationnelle : opérateurs critiques, infrastructures numériques, établissements financiers, acteurs de santé, opérateurs de services essentiels, prestataires de services, administrations, etc.

Découvrir

Pourquoi choisir LSTI ?

Chiffre #1

Expertise reconnue

Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.
Chiffre #2

Auditeurs spécialisés

Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.
 
Chiffre #3

Tiers indépendant et accompagnement dédié

Habilité par l’ANSSI, LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.

Découvrez nos actualités