📖 Qu'est-ce que l'hébergement HDS ?
L'Hébergement de Données de Santé (HDS) est une certification française obligatoire pour tout organisme qui héberge des données de santé à caractère personnel pour le compte de tiers (établissements de santé, éditeurs de logiciels...).
2018
Certification obligatoire
3 ans
Durée de validité
ISO 27001
Base de la certification
Cadre légal
📜 Textes de référence
- • Article L.1111-8 du Code de la santé publique : obligation d'hébergement certifié
- • Décret n°2018-137 du 26 février 2018 : procédure de certification HDS
- • Arrêté du 11 juin 2018 : référentiel d'accréditation
- • En complément : RGPD pour la protection des données personnelles
⚠️ Sanctions en cas de non-conformité
L'hébergement de données de santé sans certification HDS est passible de 3 ans d'emprisonnement et 45 000€ d'amende (article L.1115-1 CSP).
Qui est concerné ?
✅ Soumis à certification HDS
- • Hébergeurs cloud (AWS, Azure, OVH...)
- • Éditeurs de logiciels de soins en SaaS
- • Prestataires d'infogérance santé
- • Plateformes de télémédecine
- • Tout tiers hébergeant des données de santé
⚡ Non soumis (mais vigilance)
- • L'EHPAD qui héberge ses propres données
- • Le professionnel de santé pour ses patients
- • Le patient pour ses propres données
- ⚠️ Mais dès qu'un tiers intervient → HDS obligatoire
Les 2 types de certification HDS
🏢 Hébergeur d'infrastructure physique
Fournit les locaux, l'infrastructure physique (serveurs, stockage, réseau). Responsable de la sécurité physique des datacenters.
Exemples : OVHcloud, Scaleway, Data4...
☁️ Hébergeur infogéreur
Gère l'infrastructure applicative, l'administration des systèmes, les sauvegardes, la sécurité logicielle. Peut être un éditeur SaaS.
Exemples : Claranet, Enovacom, éditeurs de logiciels de soins...
💡 En pratique : un éditeur de logiciel EHPAD en SaaS doit soit être certifié HDS lui-même, soit héberger ses données chez un hébergeur certifié HDS.
Exigences de la certification HDS
La certification HDS repose sur la norme ISO 27001 (sécurité de l'information) enrichie d'exigences spécifiques santé.
🔒 Sécurité physique
- • Contrôle d'accès biométrique aux datacenters
- • Vidéosurveillance 24/7
- • Protection incendie, inondation
- • Alimentation électrique redondante
💻 Sécurité logique
- • Chiffrement des données (au repos et en transit)
- • Gestion des accès et des identités
- • Pare-feu, détection d'intrusion
- • Mises à jour de sécurité
📋 Organisation
- • Politique de sécurité documentée
- • Gestion des incidents
- • Plan de continuité d'activité (PCA)
- • Plan de reprise d'activité (PRA)
🇫🇷 Localisation
- • Données hébergées dans l'UE
- • Pas de transfert hors UE sans garanties
- • Transparence sur la localisation
Comment vérifier la certification HDS ?
🔍 Étapes de vérification
- 1. Demander le certificat HDS à votre prestataire
- 2. Vérifier la date de validité (3 ans max)
- 3. Vérifier le périmètre (hébergeur infra ou infogéreur)
- 4. Consulter la liste officielle de l'ANS (Agence du Numérique en Santé)
🌐 Liste officielle des hébergeurs certifiés
L'ANS publie la liste des hébergeurs certifiés sur :
esante.gouv.fr/labels-certifications/hds
Impact pour les EHPAD
📋 Checklist pour les EHPAD
Vérifier que votre logiciel de soins est hébergé HDS
Demander le certificat HDS à vos éditeurs
Inclure l'exigence HDS dans vos appels d'offres
Vérifier les sous-traitants de vos prestataires
Documenter la conformité dans votre registre RGPD
📎 Articles liés
🔐 SoignantVoice : hébergement HDS certifié
Vos transmissions vocales sont hébergées chez un hébergeur certifié HDS. Données chiffrées, localisées en France. Conformité garantie.
🚀 Essai gratuit 1 mois