HDS

01 — DéfinitionQu'est-ce qu'une certification HDS ?

Source officielle : page HDS (ANS).

HDS (Hébergeur de Données de Santé) est une certification obligatoire en France pour toute personne morale qui héberge des données de santé à caractère personnel pour le compte d'un tiers. Elle est imposée par l'article L.1111-8 du Code de la santé publique et son décret d'application.

L'obligation est ancienne — elle existe depuis 2002 — mais a profondément évolué. Initialement, il s'agissait d'un agrément ministériel délivré directement par le ministère de la Santé. Depuis le 1er avril 2018, l'agrément a été remplacé par une certification délivrée par des organismes certificateurs accrédités par le COFRAC, sous le contrôle de l'Agence du Numérique en Santé (ANS, anciennement ASIP Santé). Transition majeure qui a aligné HDS sur les pratiques internationales de certification.

L'objectif : garantir que tout tiers hébergeant des données de santé en France applique un niveau de sécurité élevé et respecte des obligations spécifiques de confidentialité, traçabilité, disponibilité et contrôle.

HDS s'inscrit dans un cadre réglementaire plus large qui inclut le RGPD, le secret médical (article L.1110-4 du Code de la santé publique), la PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé, encadrement par l'ANS) et les référentiels sectoriels sur l'interopérabilité.

HDS est parfois présenté à tort comme un simple « ISO 27001 santé ». En réalité, il s'appuie sur ISO 27001 mais y ajoute des exigences spécifiques au contexte santé — conservation des données après résiliation, procédures en cas de décès d'un professionnel de santé, obligations d'information des personnes, règles de destruction — qui en font un référentiel distinct et contraignant.

02 — PérimètreQui est concerné et pour quelles données

Les acteurs concernés

La certification HDS est obligatoire pour toute personne morale qui héberge des données de santé à caractère personnel pour le compte d'un tiers. Catégories typiques :

• Hébergeurs cloud et datacenters : offres IaaS, PaaS dédiées au secteur santé.
• Éditeurs de logiciels SaaS santé : dossiers patients, télémédecine, logiciels d'imagerie, prise de rendez-vous, logiciels médicaux en ligne.
• Prestataires de sauvegarde et d'archivage contenant des données de santé.
• Opérateurs de téléphonie et communications hébergeant des messageries santé sécurisées.
• Plateformes de recherche clinique et d'essais cliniques.
• Opérateurs de la plateforme des données de santé (Health Data Hub).

Qui n'est pas concerné

• Professionnels de santé pour leurs propres usages internes : un médecin, un hôpital, une clinique qui hébergent leurs dossiers sur leurs propres serveurs ne sont pas hébergeurs au sens HDS.
• Éditeurs de logiciels on-premise : s'ils fournissent un logiciel installé et opéré par le client, ils ne sont pas hébergeurs. Ils le deviennent s'ils passent à un modèle SaaS.
• Personnes physiques : HDS concerne les personnes morales.

Les 6 activités certifiables

Le référentiel HDS distingue 6 activités pour lesquelles la certification peut être demandée, séparément ou cumulativement :

1. Activité 1 — Mise à disposition et maintien en condition opérationnelle des sites physiques : datacenters hébergeant les infrastructures de santé.
2. Activité 2 — Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle : serveurs, stockage, réseau.
3. Activité 3 — Mise à disposition et maintien en condition opérationnelle de la plateforme logicielle d'hébergement : hyperviseurs, PaaS, containers.
4. Activité 4 — Administration et exploitation du système d'information : opérations, surveillance.
5. Activité 5 — Sauvegarde externalisée des données : services de backup dédiés.
6. Activité 6 — Mise à disposition et maintien en condition opérationnelle d'une application logicielle contenant des données de santé (SaaS).

Un hébergeur d'infrastructure (IaaS) demandera typiquement les activités 1 à 4 ou 5. Un éditeur SaaS demandera typiquement l'activité 6, en s'appuyant sur un sous-traitant certifié pour les activités 1 à 5. Cette modularité permet une spécialisation des acteurs.

Définition des données de santé

La notion de données de santé au sens HDS suit la définition du RGPD (article 4) étendue par le Code de la santé publique :

• Données relatives à l'état de santé physique ou mentale, passé, présent ou futur.
• Données révélant des informations sur l'état de santé (diagnostic, traitement, résultats d'examens).
• Données génétiques et biométriques à des fins d'identification.
• Données relatives à la prise en charge thérapeutique.
• Données de prestation de soins (factures, ordonnances, examens).

Ne sont pas considérées comme données de santé : les données d'identification d'un patient (nom, prénom, adresse) sans contexte médical, les données administratives pures (facturation sans diagnostic), les données anonymisées (anonymisation au sens strict).

Conséquences pour le non-certifié

Un hébergeur qui héberge des données de santé sans certification HDS commet une infraction pénale (article L.1115-1 du Code de la santé publique) : jusqu'à 3 ans de prison et 45 000 € d'amende, avec aggravation pour récidive. Au-delà des sanctions pénales : résiliation des contrats clients (qui seraient eux-mêmes en infraction), impossibilité contractuelle de certifier la chaîne, sanctions RGPD cumulatives via la CNIL.

03 — HistoriqueÉvolution du cadre HDS

2002 — Création de l'agrément

Loi du 4 mars 2002 relative aux droits des malades. Création de l'obligation d'agrément pour les hébergeurs de données de santé, en réaction aux premiers projets d'hébergement externe de dossiers médicaux.

2006 — Premier décret d'application

Décret du 4 janvier 2006 précisant les conditions de l'agrément. Procédure lourde, instruction par le ministère de la Santé, validité limitée.

2010-2017 — Période de l'agrément

Quelques dizaines d'hébergeurs agréés. Procédure jugée excessivement lourde et peu adaptée à l'essor du cloud. Premiers débats sur la modernisation.

1er avril 2018 — Passage à la certification

Décret du 26 février 2018 remplaçant l'agrément par une certification délivrée par des organismes accrédités COFRAC, sous le contrôle de l'ASIP Santé (devenue ANS en 2019). Alignement sur les pratiques internationales. Période transitoire jusqu'en 2020 pour les acteurs détenant l'ancien agrément.

2018-2023 — Expansion du marché

Multiplication des certifications : hyperscalers américains (AWS, Azure, GCP), acteurs français (OVHcloud, Outscale, Scaleway, Cegedim, Equinix, Maincare), éditeurs SaaS santé. La certification devient quasi-obligatoire pour tout acteur sérieux du numérique en santé.

2022-2023 — Débats sur la souveraineté

Controverse autour du choix de Microsoft Azure pour héberger le Health Data Hub (plateforme française des données de santé). Alertes de la CNIL, du Conseil d'État, de la communauté sur l'exposition au CLOUD Act malgré la certification HDS d'Azure. Le gouvernement a engagé une migration progressive vers un hébergeur français, toujours en cours en 2026.

Février 2024 — Nouveau référentiel HDS

Publication d'une nouvelle version du référentiel HDS par l'ANS, renforçant plusieurs exigences et introduisant des clarifications. Transition progressive pour les hébergeurs certifiés. Principales évolutions :

• Alignement avec ISO 27001 version 2022.
• Renforcement des exigences d'authentification et chiffrement.
• Clarifications sur la sous-traitance et la localisation.
• Intégration des enjeux post-quantique à moyen terme.

2025-2026 — Articulation avec SecNumCloud

Tendance à exiger HDS + SecNumCloud pour les données de santé considérées comme stratégiques. Le Health Data Hub et certains projets publics basculent progressivement vers des offres combinant les deux certifications. Débat persistant sur le niveau de souveraineté exigible par défaut pour toute donnée de santé.

04 — RéférentielStructure des exigences HDS

Fondation ISO 27001

Le référentiel HDS s'appuie sur ISO 27001 comme socle : les exigences fondamentales d'un Système de Management de la Sécurité de l'Information (SMSI) sont reprises. Un hébergeur candidat HDS doit donc, de facto, structurer son organisation selon ISO 27001.

En pratique, la plupart des hébergeurs candidats au HDS sont déjà certifiés ISO 27001 et parfois ISO 27017 (cloud) et ISO 27018 (données personnelles cloud). La certification HDS est alors un complément sectoriel.

Exigences spécifiques HDS au-delà d'ISO 27001

Conformité réglementaire santé

• Respect du secret médical (article L.1110-4 du CSP).
• Conformité à la PGSSI-S (Politique Générale de Sécurité des SI de Santé).
• Respect du RGPD article 9 (catégories particulières de données).
• Obligations d'information du patient et de son médecin.

Contractualisation renforcée

• Contrat écrit obligatoire entre hébergeur et client.
• Clauses minimales imposées par la loi : engagement de confidentialité, localisation des données, durées de conservation, conditions de restitution, procédures en cas de cessation.
• Information et consentement explicite du patient pour l'hébergement de ses données par un tiers.

Restitution et continuité

• Procédures garantissant la restitution des données au client à tout moment, dans un format exploitable.
• Garanties de disponibilité renforcées (SLA).
• Plan de reprise d'activité (PRA) documenté et testé.
• Procédures en cas de cessation d'activité : transfert vers un autre hébergeur certifié HDS ou restitution au client.

Traçabilité

• Journalisation exhaustive des accès aux données de santé.
• Conservation des logs pendant une durée minimum alignée sur les obligations santé.
• Possibilité d'audits par le client et par l'ANS.
• Procédures en cas d'incident de sécurité : notification au client dans des délais définis.

Personnel

• Accès aux données limité au strict nécessaire, avec habilitations individuelles.
• Formation spécifique du personnel aux enjeux santé et au secret médical.
• Signature d'engagements de confidentialité conformes aux exigences du secret médical.
• Personnel en charge de l'hébergement des données de santé sur le territoire national français (ou Espace économique européen selon l'activité).

Médecin coordonnateur

L'hébergeur doit désigner un médecin chargé de garantir le respect du secret médical. Ce médecin peut être interne ou prestataire externe. Rôle :

• Conseil sur les questions liées au secret médical.
• Supervision des procédures en cas de demandes d'accès aux données.
• Point de contact pour les professionnels de santé clients.
• Participation aux comités de sécurité.

Procédures en cas de décès d'un professionnel de santé

Exigences spécifiques pour assurer la continuité de l'accès aux données des patients en cas de décès ou de cessation d'activité d'un professionnel de santé client (médecin libéral utilisant un logiciel SaaS).

Structure documentaire

Un dossier HDS complet comprend typiquement :

• Politique de sécurité de l'hébergement.
• Analyse de risque EBIOS RM.
• Référentiel des contrôles mis en place.
• Procédures d'exploitation, d'incident, de restitution.
• Contrats types pour les clients.
• Tableaux de bord et indicateurs.
• Plans d'audit et de test.
• Registre des traitements et registre de sous-traitance.

05 — CertifiésLes hébergeurs HDS en France

La liste officielle

L'ANS publie sur esante.gouv.fr la liste officielle des hébergeurs certifiés HDS, avec le périmètre exact de leur certification (activités 1 à 6 couvertes, datacenters, services). Cette liste est la seule référence — les affirmations marketing doivent toujours être vérifiées contre cette liste.

Hyperscalers américains certifiés

• Amazon Web Services (AWS) : certifié HDS pour plusieurs régions européennes (Paris, Francfort, Irlande). Services HDS documentés dans le AWS Artifact.
• Microsoft Azure : certifié HDS via Microsoft France. Utilisé notamment par le Health Data Hub.
• Google Cloud Platform : certifié HDS, plus récemment.
• Oracle Cloud : également certifié HDS sur son offre cloud européenne.

Acteurs français et européens certifiés infrastructure

• OVHcloud : certifié HDS de longue date, référence nationale.
• Outscale (Dassault Systèmes) : certifié HDS et SecNumCloud — double certification.
• Scaleway (Iliad) : certifié HDS, combiné avec SecNumCloud sur certaines offres.
• Cegedim Cloud : acteur historique santé français.
• NumSpot : consortium français récent, certifié HDS.
• Equinix : datacenters certifiés pour leurs services de colocation santé.
• Worldline : offres santé spécifiques.
• Claranet, Ikoula : hébergeurs français de taille moyenne.

Éditeurs SaaS santé certifiés (activité 6)

Beaucoup d'éditeurs sont certifiés HDS pour leurs offres SaaS :

• Doctolib : prise de rendez-vous médicaux, téléconsultation.
• Maincare Solutions : logiciels hospitaliers.
• Softway Medical : solutions hospitalières.
• Compugroup Medical (CGM) : logiciels de santé.
• Qare, Livi, Libheros : téléconsultation et services à domicile.
• Lifen : messagerie sécurisée santé.
• Et des dizaines d'autres acteurs spécialisés.

Attention au périmètre exact

Important : un hébergeur certifié HDS ne signifie pas que tous ses services sont couverts par la certification. Chaque attestation précise :

• Les activités certifiées (1 à 6).
• Les datacenters ou régions géographiques concernés.
• Les services spécifiques inclus.
• Les sous-traitants intervenant dans la chaîne.

Utiliser un service « hors périmètre HDS » d'un hébergeur par ailleurs certifié peut constituer une non-conformité. Vérification systématique recommandée avant tout déploiement.

06 — DémarcheObtenir la certification HDS

07 — ArticulationsHDS face aux autres cadres

HDS et RGPD

Les deux s'appliquent cumulativement. Les données de santé sont des données personnelles particulières au sens de l'article 9 du RGPD. La certification HDS documente une partie des mesures techniques et organisationnelles exigées par le RGPD (article 32). En cas d'incident, notification à la CNIL sous 72h (RGPD) et à l'ANS / ANSSI / clients selon les obligations HDS et contractuelles.

HDS et SecNumCloud

Deux certifications distinctes mais complémentaires. HDS est sectorielle sans exigence de souveraineté forte. SecNumCloud est horizontale avec souveraineté vis-à-vis des lois extraterritoriales. Pour les données de santé les plus sensibles, la combinaison HDS + SecNumCloud est recommandée. La doctrine cloud de l'État pousse dans cette direction, sans l'imposer universellement.

HDS et ISO 27001

ISO 27001 est la fondation technique de HDS. Un hébergeur HDS est structurellement ISO 27001. L'inverse n'est pas vrai — ISO 27001 ne couvre pas les exigences sectorielles santé.

HDS et NIS2

NIS2 s'applique aux hôpitaux et à certains acteurs du numérique en santé comme « entités essentielles ». HDS ne remplace pas NIS2 mais facilite la conformité en apportant un socle technique élevé. Les obligations de notification d'incidents et de gestion des fournisseurs NIS2 s'ajoutent aux obligations HDS.

HDS et DORA

DORA ne concerne pas directement le secteur santé mais certains acteurs hybrides santé-finance (mutuelles, prévoyance) peuvent être concernés par les deux régimes.

HDS et PGSSI-S

La PGSSI-S (Politique Générale de Sécurité des SI de Santé) est le cadre de référence édité par l'ANS pour la sécurité des SI de santé. Elle publie des guides sectoriels (établissements de santé, cabinets libéraux, laboratoires, etc.) qui s'articulent avec HDS. Un hébergeur HDS doit respecter les exigences PGSSI-S applicables à son activité.

HDS et CNIL

La CNIL reste compétente pour les données de santé en tant que données personnelles. Contrôles, sanctions, analyses d'impact (AIPD) s'appliquent. Un grand hébergeur santé a typiquement un DPO spécialisé qui coordonne avec l'ANS et la CNIL.

HDS et CRA

Le Cyber Resilience Act européen s'applique aux produits numériques avec éléments numériques. Les logiciels médicaux intégrés dans des produits sont généralement couverts par le Règlement MDR (dispositifs médicaux) qui prime, mais certains produits connexes peuvent relever du CRA. Articulation complexe en cours de clarification.

HDS et dispositifs médicaux (MDR)

Le Règlement (UE) 2017/745 (MDR) encadre les dispositifs médicaux, dont les logiciels qualifiés de dispositifs médicaux. MDR impose ses propres exigences de cybersécurité (analyse de risque, surveillance post-marché, documentation). HDS et MDR peuvent s'appliquer ensemble sur un même projet — un éditeur de logiciel DM SaaS doit combiner les deux régimes.

08 — FAQQuestions fréquentes

Un hôpital qui opère son propre SI doit-il être certifié HDS ?

Non. HDS s'applique aux hébergeurs tiers qui hébergent pour le compte d'autres acteurs. Un hôpital qui gère ses propres données de santé sur ses propres systèmes n'est pas hébergeur au sens HDS. En revanche : dès qu'il délègue l'hébergement à un prestataire externe (cloud, SaaS, datacenter), ce prestataire doit être certifié HDS. Les hôpitaux ont d'autres obligations : PGSSI-S, NIS2, certifications HAS, bonnes pratiques ANS, politique interne de sécurité.

Un logiciel médical open source peut-il être HDS ?

Le logiciel open source en lui-même n'est pas certifié (HDS certifie des personnes morales, pas des logiciels). En revanche, un hébergeur qui opère un logiciel open source pour héberger des données de santé peut être certifié HDS — c'est le service qui est certifié, pas le code. Des projets comme GNU Health ou certains projets hospitaliers publics sont déployés chez des hébergeurs HDS.

Quelle différence avec l'ISO 27799 ?

ISO 27799 est une norme internationale de gestion de la sécurité de l'information dans le secteur santé. Non certifiable, elle fournit des recommandations applicables à la santé. HDS est la traduction française contraignante pour les hébergeurs. Une organisation peut s'appuyer sur ISO 27799 pour structurer ses pratiques, mais seul HDS est légalement requis pour héberger en France.

Comment migrer d'un hébergeur non HDS vers HDS ?

Plusieurs étapes. (1) Identifier les données de santé actuellement hébergées hors HDS (situation d'infraction existante). (2) Choisir un hébergeur HDS adapté (vérifier le périmètre). (3) Planifier la migration technique (export, import, intégrité). (4) Informer les patients et professionnels concernés conformément aux obligations. (5) Contractualiser selon les clauses HDS. (6) Effectuer la migration en minimisant l'interruption de service. (7) Détruire les données de l'ancien hébergement de manière sécurisée et documentée. En pratique, le projet dure plusieurs mois selon la taille.

Un consultant hors UE peut-il accéder aux données HDS ?

Avec précautions. Les accès à distance par du personnel hors UE sont encadrés : ils doivent être techniquement impossibles ou juridiquement protégés (clauses contractuelles, décisions d'adéquation, exigences de localisation). HDS recommande la localisation du personnel d'administration en France ou EEE. Les transferts de données hors UE doivent respecter le RGPD (chapitre V) et les implications du CLOUD Act en cas de contrôle par une entité américaine. Les hébergeurs HDS sérieux imposent des contrôles stricts sur l'origine géographique des accès administrateurs.