Dans le secteur de la santé, les données personnelles traitées sont parmi les plus sensibles. Qu’il s’agisse de résultats d’examens, de diagnostics, d’antécédents médicaux ou de traitements en cours, leur protection est une exigence légale renforcée. C’est dans ce cadre que s’inscrit la certification HDS (Hébergeur de Données de Santé), un dispositif encadré par le droit français.
Mais à quel moment cette certification est-elle obligatoire ? Que recouvre-t-elle exactement ? Et en quoi est-elle complémentaire au RGPD ?
Contrairement à une idée reçue, la certification HDS n’est pas uniquement requise pour les hôpitaux ou les éditeurs de logiciels médicaux. Dès lors qu’un organisme – public ou privé – traite ou héberge des données de santé pour le compte d’un tiers, et qu’il cible des patients français, il doit être certifié HDS.
🔍 Exemples concrets :
Une start-up qui développe une application de télémédecine hébergeant les données de ses utilisateurs via un prestataire externe.
Un éditeur de logiciel de gestion de cabinet médical qui sous-traite le stockage des dossiers patients à un cloud provider.
Une entreprise de data science qui analyse des données de santé collectées par un hôpital dans le cadre d’un partenariat.
➡️ Dans tous ces cas, la certification HDS est obligatoire, même si les serveurs sont situés en dehors du territoire français, dès lors que des patients français sont concernés.
La certification HDS n’est pas obligatoire pour un établissement de santé qui héberge et administre lui-même ses propres données dans un environnement interne.
Mais attention, si l’établissement externalise ne serait-ce qu’un élément de son SI santé (sauvegarde, infogérance, plateforme d’hébergement), le prestataire devra être certifié HDS.
👎 Exemples de cas non obligatoires :
Une clinique qui héberge ses propres serveurs dans une salle sécurisée en interne, sans sous-traitance.
Un centre de santé qui utilise uniquement un logiciel local pour la gestion des rendez-vous, sans hébergement cloud.
Pour les prestataires qui fournissent les locaux et l’infrastructure matérielle : data centers, serveurs, etc.
Pour les acteurs qui assurent :
L’infogérance de plateformes hébergeant des logiciels santé
L’administration et la sauvegarde externalisée des données
Le support à l’exploitation des systèmes
💡 Ces deux certifications peuvent être cumulées si le prestataire intervient à plusieurs niveaux de la chaîne.
Le processus de certification est encadré par le décret du 26 février 2018 et nécessite le recours à un organisme certificateur accrédité par le COFRAC (ou équivalent européen).
Audit documentaire : analyse du système de sécurité, procédures internes, conformité ISO 27001.
Audit sur site : inspection des installations, vérification des pratiques de sécurité et gestion des risques.
Correction des non-conformités sous 3 mois.
Obtention du certificat (valable 3 ans), avec un audit annuel de surveillance.
📌 L’arrêté du 26 avril 2024 vient renforcer le référentiel et élargir le cadre de la certification, en précisant notamment les exigences pour les prestataires européens souhaitant opérer en France.
Même si elle n’est pas toujours imposée, la certification HDS peut devenir un argument stratégique majeur, notamment pour :
Répondre à des appels d’offres dans le secteur public (où elle est souvent exigée).
Rassurer les patients, partenaires et autorités sur la sécurité des traitements de données.
Structurer les pratiques de cybersécurité dans un secteur particulièrement exposé aux menaces.
Il est essentiel de rappeler que la certification HDS n’équivaut pas à une conformité RGPD. Elle est complémentaire, mais ne dispense pas de respecter les principes fondamentaux du RGPD :
Licéité, loyauté, transparence
Minimisation des données
Durées de conservation proportionnées
Sécurité des traitements
Respect des droits des personnes
Une entreprise peut être certifiée HDS mais non conforme au RGPD, et inversement. Il est donc crucial d’adopter une approche globale.
Chez DPO Consulting, nous accompagnons les acteurs du secteur santé dans la construction d’une stratégie de conformité complète, intégrant à la fois les exigences du RGPD et celles de la certification HDS.
Nos expertises couvrent :
Audit des traitements et hébergements
Aide à la structuration d’un plan de certification HDS
Mise en place des procédures internes de conformité
Accompagnement à la préparation des audits
Sensibilisation des équipes et gouvernance
La certification HDS n’est pas qu’un formalisme : c’est un véritable levier de confiance, indispensable dès lors que vous traitez ou hébergez des données de santé de patients français pour le compte de tiers.
Mais elle doit s’inscrire dans une stratégie de conformité globale, intégrant le RGPD, pour garantir la protection des droits des personnes et la sécurité juridique de votre organisation.
👉 Vous vous posez la question de la certification HDS ?
👉 Vous voulez structurer votre conformité RGPD dans le secteur santé ?
Parlez-en avec l’un de nos experts : Cliquez ici
Retrouvez l’article complet de l’ANS sur le sujet ici : Lire l’article