Certification HDS : héberger des données de santé

La certification HDS (Hébergeur de Données de Santé) est obligatoire en France pour héberger des données de santé à caractère personnel. Elle garantit qu'un hébergeur applique un niveau de sécurité et de traçabilité adapté à la sensibilité de ces données. Cette page explique quand elle s'impose, ses périmètres, son lien étroit avec ISO/IEC 27001, et comment SOCLE complète la démarche côté application. Public visé : éditeurs de logiciels de santé, e-santé et leurs hébergeurs.

En bref

La certification HDS (Hébergeur de Données de Santé) est obligatoire en France pour héberger des données de santé à caractère personnel. Délivrée par un organisme accrédité Cofrac, elle s'appuie sur ISO 27001 et couvre l'infrastructure comme l'infogérance.

Ce que vous allez apprendre

• Savoir quand la certification HDS est obligatoire
• Distinguer les périmètres d'hébergement couverts
• Comprendre son adossement à ISO 27001
• Relier la sécurité des données aux exigences SOCLE

Qu'est-ce que la certification HDS

Depuis 2018, l'ancien agrément a laissé place à une certification délivrée par un organisme accrédité (sous accréditation COFRAC). Toute structure qui héberge des données de santé à caractère personnel pour le compte d'un tiers doit être certifiée HDS, en application du Code de la santé publique. L'objectif : assurer la confidentialité, l'intégrité, la disponibilité et la traçabilité de données particulièrement sensibles.

Une obligation, pas une option

Héberger des données de santé sans certification HDS expose à des sanctions et fait peser un risque juridique sur le responsable de traitement. La conformité RGPD ne suffit pas : la certification HDS est une exigence distincte et cumulative.

Les périmètres couverts

La certification distingue deux grands périmètres, qu'un hébergeur peut détenir séparément ou conjointement :

Infrastructure physique

Mise à disposition de locaux et de matériel : la couche physique (salles machines, serveurs, réseau, stockage).

Infogérance

Exploitation du système d'information : administration, sauvegarde et maintien en conditions de sécurité de l'infrastructure applicative.

Au moment de choisir un prestataire, vérifiez que son périmètre couvre réellement votre besoin (de la salle machine jusqu'à l'infogérance applicative).

Un référentiel adossé à ISO 27001

Le référentiel HDS ne part pas de zéro : il s'appuie sur ISO/IEC 27001 (management de la sécurité) et sur ISO 20000-1 (gestion des services), auxquels il ajoute des exigences propres au domaine de la santé. Un hébergeur déjà certifié 27001 part donc avec une base solide.

Pour les acteurs qui visent aussi la souveraineté, HDS se combine fréquemment avec la qualification SecNumCloud.

Comment se faire certifier HDS

La démarche ressemble à une certification ISO 27001 enrichie d'exigences propres à la santé. Elle se déroule en quatre temps.

1. Déterminer le périmètre : hébergeur d'infrastructure, infogérance, ou les deux selon votre rôle réel.

2. Mettre en conformité : aligner le système de management sur ISO 27001 et les exigences santé (sauvegarde, réversibilité, traçabilité des accès).

3. Audit de certification : un organisme accrédité Cofrac vérifie le dispositif, en revue documentaire puis sur site.

4. Maintien : audits de surveillance réguliers et renouvellement au terme de la validité.

Combien de temps et quel budget prévoir ?

Comptez plusieurs mois de préparation si vous partez sans base ISO 27001, nettement moins si le SMSI existe déjà. Le coût combine l'audit (proportionnel à la taille et au périmètre) et l'effort de mise en conformité interne. La certification est délivrée pour trois ans, avec des contrôles de surveillance intermédiaires à prévoir.

Les bénéfices concrets

• Droit d'héberger : sans HDS, impossible d'héberger légalement des données de santé pour le compte d'un tiers.
• Accès au marché santé : un prérequis contractuel pour travailler avec hôpitaux, éditeurs e-santé et laboratoires.
• Confiance : un gage vérifié face à des données parmi les plus sensibles.
• Base réutilisable : l'adossement à ISO 27001 sert aussi vos autres démarches de conformité.

Comment SOCLE vous aide

La certification HDS porte sur l'hébergeur ; votre application de santé et sa chaîne de production restent sous votre responsabilité. SOCLE y répond :

• Chiffrement des données : les exigences chiffrement et clés et le chiffrement au repos et en transit.
• Traçabilité : la journalisation et l'audit.
• Maîtrise des accès : l'IAM cloud et la gestion des secrets.
• Développement sûr : la famille Sécurité applicative.

L'hébergement certifié et une chaîne logicielle durcie forment, ensemble, la conformité réelle.

À retenir

• La certification HDS est obligatoire pour héberger des données de santé à caractère personnel en France.
• Elle couvre deux périmètres (infrastructure et infogérance) à vérifier selon votre besoin.
• Elle s'adosse à ISO/IEC 27001 et se cumule avec le RGPD.
• SOCLE complète la certification de l'hébergeur côté application et chaîne de production.

FAQ : questions fréquentes

La certification HDS est-elle obligatoire ?

Oui. Toute structure qui héberge des données de santé à caractère personnel pour le compte d'un tiers doit être certifiée HDS, en application du Code de la santé publique. La conformité RGPD ne suffit pas.

HDS et RGPD, est-ce la même chose ?

Non. Le RGPD encadre le traitement des données personnelles ; la certification HDS porte spécifiquement sur l'hébergement des données de santé. Les deux sont cumulatifs : il faut respecter le RGPD ET être certifié HDS.

Quel est le lien entre HDS et ISO 27001 ?

Le référentiel HDS s'appuie sur ISO/IEC 27001 (management de la sécurité) et ISO 20000-1 (gestion des services), auxquels il ajoute des exigences propres à la santé. Un hébergeur déjà certifié 27001 part avec une base solide.

Qui délivre la certification HDS ?

Un organisme certificateur accrédité par le Cofrac, indépendant de l'hébergeur. La liste des hébergeurs certifiés est publiée officiellement par l'Agence du Numérique en Santé sur esante.gouv.fr.

Le cloud public peut-il héberger des données de santé ?

Oui, à condition que l'offre utilisée soit certifiée HDS sur le périmètre concerné. Plusieurs fournisseurs proposent des offres HDS ; vérifiez la certification de l'offre précise, pas seulement du fournisseur.

Prochaines étapes

Le référentiel SOCLESécuriser votre application de santé ISO/IEC 27001La base de management du référentiel HDS ANSSI SecNumCloudLa souveraineté en complément Toutes les conformitésPanorama des normes et leur mapping SOCLE

Ressources officielles

• Certification HDS (Agence du Numérique en Santé), le référentiel et la liste des hébergeurs certifiés

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →