La Certification Hébergeur de Données de Santé (HDS) est le pilier réglementaire français garantissant la sécurité, la confidentialité et l’intégrité des données de santé à caractère personnel (DSCP). Avec la publication du référentiel HDS V2, le cadre se renforce, impliquant de nouvelles obligations pour les prestataires et des exigences claires pour les professionnels de santé.
I. Qu’est-ce que la Certification HDS et Pourquoi la V2 ?
La certification HDS, rendue obligatoire par le Code de la Santé Publique (Art. L. 1111-8), est un dispositif qui vise à encadrer l’activité des acteurs manipulant ou stockant des données de santé pour le compte de tiers.
A. Le Rôle de la Certification
Elle assure que les hébergeurs respectent un niveau de sécurité maximal, aligné sur des normes internationales comme l’ISO 27001, avec des exigences complémentaires spécifiques au secteur de la santé.
Les objectifs clés sont :
- Sécurité et Intégrité : Protéger les DSCP contre la cybermenace, la perte et l’altération.
- Confidentialité : Garantir que seul le personnel autorisé a accès aux informations médicales.
- Disponibilité : Assurer l’accès aux données vitales 24h/24 et 7j/7 pour la continuité des soins.
- Conformité : Respecter les exigences du RGPD et du droit français.
B. Les Enjeux de la Version 2 (V2)
Publiée en 2024, la version 2 du référentiel HDS marque un tournant en réponse à l’évolution des menaces cyber et du cadre européen.
- Renforcement de la Souveraineté : La V2 intègre des exigences visant à garantir une meilleure protection des données françaises, notamment face aux législations extraterritoriales.
- Alignement Technique : Elle intègre les évolutions de la norme de référence internationale ISO 27001:2022.
- Transparence Accrue : Elle exige une plus grande clarté sur la chaîne de sous-traitance des hébergeurs et sur les éventuels transferts de données hors de l’Espace Économique Européen (EEE).
II. Obligations et Enjeux pour les Établissements et Professionnels de Santé
Les professionnels et établissements de santé (médecins, cliniques, GHT, laboratoires) sont les responsables de traitement des données. Leur principale obligation est de s’assurer que leurs sous-traitants sont certifiés.
A. Choisir un Partenaire Certifié : L’Obligation de Vigilance
L’obligation HDS ne concerne pas l’établissement qui héberge et administre lui-même ses propres données en interne. En revanche, elle est obligatoire dès qu’une entité externalise la gestion, le stockage ou l’exploitation de ses DSCP à un prestataire tiers.
| Activité Externalisée | Conséquence |
| Dossier Patient Informatisé (DPI) en SaaS | L’éditeur de logiciel et son hébergeur doivent être certifiés HDS. |
| Sauvegarde Externalisée des données médicales | Le prestataire de sauvegarde doit être certifié HDS. |
| Infogérance du Système d’Information de Santé | L’infogéreur (activité 5 – administration/exploitation) doit être certifié HDS. |
| Télétransmission et Plateformes de Télémédecine | Les fournisseurs de la plateforme et de l’infrastructure doivent être certifiés HDS. |
- Contrôle Contractuel : L’établissement doit exiger, et vérifier, l’existence d’un certificat HDS valide pour le périmètre d’activité sous-traité. Ce certificat doit être mentionné explicitement dans le contrat d’hébergement.
B. Maintenir la Conformité en Interne
Même en utilisant un HDS certifié, l’établissement de santé conserve une partie des responsabilités liées au RGPD et à la sécurité.
- Maîtrise des Accès : L’établissement doit gérer les habilitations de ses propres utilisateurs. Seuls les professionnels ayant besoin des données pour les soins ou l’administration doivent y avoir accès (principe du moindre privilège).
- Sécurité du Poste de Travail : Les professionnels de santé sont responsables de la sécurité des accès depuis leur poste (mots de passe, antivirus, verrouillage de session).
- Transparence envers les Patients : L’établissement doit informer les patients de la manière dont leurs données sont hébergées et sécurisées, y compris le recours à un prestataire certifié HDS.
III. Obligations et Enjeux pour les Hébergeurs IT
La V2 impose des obligations particulièrement lourdes aux prestataires cloud, aux éditeurs SaaS et aux infogéreurs souhaitant obtenir et maintenir la certification HDS.
A. Les Périmètres de Certification HDS
La certification HDS V2 est délivrée pour une durée de trois ans et couvre deux types d’activités, souvent cumulées :
- Hébergeur d’infrastructure physique : Concerne la mise à disposition de locaux physiques et d’infrastructures matérielles (data centers, serveurs).
- Hébergeur Infogéreur : Concerne la gestion de l’infrastructure virtuelle, la mise à disposition de plateformes logicielles, l’administration, l’exploitation et la sauvegarde externalisée des DSCP.
B. Les Exigences Renforcées de la V2
- Souveraineté et Localisation : Les hébergeurs sont soumis à de nouvelles exigences pour garantir que les données restent protégées, idéalement au sein de l’EEE, et pour maintenir une transparence totale sur la localisation des données et les lois applicables.
- Intégration ISO 27001:2022 : Les hébergeurs doivent intégrer les exigences mises à jour de cette norme de management de la sécurité de l’information, ce qui implique une revue de leurs systèmes et processus.
- Contrôle des Sous-traitants : Les hébergeurs doivent non seulement garantir la certification de leurs propres sous-traitants, mais également auditer et contrôler leur chaîne de sous-traitance pour s’assurer du maintien des exigences de sécurité.
La transition vers la V2 est obligatoire : tous les certificats HDS devront être mis à jour sur la base du nouveau référentiel d’ici le 16 mai 2026.
La certification HDS V2 est donc plus qu’une simple mise à jour : c’est un engagement fort pour l’établissement d’un environnement de confiance autour de l’e-santé. Pour les professionnels, cela se traduit par une obligation de vigilance contractuelle, et pour les hébergeurs, par un renforcement des exigences de sécurité et de souveraineté.
Absolument. Voici un tableau récapitulatif des dates clés de la transition vers le référentiel de certification HDS V2, qui est entré en vigueur en 2024.
Ce calendrier est essentiel pour les hébergeurs déjà certifiés et pour les organismes de certification.
L’Agence du Numérique en Santé a mis en place un referential de la procedure de certification consultable sur le site.
Le référentiel de certification des hébergeurs
L’évaluation des hébergeurs candidats résulte d’un audit en deux phases par l’organisme certificateur selon les modalités prévues dans les normes de certification. L’audit vérifie le respect de la norme : NF ISO 27001 « système de gestion de la sécurité des systèmes d’information ».L’audit inclus également quelques exigences spécifiques à l’hébergement de données de santé.Le référentiel d’accréditation pour les organismes souhaitant délivrer une certification
Les organismes délivrant la certification aux hébergeurs sont accrédités par le COFRAC - comité français d’accréditation - ou tout organisme équivalent au niveau européen.Le référentiel d’accréditation s’appuie sur les bonnes pratiques en vigueur pour l’audit et la certification de systèmes de management de la sécurité de l’information et la norme ISO 17021 « Certification de systèmes de management ». Dates Clés de la Transition vers la Certification HDS V2
| Événement | Date | Implication |
| Publication au Journal Officiel du référentiel HDS V2 | 16 mai 2024 | Publication officielle du nouveau référentiel et du référentiel d’accréditation des organismes de certification. |
| Entrée en Vigueur Obligatoire (Début) | 16 novembre 2024 | À partir de cette date, tous les audits initiaux et de renouvellement pour l’obtention de la certification HDS doivent être réalisés selon les exigences de la version V2. |
| Période de Transition pour les Hébergeurs | 24 mois (jusqu’au 16 mai 2026) | C’est la période accordée aux hébergeurs déjà certifiés HDS V1 pour se mettre en conformité avec toutes les nouvelles exigences de la V2. |
| Date Limite de Conformité HDS V2 | 16 mai 2026 | Tous les certificats HDS actifs devront, à cette date, être établis selon le référentiel HDS V2. Un certificat HDS V1 non mis à jour à cette date sera considéré comme caduc. |
Point d’Attention :
Même si les hébergeurs ont jusqu’au 16 mai 2026 pour basculer leur certificat actif vers la V2, tout responsable de traitement (établissement de santé, professionnel) qui contracte un nouvel hébergeur ou qui renouvelle son contrat d’hébergement doit s’assurer que l’audit est réalisé sur la V2 à partir du 16 novembre 2024.
Avez-vous besoin d’une clarification sur l’une de ces dates ou des impacts spécifiques de la V2 sur les activités d’infogérance (activité 5) ?Souhaitez-vous que je vous fournisse un tableau récapitulatif des dates clés de la transition vers la certification HDS V2 ?
Pingback: L’IA au sein de l’hôpital du futur : Vers une plus performante - Le Blog Dijeet