Qu'est-ce que la qualification HDS : hébergement de données de santé
Tout savoir sur la qualification HDS : cadre légal, étapes de certification, référentiel v2 et souveraineté européenne. Mettez votre organisation en conformité avant 2026.
La certification HDS, fondée à 80 % sur l'ISO 27001, est le cadre obligatoire pour tout hébergeur de données de santé en France. Le référentiel v2, en vigueur depuis fin 2024, impose une localisation des données exclusivement dans l'Espace Économique Européen et une transparence accrue sur les accès extra-européens. La transition est fixée au 16 mai 2026 : tous les certificats actifs devront respecter ces nouvelles exigences.
Le référentiel HDS v2 impose désormais une localisation des données exclusivement au sein de l'Espace Économique Européen pour garantir une souveraineté numérique totale. Pourtant, de nombreux prestataires peinent encore à aligner leur infrastructure technique sur ces nouvelles exigences de transparence et de sécurité. Obtenir la qualification HDS devient un défi stratégique majeur face au durcissement des contrôles et à l'échéance réglementaire de 2026. Cet article détaille les étapes clés pour structurer votre mise en conformité et sécuriser durablement vos actifs de santé, en analysant les piliers du nouveau référentiel pour transformer cette contrainte légale en levier de confiance opérationnelle.
Sommaire
Qualification HDS : cadre légal et périmètre d'application
La certification HDS, régie par le Code de la santé publique, impose 6 activités de sécurité obligatoires pour héberger des données de santé. Basée à 80 % sur l'ISO 27001, elle exige une souveraineté européenne stricte via le référentiel v2, protégeant les données sensibles contre les accès extra-européens. Le passage d'un agrément vers cette certification rigoureuse change la donne pour les acteurs traitant des informations médicales. Voici comment identifier si votre organisation relève de cette réglementation.
Critères d'obligation : votre organisation est-elle concernée ?
Le Code de la santé publique impose cette obligation à toute entité manipulant des données médicales personnelles, qu'il s'agisse d'hébergeurs directs ou de sous-traitants au sens strict du RGPD. Toute manipulation, stockage ou exploitation de données de santé déclenche cette obligation : c'est un cadre impératif pour les prestataires de services numériques. Vous pouvez consulter le texte officiel du cadre réglementaire HDS pour valider votre conformité légale.
Distinction technique entre hébergeur physique et infogéreur
Il existe deux certificats distincts selon votre rôle dans la chaîne de valeur. L'hébergeur d'infrastructure physique gère les locaux et le matériel brut, tandis que l'infogéreur pilote la couche logicielle et virtuelle. Les prestataires complets doivent souvent valider plusieurs activités pour couvrir l'ensemble de leurs services techniques. Le référentiel distingue six domaines certifiables :
- Sites physiques
- Infrastructure matérielle
- Infrastructure virtuelle
- Plateforme applicative
- Administration et exploitation
- Sauvegarde
3 étapes pour structurer votre démarche de certification
Après avoir défini votre périmètre, il faut bâtir le système de management de la sécurité nécessaire à l'obtention de la certification. La démarche s'articule autour de trois phases distinctes : l'alignement sur l'ISO 27001, l'audit documentaire et technique, puis la surveillance annuelle.
Alignement ISO 27001 : le socle de sécurité impératif
L'ISO 27001 constitue 80 % du référentiel HDS : mettre en place un SMSI robuste est donc la priorité absolue. Ce socle assure la confidentialité et l'intégrité des données, et la PSSI doit être adaptée aux risques spécifiques du secteur de la santé en intégrant les exigences de protection du RGPD. La mise en place d'une gouvernance en cybersécurité robuste est indispensable pour structurer votre projet.
Audit documentaire et technique : les points de contrôle
L'audit se déroule en deux phases : l'examen documentaire vérifie vos procédures, puis l'audit technique contrôle leur application réelle sur site. L'auditeur identifie les vulnérabilités et les écarts de conformité ; une analyse de risques préalable permet d'éviter les mauvaises surprises. Préparez vos preuves de conformité avec soin, l'objectif étant de valider la maturité de votre infrastructure.
L'audit HDS n'est pas une simple formalité administrative : c'est une validation technique rigoureuse de votre capacité à protéger des données médicales sensibles.
Surveillance annuelle : maintenir la conformité dans le temps
Le certificat est valable trois ans, mais un audit de suivi annuel est obligatoire pour garantir que le niveau de sécurité ne s'érode pas. Pilotez l'amélioration continue de votre maturité cyber et anticipez les évolutions techniques pour rester conforme durablement. Un accompagnement cybersécurité dédié sécurise votre maintien en condition opérationnelle.
Comment anticiper les exigences de souveraineté du référentiel v2 ?
La conformité n'est jamais figée : l'arrivée du référentiel HDS v2 en 2024 durcit les règles, notamment sur la souveraineté des données. Deux axes structurent cette nouvelle version : un calendrier de transition strict et des exigences renforcées sur la localisation géographique des données.
Calendrier 2026 : les dates clés de la mise en conformité
La version 2.0 est entrée en vigueur fin 2024 et s'aligne sur l'ISO 27001:2022 ; les nouveaux certificats doivent déjà respecter ce cadre. La transition s'achève le 16 mai 2026 : à cette échéance, tous les certificats actifs devront être mis à jour. Anticipez vos audits pour éviter toute rupture de conformité. Consultez le référentiel HDS 2.0 complet pour vous informer dès maintenant.
Protection des données : l'hébergement au sein de l'EEE
Le stockage doit désormais se faire dans l'Espace Économique Européen : cette localisation géographique stricte vise à protéger efficacement les citoyens européens. La transparence sur les accès extra-européens devient obligatoire, et les risques liés aux lois extraterritoriales étrangères font l'objet d'une surveillance accrue. Garantissez une souveraineté numérique totale sur vos données de santé.
| Exigence | Description | Impact |
|---|---|---|
| Localisation EEE | Stockage physique en Europe | Garantie géographique |
| Transparence | Déclaration des accès techniques hors UE | Audit des flux de données |
| Lois étrangères | Surveillance des risques extraterritoriaux | Protection juridique renforcée |
| Publicité des accès | Cartographie des transferts hors EEE publiée | Devoir de conseil et d'information |
Pour sécuriser votre qualification HDS, le Micro-SOC d'Opsky surveille vos environnements et vous permet de piloter votre conformité réglementaire sans subir les contraintes opérationnelles.
Pilotage opérationnel : le Micro-SOC au service de la détection
Au-delà de la conformité théorique, la sécurité réelle des données de santé repose sur une capacité de détection et de réaction immédiate. Le Micro-SOC complète la certification en assurant une surveillance continue des infrastructures, là où l'audit ne peut intervenir qu'à intervalles réguliers.
Supervision continue : répondre aux besoins de réaction HDS
Le Micro-SOC d'Opsky assure une supervision pragmatique de vos infrastructures et détecte les comportements anormaux sur vos systèmes, ce qui en fait un levier essentiel pour la qualification HDS. Une expertise humaine qualifie chaque alerte de sécurité, évitant la surcharge d'informations inutiles et garantissant la traçabilité des accès aux données. Retrouvez notre solution de Micro-SOC pour PME et ETI, un dispositif industriel adapté aux exigences de l'hébergement de données sensibles.
Gestion des risques : transformer l'audit en plan d'action
Transformer vos non-conformités en un plan d'action pragmatique est plus efficace que de simplement cocher des cases. Priorisez les remédiations selon le risque métier réel et sécurisez votre chaîne de sous-traitance grâce à une gouvernance pilotée. Un RSSI externalisé peut orchestrer cette démarche complexe pour une protection durable et efficace. Consultez nos conseils sur la cybersécurité appliquée au secteur de la santé pour maîtriser votre conformité.
La qualification HDS v2 sanctuarise la sécurité des données de santé via l'ISO 27001 et une souveraineté européenne stricte. Auditez vos processus dès maintenant pour garantir votre conformité avant l'échéance du 16 mai 2026 et transformez cette exigence réglementaire en avantage concurrentiel.
FAQ
Qui est soumis à l'obligation de certification HDS ?
Selon le Code de la santé publique, toute personne physique ou morale hébergeant des données de santé à caractère personnel pour le compte de tiers doit être certifiée HDS. Cette obligation s'applique dès lors que vous manipulez des données collectées lors d'activités de prévention, de diagnostic ou de soins. Les sous-traitants au sens du RGPD, ainsi que les prestataires réalisant des sauvegardes ou exploitant des systèmes d'information de santé, sont directement concernés. Seuls les établissements de santé hébergeant leurs propres données en sont exemptés.
Quelles sont les activités couvertes par le référentiel HDS ?
Le référentiel distingue six activités certifiables, réparties en deux catégories : l'hébergement d'infrastructure physique et l'infogérance. Les activités couvrent la gestion des sites physiques, de l'infrastructure matérielle, de l'infrastructure virtuelle et la mise à disposition de plateformes applicatives. L'administration et l'exploitation des systèmes d'information, ainsi que la sauvegarde externalisée, complètent ce périmètre. Selon votre positionnement technique, vous devez valider tout ou partie de ces domaines pour garantir une conformité totale.
Quelle est la durée de validité d'un certificat HDS ?
Le certificat HDS est délivré pour une période de trois ans par un organisme accrédité par le COFRAC. Pour maintenir cette qualification, un audit de surveillance annuel est obligatoire afin de vérifier la pérennité de votre système de management de la sécurité. Cette surveillance garantit que votre niveau de protection ne s'érode pas face aux nouvelles menaces et permet d'anticiper les évolutions techniques et réglementaires avant le renouvellement triennal de votre certification.
Quels sont les changements majeurs introduits par le référentiel v2 ?
La version 2.0, entrée en vigueur fin 2024, s'aligne sur la norme ISO 27001:2022 et durcit les exigences de souveraineté. Elle impose la localisation physique du stockage des données au sein de l'Espace Économique Européen (EEE). Le nouveau référentiel exige également une transparence accrue sur les accès extra-européens et les risques liés aux lois extraterritoriales étrangères. Vous devez désormais publier une cartographie des transferts de données hors EEE sur votre site internet.
Quel est le calendrier de transition pour la mise en conformité v2 ?
Les audits selon le nouveau référentiel sont obligatoires dès le 16 novembre 2024 pour tout nouveau candidat ou renouvellement. Une période de transition globale est fixée jusqu'au 16 mai 2026 pour l'ensemble des acteurs certifiés. À cette échéance, tous les certificats actifs devront impérativement respecter les exigences de la version 2.0. Anticipez cette mise à jour lors de vos prochains audits de surveillance pour éviter toute rupture de conformité.
Quelles sanctions sont prévues en cas de non-respect de la certification HDS ?
Le défaut de certification HDS expose les organisations à des risques juridiques majeurs. Les sanctions pénales peuvent atteindre trois ans d'emprisonnement et des amendes substantielles pour les dirigeants et les personnes morales. Des amendes administratives liées au RGPD peuvent également être prononcées par les autorités de protection des données. La mise en conformité constitue donc un impératif de gestion des risques autant qu'une obligation légale.