La certification HDS (Hébergeur de Données de Santé) encadre strictement la manière dont les données médicales sont hébergées, protégées et administrées. Obligatoire pour les entreprises manipulant des données de santé à caractère personnel, elle impose un niveau de sécurité élevé, audité et contrôlé selon les exigences de l’Agence du Numérique en Santé (ANS).
La certification HDS est un référentiel français destiné à protéger les données de santé.
Elle impose des exigences strictes en matière de sécurité, de gouvernance, de traçabilité, d’infrastructure et de continuité d’activité.
Elle concerne tous les acteurs qui :
stockent des données médicales,
administrent des applications manipulant ces données,
fournissent des environnements techniques liés aux SI de santé,
réalisent des traitements ou sauvegardes de données de santé.
Le référentiel distingue 6 rôles d’hébergeur :
Gestion d’infrastructure physique
Gestion d’infrastructure virtuelle
Hébergement d’applications
Administration et supervision du SI
Sauvegarde externalisée
Infogérance applicative et bases de données
Un prestataire peut être certifié pour un ou plusieurs de ces rôles, selon son périmètre d’activité.
Les données de santé sont parmi les informations les plus sensibles :
diagnostics, imageries, comptes rendus, dossiers patients, informations biométriques…
Elles doivent être protégées contre toute fuite, altération ou accès illégitime.
La certification est obligatoire pour :
éditeurs de logiciels santé (SaaS/On-Premise)
plateformes de téléconsultation ou télésurveillance
cabinets médicaux et paramédicaux
hôpitaux, cliniques, laboratoires
sociétés traitant des données pour un établissement de santé
prestataires techniques manipulant des données médicales
startups santé (DMP, IA médicale, dossiers patients, rendez-vous…)
Toute entreprise manipulant des données médicales identifiables doit utiliser un hébergeur certifié HDS.
La certification HDS impose des mesures de sécurité renforcées, auditées par des organismes accrédités.
Chiffrement systématique des données
Segmentation stricte des environnements
Journalisation complète (logs d’accès, actions, modifications)
Sauvegardes protégées, immuables ou hors ligne
Durcissement des systèmes et des accès
Supervision continue (SIEM, SOC)
Réplication dans plusieurs datacenters français
Disponibilité adaptée aux SI hospitaliers
Politique de sécurité documentée
Gestion formelle des habilitations
Analyse de risques régulière
Plans de continuité et de reprise d’activité
Processus d’escalade en cas d’incident
Processus de mise à jour et de patching contrôlé
Formation du personnel à la sécurité
Alignement total avec le RGPD
Respect des exigences ANS
Déclarations CNIL si nécessaires
Audit annuel de surveillance
Audit complet tous les 3 ans
La certification n’est pas un simple label : c’est un engagement opérationnel strict.
Un hébergeur certifié garantit :
une infrastructure maîtrisée,
un support spécialisé,
des procédures strictes de gestion des incidents,
une résilience adaptée aux environnements hospitaliers.
Pour votre solution, choisir un hébergeur certifié permet :
de répondre aux obligations légales,
de simplifier vos audits (ANS, CNIL, RGPD),
d’assurer une traçabilité fiable,
de sécuriser les contrats avec les établissements de santé.
Moins de risques :
de fuite de données,
de sanctions réglementaires,
de cyberattaque impactant les sauvegardes,
d’indisponibilité du service.
Une certification HDS est valable 3 ans, avec :
un audit initial complet,
un audit de surveillance chaque année,
une vérification stricte du maintien des procédures internes.
Un hébergeur non conforme peut perdre la certification — un élément essentiel à vérifier.
La certification HDS garantit un niveau de sécurité et de conformité indispensable pour protéger les données médicales.
Elle impose une structure organisationnelle et technique solide, auditée régulièrement, permettant aux professionnels et éditeurs santé d’héberger leurs données dans un cadre légal strict, souverain et totalement sécurisé.
