En une phrase. La certification HDS (Hébergeur de Données de Santé) est obligatoire depuis 2018 pour toute entité hébergeant des données de santé à caractère personnel d’utilisateurs français. Le référentiel est piloté par l’ANS (Agence du Numérique en Santé, ex-ASIP Santé) et s’appuie sur ISO 27001 + exigences spécifiques santé. La certification couvre 6 activités d’hébergement, dure 3 ans avec audit annuel, et coûte typiquement 20 000 à 80 000 € sur trois ans.
L’hébergement de données de santé sans certification HDS est une infraction pénale (article L. 1111-8 du Code de la santé publique). Le contrôle est exercé par l’ANS qui peut diligenter des audits inopinés. Plus de 130 hébergeurs sont certifiés en 2026, dont OVHcloud, Outscale, Microsoft Azure, AWS, Google Cloud Platform. Ce guide explique le référentiel, le périmètre, et la procédure de certification.
Pour les sujets connexes : SecNumCloud, PSSI, cartographie SI.
Points clés
- HDS obligatoire pour héberger des données de santé d’utilisateurs français (art. L.1111-8 CSP).
- Référentiel piloté par l’ANS (ex-ASIP Santé), basé sur ISO 27001 + 27018 + exigences santé.
- 6 activités d’hébergement couvertes (du datacenter à l’infogérance applicative).
- Certification 3 ans avec audit annuel de surveillance par organisme accrédité COFRAC.
- Coût total typique : 20 000 à 80 000 € sur 3 ans selon la taille.
1. Cadre légal de l’hébergement de données de santé
L’article L. 1111-8 du Code de la santé publique (modifié par la loi du 26 janvier 2016) impose que tout hébergement de données de santé à caractère personnel, pour le compte d’un tiers, soit réalisé par un hébergeur certifié ou agréé (régime transitoire).
Sanctions pénales : 3 ans d’emprisonnement et 45 000 € d’amende (article L. 1115-1 CSP). Pour une personne morale, l’amende est quintuplée à 225 000 €.
Le décret n° 2018-137 du 26 février 2018 a établi le régime de certification, remplaçant l’agrément ministériel antérieur.
2. Définition des « données de santé »
Au sens RGPD (article 4(15)) et HDS, les données de santé couvrent :
- Données médicales (diagnostics, traitements, antécédents)
- Données issues d’objets connectés santé (tensiomètres, glucomètres, etc.)
- Données de bien-être pouvant révéler l’état de santé (pas systématiquement)
- Numéros INS et identifiants de santé
- Comptes rendus d’examens et imagerie médicale
La CNIL a précisé en 2020 que les données d’applications de fitness deviennent données de santé dès qu’elles permettent de déduire un état pathologique (glycémie, ECG, etc.).
3. Les 6 activités HDS
Le référentiel distingue 6 activités d’hébergement :
| N° | Activité | Exemple |
|---|---|---|
| 1 | Mise à disposition de sites physiques | Datacenter |
| 2 | Mise à disposition d’infrastructure matérielle | Hébergement serveurs |
| 3 | Mise à disposition d’infrastructure virtuelle (IaaS) | VM, stockage cloud |
| 4 | Mise à disposition de plateforme d’hébergement (PaaS) | Containers managés, BDD managée |
| 5 | Administration et exploitation du SI | Infogérance |
| 6 | Sauvegarde externalisée | Backup as a service |
Un hébergeur peut être certifié pour 1 à 6 activités. La plupart des grands hébergeurs cloud sont certifiés sur les 6.
4. Structure du référentiel HDS
Le référentiel HDS v1.1 (2024) s’appuie sur :
- ISO 27001 (système de management de la sécurité de l’information) — obligatoire
- ISO 27018 (protection des PII dans le cloud public) — pour activités 3, 4, 6
- Exigences spécifiques HDS (~80 contrôles additionnels santé)
- ISO 20000-1 (gestion des services IT) — recommandé pour activité 5
Les exigences spécifiques HDS couvrent notamment : localisation des données dans l’UE, garanties contractuelles, identifiants de santé, intervention de professionnels de santé, transferts internationaux.
5. Procédure de certification
Étapes typiques :
- Phase préparatoire (3-6 mois) : analyse d’écart, mise en conformité ISO 27001
- Certification ISO 27001 par un organisme accrédité COFRAC (préalable obligatoire si non détenue)
- Audit initial HDS étape 1 : revue documentaire (1-2 jours)
- Audit initial HDS étape 2 : audit sur site (3-10 jours selon périmètre)
- Décision de certification par le comité de l’organisme certificateur
- Audit de surveillance annuel (années 2 et 3)
- Audit de renouvellement la 3ème année
Organismes certificateurs accrédités COFRAC : LSTI, AFNOR Certification, BSI, BureauVeritas, LNE.
6. Coût et durée
Estimations 2026 :
| Taille hébergeur | Coût certification 3 ans | Durée projet |
|---|---|---|
| TPE (1 datacenter, < 10 personnes) | 20-35 k€ | 6-9 mois |
| PME (multi-sites, 10-50 personnes) | 35-60 k€ | 9-12 mois |
| ETI (cloud opérateur) | 60-150 k€ | 12-18 mois |
| Grand groupe (cloud hyperscale) | 200 k€+ | 18-24 mois |
Coûts annexes : conseil préparatoire (souvent équivalent au coût de certification), mise à niveau infrastructure (très variable), formation des équipes.
7. Contractualisation : le rôle du contrat HDS
L’hébergeur certifié doit fournir un contrat HDS au responsable de traitement (article R. 1111-11 CSP), contenant notamment :
- Identification des activités d’hébergement (parmi les 6)
- Description précise des prestations
- Conditions de restitution et de destruction des données
- Garanties de confidentialité et intégrité
- Modalités d’intervention de l’hébergeur
- Procédures en cas d’incident
- Localisation des données
Ce contrat double l’accord de sous-traitance RGPD (article 28). Voir notre guide article 28 RGPD.
8. Localisation des données
Le référentiel HDS impose l’hébergement dans l’Union européenne ou dans un pays bénéficiant d’une décision d’adéquation. Suite à l’invalidation du Privacy Shield (arrêt Schrems II, juillet 2020) et aux incertitudes sur le Data Privacy Framework :
- Données hébergées par AWS US, Google US, Microsoft US : risque CLOUD Act
- Préférence croissante pour cloud souverain (OVHcloud, Outscale, Numspot)
- Plan « Santé Numérique » 2023 du gouvernement français pousse vers les hébergeurs européens
La CNIL et l’ANS recommandent fortement les hébergeurs sous droit européen exclusif pour les données de santé sensibles.
9. Lien avec le RGPD
L’hébergement de données de santé concentre plusieurs obligations RGPD :
- Article 9 : interdiction de principe + exception « finalités médicales » (9§2(h))
- Article 32 : sécurité des données
- Article 28 : contrat de sous-traitance
- AIPD obligatoire (liste CNIL des traitements soumis à AIPD)
L’hébergeur HDS agit comme sous-traitant RGPD du responsable de traitement (établissement de santé, éditeur d’application, mutuelle, etc.).
10. Sanctions et contrôles ANS
L’ANS peut diligenter des audits de contrôle, notamment suite à signalement. En cas de manquement grave :
- Suspension ou retrait de la certification par l’organisme certificateur
- Signalement au procureur en cas d’hébergement sans certification
- Sanction RGPD par la CNIL (jusqu’à 20 M€ ou 4 % CA)
- Sanction pénale : 3 ans d’emprisonnement + 45 000 € (225 000 € pour PM)
En 2023, l’ANS a mené 12 audits de contrôle, dont 3 ayant entraîné des actions correctives majeures.
11. Cas pratiques
- Éditeur SaaS médical : doit choisir un hébergeur certifié HDS ou se certifier lui-même
- Cabinet médical libéral : si dossiers patients chez un prestataire, hébergeur HDS obligatoire
- Pharmacie en ligne avec ordonnance : hébergement HDS
- Application de bien-être sans données pathologiques : analyse au cas par cas
- Recherche biomédicale : HDS + autorisation CNIL spécifique
12. Évolutions 2026 et perspectives
- Référentiel HDS v2 attendu en consultation 2026 (alignement renforcé sur ISO 27001:2022)
- Intégration des exigences NIS 2 santé (l’hébergement santé entre dans NIS 2)
- Convergence souhaitée avec SecNumCloud pour les données de santé sensibles
- Espace Européen des Données de Santé (EHDS, règlement adopté 2024) : impact sur les obligations d’hébergeur à compter de 2026
FAQ
Toute donnée médicale impose-t-elle un hébergeur HDS ?
Non. La certification HDS s’impose à l’hébergement pour le compte d’un tiers. Si vous êtes un cabinet médical hébergeant vos propres dossiers patients sur vos serveurs internes, HDS ne s’applique pas. Dès que vous confiez l’hébergement à un prestataire externe, HDS devient obligatoire.
Quelle différence entre l’agrément HDS et la certification HDS ?
L’agrément ministériel était le régime antérieur (1979-2018), délivré par le ministère de la Santé après avis du CNOM. Depuis 2018, il a été remplacé par la certification par organisme accrédité COFRAC. Les agréments existants ont expiré en 2021.
Combien de temps faut-il pour se certifier HDS ?
6 à 18 mois selon la maturité initiale. Si l’organisation est déjà certifiée ISO 27001, comptez 4-6 mois supplémentaires. Sans ISO 27001 préalable, comptez 12-18 mois (la certification ISO 27001 prend elle-même 9-12 mois).
Mon hébergeur AWS/Azure est certifié HDS, est-ce suffisant ?
Pas automatiquement. Vous devez vérifier (1) que votre service exact est dans le périmètre certifié (toutes les régions et tous les services ne le sont pas), (2) que le contrat HDS spécifique est signé, (3) que vous avez aussi un accord de sous-traitance RGPD. Une configuration mal choisie peut sortir du périmètre certifié.
L’HDS est-il reconnu hors de France ?
Non. C’est une certification française spécifique. Les autres pays UE ont leurs propres régimes (allemand : ISO 27001 + B3S, italien : ACN, etc.). Un hébergeur français certifié HDS n’est pas automatiquement conforme aux exigences allemandes.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial