En une phrase. Toute personne qui héberge pour le compte de tiers des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social doit être certifiée HDS (article L.1111-8 du code de la santé publique) ; la certification, délivrée pour 3 ans par un organisme accrédité COFRAC sur la base du référentiel v2 (arrêté du 26 avril 2023), couvre 6 activités d’hébergement et ajoute depuis la v2 une exigence de transparence et de souveraineté sur la localisation des données dans l’EEE.
La certification HDS est l’un des rares régimes au monde où l’hébergement d’une catégorie de données est soumis à certification obligatoire préalable. Éditeurs SaaS santé, plateformes de télémédecine, infogéreurs d’établissements : si des données de patients transitent par votre infrastructure pour le compte d’un tiers, la question n’est pas « faut-il HDS ? » mais « quelles activités HDS et à quel niveau de la chaîne ? ».
Ce guide fait le point 2026 : périmètre, référentiel v2, démarche de certification, coûts réels et articulation RGPD.
Points clés
- Base légale : article L.1111-8 du code de la santé publique ; certification obligatoire depuis le décret n° 2018-137 du 26 février 2018 (fin du régime d’agrément).
- Référentiel v2 approuvé par arrêté du 26 avril 2023, applicable aux nouvelles certifications et aux renouvellements — les certificats v1 ont expiré au terme de la transition.
- 6 activités certifiables (1 à 6), de la mise à disposition de locaux à la sauvegarde externalisée.
- Certification 3 ans, audits de surveillance annuels, construite sur ISO 27001 + exigences spécifiques.
- Nouveauté v2 : les données doivent être hébergées dans l’EEE et l’hébergeur doit être transparent sur toute soumission à des législations extraterritoriales.
1. Qui doit être certifié HDS ?
L’obligation vise l’hébergement pour le compte de tiers de données de santé recueillies à l’occasion d’activités de prévention, diagnostic, soins ou suivi médico-social. Concrètement :
- Concernés : hébergeurs cloud et datacenters hébergeant des applications de santé, éditeurs SaaS santé (dossier patient, téléconsultation, gestion de cabinet), infogéreurs et prestataires d’exploitation, prestataires de sauvegarde externalisée de données de santé.
- Non concernés : l’établissement de santé qui héberge ses propres données (pas de tiers), le professionnel de santé pour ses propres patients — voir nos guides dédiés au RGPD en cabinet médical et en pharmacie d’officine —, et les traitements sans lien avec le parcours de soins.
La chaîne complète compte : un éditeur SaaS certifié HDS qui s’appuie sur AWS ou OVHcloud doit s’assurer que son fournisseur d’infrastructure est certifié pour les activités 1 à 4, et porter lui-même les activités 5 et/ou 6. C’est la même logique de chaîne que la sous-traitance cloud sous le RGPD, avec une certification en plus. Héberger des données de santé sans certification expose à des sanctions pénales et, côté RGPD, à un manquement caractérisé à l’article 32 (sécurité des traitements) — les données de santé étant des données sensibles de l’article 9.
2. Les 6 activités du référentiel
| # | Activité | Famille |
|---|---|---|
| 1 | Mise à disposition de locaux d’hébergement physique | Hébergeur d’infrastructure physique |
| 2 | Mise à disposition d’infrastructure matérielle | Hébergeur d’infrastructure physique |
| 3 | Mise à disposition d’infrastructure virtuelle | Hébergeur infogéreur |
| 4 | Mise à disposition de plateforme d’hébergement d’applications | Hébergeur infogéreur |
| 5 | Administration et exploitation du système d’information de santé | Hébergeur infogéreur |
| 6 | Sauvegarde externalisée | Hébergeur infogéreur |
Le certificat mentionne les activités couvertes : « HDS 1-6 » n’a pas le même sens que « HDS 3-4 ». Les acheteurs (établissements, GHT, éditeurs) doivent vérifier la correspondance entre les activités certifiées et le service réellement acheté, sur la liste officielle des hébergeurs certifiés publiée par l’Agence du Numérique en Santé sur esante.gouv.fr — plusieurs centaines d’hébergeurs y figurent, dont les principaux clouds français et internationaux.
3. Le référentiel v2 : ce qui a changé
L’arrêté du 26 avril 2023 a remplacé le référentiel de 2018. Points saillants :
- Souveraineté et transparence : hébergement des données dans l’Espace économique européen et information contractuelle du client sur toute soumission de l’hébergeur (ou de sa chaîne) à des législations extraterritoriales de pays tiers (type CLOUD Act). Le sujet rejoint directement les débats SecNumCloud et cloud de confiance — HDS v2 n’exige pas l’immunité extraterritoriale, mais impose de l’afficher.
- Mise à jour du socle normatif : alignement sur ISO/IEC 27001:2022 (voir notre guide de la certification ISO 27001 en France), et prise en compte d’ISO 27017/27018 pour le cloud.
- Clarifications contractuelles : contenu minimal du contrat HDS (réversibilité, localisation, sous-traitance, obligations de sécurité).
Les hébergeurs certifiés v1 ont dû migrer vers la v2 lors de leur cycle de surveillance ou de renouvellement, la transition s’étant achevée au plus tard en 2025-2026 selon les échéances de chaque certificat.
4. Démarche et coûts
Démarche
- Déterminer les activités (1-6) et le périmètre.
- Construire le SMSI : HDS = ISO 27001 + exigences spécifiques (SLA, réversibilité, localisation, contrat HDS). Si vous êtes déjà certifié ISO 27001, l’écart est essentiellement documentaire et contractuel.
- Choisir un organisme certificateur accrédité COFRAC pour le référentiel HDS (AFNOR Certification, BSI, Bureau Veritas, LNE/GMED selon les portefeuilles d’accréditation).
- Audit initial en deux étapes, puis audit de surveillance annuel et renouvellement à 3 ans.
Coûts réels
- Organisme certificateur : l’audit HDS s’ajoute aux jours ISO 27001 ; compter 15 à 40 k€ sur le cycle de 3 ans pour une PME, selon les activités et sites.
- Mise à niveau : de quasi nulle (ISO 27001 déjà en place) à 30-60 k€ (SMSI à construire).
- Temps interne : 0,3 à 0,8 ETP pendant le projet.
Le poste caché est le maintien des preuves : revues, gestion des fournisseurs, incidents, engagements contractuels — sur lequel une plateforme d’automatisation de la conformité comme Legiscope mutualise le socle HDS avec le registre des traitements et la conformité RGPD santé.
5. HDS et RGPD : deux couches cumulatives
HDS ne dispense d’aucune obligation RGPD. L’hébergeur reste un sous-traitant au sens de l’article 28 (contrat, instructions, audits), le responsable de traitement doit mener son AIPD pour les traitements de santé à risque élevé, et les règles spécifiques aux données de santé (CNIL, référentiels, durées de conservation) s’appliquent intégralement. En sens inverse, la certification HDS est un excellent élément de démonstration de conformité à l’article 32.
FAQ
La certification HDS est-elle obligatoire pour un éditeur SaaS santé ?
Oui dès lors que l’éditeur héberge ou fait héberger des données de santé pour le compte de ses clients (établissements, professionnels). En pratique, l’éditeur porte les activités 5 et/ou 6 et s’appuie sur un IaaS/PaaS certifié pour les activités 1 à 4 — les deux certificats doivent se compléter sans trou dans la chaîne.
Peut-on héberger des données de santé hors de France ?
Oui, dans l’EEE : le référentiel v2 impose l’hébergement des données dans l’Espace économique européen et la transparence sur les législations extraterritoriales applicables. Un transfert hors EEE ferait en outre jouer le chapitre V du RGPD (voir transferts internationaux).
Combien de temps prend une certification HDS ?
De 4 à 6 mois si vous êtes déjà certifié ISO 27001 (écart documentaire et contractuel), 12 à 18 mois en partant de zéro — le SMSI ISO 27001 sous-jacent est le chemin critique.
Quelle différence entre HDS et SecNumCloud ?
HDS est obligatoire et sectorielle (données de santé) ; SecNumCloud est une qualification ANSSI volontaire de niveau de sécurité et de souveraineté, exigée principalement pour les administrations et données sensibles de l’État. Un hébergeur peut cumuler les deux — c’est un argument croissant sur le marché santé public.
Conclusion
HDS est un régime mûr : référentiel v2 stabilisé, organismes accrédités, liste publique des certifiés. Pour un acteur santé, le sujet n’est plus l’opportunité mais l’exécution : bien découper les activités 1-6 le long de la chaîne d’hébergement, s’appuyer sur un socle ISO 27001 sérieux, et maintenir les preuves entre deux audits. Et ne pas oublier que HDS ne couvre que l’hébergement — la conformité RGPD du traitement de santé reste un chantier à part entière.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial