En 2024, les incidents de cybersécurité dans le secteur de la santé ont progressé de 29 % en un an, selon le CERT Santé. Dans ce contexte, choisir un hébergeur de données de santé certifié HDS ne relève plus d’une simple option technique. C’est une obligation légale et un enjeu stratégique majeur pour tout établissement en France. Pour comprendre les fondamentaux de cette exigence, consultez notre offre d’hébergement de données de santé HDS.
Le référentiel HDS a été révisé en profondeur en mai 2024, avec l’entrée en vigueur de la version 2.0. Il renforce l’alignement avec la norme ISO 27001:2022 et introduit de nouvelles exigences de souveraineté. L’échéance de mai 2026 marque un tournant décisif pour l’ensemble des acteurs du secteur.
Qu’est-ce qu’un hébergeur HDS et pourquoi est-il indispensable ?
La certification HDS (Hébergeur de Données de Santé) est une obligation légale codifiée à l’article L1111-8 du Code de la santé publique. Elle s’applique à tout prestataire qui héberge des données de santé à caractère personnel en France. L’Agence du Numérique en Santé (ANS) publie et met à jour le référentiel technique.
Concrètement, un hébergeur certifié HDS est un prestataire ayant démontré, au terme d’un audit indépendant rigoureux, sa capacité à protéger les données médicales. Depuis 2018, cette certification remplace l’agrément ministériel. Elle est devenue un critère d’achat incontournable pour les DSI d’établissements de santé.
Un point fondamental à retenir : HDS et RGPD sont deux cadres complémentaires, pas alternatifs. Un prestataire certifié HDS n’est pas automatiquement conforme RGPD, et inversement. Cette distinction est essentielle pour tout responsable de traitement au sein d’un établissement hospitalier.
Le référentiel HDS v2.0 : ce qui change en 2026
Le 16 mai 2024, la nouvelle version du référentiel a été publiée au Journal officiel par l’arrêté du 26 avril 2024. Deux évolutions majeures structurent cette révision.
L’alignement sur l’ISO 27001:2022. La version 2022 de la norme internationale devient la référence obligatoire. Les hébergeurs certifiés sur l’ancienne version doivent mettre à jour leur système de management de la sécurité.
Le renforcement des exigences de souveraineté. Selon l’analyse du cabinet CMS, le référentiel renforce les exigences de souveraineté des données (exigences n° 28 à 31), en termes de localisation et de transparence. L’hébergement physique des données de santé doit désormais être réalisé exclusivement dans l’Espace Économique Européen (EEE). Cette contrainte répond directement aux risques posés par le Cloud Act américain.
Le calendrier est strict. Les hébergeurs certifiés sur le référentiel v1.1 de 2018 avaient jusqu’en mai 2026 pour se conformer. Comme le précise Lexology, la plupart des organisations déjà certifiées ont travaillé en vue de cette date butoir. Pour les établissements, cela signifie une vérification urgente : votre hébergeur actuel est-il certifié sur la v2.0 ?
Les 6 activités couvertes par la certification HDS
Le référentiel HDS couvre six activités distinctes, organisées en deux catégories. Un prestataire peut être certifié sur tout ou partie de ces activités. Vérifier ce périmètre est indispensable avant toute contractualisation.
Hébergement d’infrastructure
- Activité 1 : mise à disposition et maintien en condition opérationnelle des sites physiques (datacenters)
- Activité 2 : mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle (serveurs, stockage, réseau)
- Activité 3 : mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications
- Activité 4 : mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle
Infogérance et exploitation
- Activité 5 : administration et exploitation du système d’information contenant les données de santé
- Activité 6 : sauvegarde des données de santé
Un prestataire peut être certifié sur les activités 1 à 4 sans l’être sur l’activité 5 ou 6. C’est un angle mort fréquent. Si vous externalisez l’intégralité de votre SI de santé, toutes les activités concernées doivent être couvertes. Pour approfondir ce sujet, consultez notre guide sur la certification hébergeur de données de santé.
Souveraineté et sécurité : les piliers du référentiel v2.0
En mai 2024, le dispositif de certification HDS comptait plus de 302 hébergeurs certifiés, selon le communiqué du ministère de l’Économie. Mais tous ne se valent pas sur la question de la souveraineté.
Les nouvelles exigences imposent deux obligations concrètes. L’hébergeur doit informer ses clients de tout risque d’accès aux données par des autorités étrangères. Il doit garantir que le stockage physique reste dans l’EEE.
Pour les données de santé de l’État — hôpitaux publics, recherche médicale financée par le public, données du Health Data Hub — la combinaison HDS + SecNumCloud devient la référence. SecNumCloud apporte les garanties d’immunité aux législations extra-européennes que la certification HDS seule ne couvre pas.
Le lien entre certification HDS et norme ISO 27001
La certification ISO 27001 est un prérequis à la certification HDS. Elle en constitue le fondement. Cette articulation permet de capitaliser sur un standard international reconnu, tout en ajoutant les spécificités du secteur santé.
Le processus d’audit aboutit à la délivrance de deux certificats distincts : un certificat ISO 27001 et un certificat HDS. La certification est valable trois ans, sous réserve d’un audit annuel réalisé par l’organisme de certification.
Comment obtenir la certification HDS ?
La certification HDS ne s’improvise pas. Elle suit un processus structuré en plusieurs étapes, qui mobilise à la fois des ressources internes et un organisme de certification accrédité par le COFRAC.
Étape 1 — Cadrage et analyse des écarts. Avant tout engagement, un audit à blanc permet d’identifier les écarts entre l’organisation existante et les exigences du référentiel HDS v2.0. C’est à ce stade que se définit le périmètre de certification : quelles activités, quels systèmes, quels datacenters.
Étape 2 — Mise en conformité ISO 27001. La certification ISO 27001 étant un prérequis, l’organisation doit disposer d’un Système de Management de la Sécurité de l’Information (SMSI) opérationnel et documenté. Politiques de sécurité, gestion des risques, plan de traitement, revue de direction : chaque exigence doit être couverte et tracée.
Étape 3 — Audit documentaire. L’organisme de certification procède à une revue complète de la documentation : politiques, procédures, contrats avec les sous-traitants, cartographie des flux de données de santé. C’est ici que la cohérence entre le périmètre déclaré et les pratiques réelles est vérifiée.
Étape 4 — Audit sur site. Des auditeurs se déplacent dans les datacenters et au sein des équipes. Ils vérifient la conformité opérationnelle : sécurité physique, contrôle des accès, traçabilité, gestion des incidents, tests de continuité.
Étape 5 — Délivrance des certificats. En cas de résultats satisfaisants, deux certificats sont délivrés : un certificat ISO 27001 et un certificat HDS. Ils sont valables trois ans, avec un audit de surveillance annuel obligatoire.
Quelle est la procédure de certification HDS pour un établissement de santé ?
Un établissement de santé qui externalise son hébergement n’a pas à obtenir lui-même la certification HDS — c’est l’hébergeur qui la porte. En revanche, l’établissement a des obligations propres dans ce cadre.
Il doit s’assurer que le contrat signé avec son prestataire précise explicitement les activités certifiées, la version du référentiel, et la liste des sous-traitants impliqués. Il doit également vérifier régulièrement la validité du certificat de son hébergeur sur la liste publiée par l’ANS — une certification peut être suspendue ou retirée à l’issue d’un audit annuel.
Pour les établissements qui souhaitent héberger eux-mêmes tout ou partie de leurs données, la certification HDS s’applique en tant que prestataire interne. La démarche est identique, mais le portage organisationnel est plus lourd. Dans ce cas, un accompagnement spécialisé est fortement recommandé.
Chez gplexpert, nous accompagnons les établissements de santé à chaque étape : audit de maturité, mise en conformité ISO 27001, préparation aux audits HDS et suivi post-certification. Découvrez notre accompagnement pour obtenir la certification HDS.
Offres d’hébergement HDS : ce qui distingue gplexpert
Beaucoup d’hébergeurs affichent la certification HDS. Peu couvrent l’ensemble des six activités. Encore moins proposent un accompagnement sectoriel réel.
Ce que gplexpert apporte concrètement :
- Double certification HDS et ISO 27001 sur l’intégralité du périmètre, version 2.0.
- Souveraineté garantie : hébergement exclusivement en France, aucune exposition au Cloud Act.
- Transparence tarifaire : pas de frais cachés, pas d’egress, pas de surcoût à la restauration.
- Support dédié santé : interlocuteurs formés aux enjeux hospitaliers, pas un support généraliste.
- Réversibilité : accompagnement à la migration entrante et sortante, sans dépendance forcée.
Pour évaluer vos besoins et obtenir une proposition adaptée à votre établissement, consultez notre offre complète d’hébergement de données de santé HDS.
Comment bien choisir son hébergeur de données de santé
Sélectionner un hébergeur certifié HDS ne se résume pas à vérifier l’existence d’un certificat. Plusieurs critères stratégiques doivent guider votre décision.
- Périmètre de certification : toutes les activités que vous externalisez doivent être couvertes.
- Version du référentiel : exigez la v2.0, pas la v1.1.
- Localisation des datacenters : hébergement exclusivement dans l’EEE.
- Services managés : supervision 24/7, SOC, NOC, PCA et PRA intégrés.
- Transparence contractuelle : le contrat doit préciser le périmètre du certificat, les dates de délivrance et les sous-traitants certifiés.
- Accompagnement réglementaire : capacité du prestataire à vous aider dans votre mise en conformité RGPD et programme CaRE.
Pour identifier les prestataires vérifiés, consultez notre liste des hébergeurs certifiés HDS en France.
Tableau comparatif : critères clés d’un hébergeur HDS
Critère | gplexpert | Hébergeur standard certifié HDS |
Certification HDS (6 activités) | ✅ | Variable (souvent partiel) |
Certification ISO 27001 | ✅ | Variable |
Référentiel v2.0 | ✅ | À vérifier |
Services managés SOC/NOC | ✅ Inclus | Selon l’offre |
Tests d’intrusion éthiques | ✅ | Rarement inclus |
Accompagnement programme CaRE | ✅ | Non couvert |
PCA / PRA intégrés | ✅ | En option |
Hébergement souverain (France / EEE) | ✅ | À vérifier |
Support dédié santé | ✅ | Généraliste |
Tarification sans frais cachés | ✅ | Variable |
L’enjeu de 2026 : conformité renforcée et accélération numérique
En 2026, avec l’accélération des projets IA médicaux et l’entrée en vigueur de l’AI Act, la conformité réglementaire est un critère de sélection aussi important que les fonctionnalités. Les DSI, RSSI et directeurs d’établissements sont en première ligne.
Le programme CaRE, les audits de sécurité réguliers et la mise en place de PSSI complètent le dispositif. Ces démarches ne sont pas isolées : elles forment un écosystème cohérent où l’hébergeur certifié HDS constitue la pierre angulaire.
Face à la complexité croissante du paysage réglementaire, s’appuyer sur un partenaire qui maîtrise à la fois les exigences techniques et l’accompagnement stratégique représente un avantage décisif. Pour évaluer vos besoins en toute sérénité, découvrez notre accompagnement pour choisir son hébergeur de données de santé.
Retours d'expérience
« On a signé avec un hébergeur certifié HDS. Six mois plus tard, on a réalisé que la sauvegarde de notre DPI passait par un sous-traitant qui, lui, ne l’était pas. L’audit nous a coûté trois mois de mise en conformité. » — RSSI, centre hospitalier régional
« La transition vers le référentiel v2.0 nous a obligés à revoir entièrement notre cartographie des sous-traitants. On pensait que c’était le rôle de l’hébergeur. C’est en fait une responsabilité partagée. » — DSI, groupement hospitalier de territoire
« Ce qui nous a le plus surpris : notre ancien hébergeur était certifié sur la v1.1, pas sur la v2.0. On l’a découvert à trois mois de l’échéance de mai 2026. La migration a été tendue. » — Directeur des systèmes d’information, clinique privée
FAQ – Hébergeur HDS
Qui est concerné par l'obligation de certification HDS ?
Tout organisme public ou privé qui héberge, exploite un système d’information de santé ou réalise des sauvegardes pour le compte d’un établissement de santé doit être certifié HDS. Un établissement hébergeant ses propres données en interne n’est pas soumis à cette obligation. Dès qu’il externalise, l’hébergeur retenu doit être certifié.
Quelle est la différence entre le référentiel HDS v1.1 et le v2.0 ?
Le référentiel v2.0, entré en vigueur en mai 2024, s’aligne sur la norme ISO 27001:2022 et introduit des exigences renforcées de souveraineté : hébergement physique exclusivement dans l’EEE et transparence accrue sur les sous-traitants. Nous accompagnons les établissements dans cette transition grâce à notre expertise certifiée.
Comment vérifier qu'un hébergeur est réellement certifié HDS ?
La liste officielle est publiée par l’ANS. Vérifiez non seulement la présence du prestataire, mais aussi les activités couvertes par son certificat et la version du référentiel sur laquelle il est certifié. Ce détail conditionne l’étendue réelle de votre conformité.
Vous pourriez également être intéressé par les articles suivants :
La certification HDS (Hébergeur de Données de Santé) est aujourd’hui une obligation légale pour les prestataires qui hébergent des données sensibles dans le secteur médical. En France, de nombreux hébergeurs ont obtenu cette certification afin de répondre aux besoins croissants des établissements de santé. C’est l’un des éléments qui déterminent comment choisir son hébergeur de données de santé. Revenons sur les critères pour obtenir la certification HDS et passons en revue quelques-uns des principaux hébergeurs certifiés.
La transformation digitale des établissements de santé repose sur des infrastructures fiables et des services garantissant la sécurité et la confidentialité des données de santé. Les acteurs du secteur médical doivent aujourd’hui allier performance technique et respect strict du Code de la santé publique ainsi que des obligations RGPD. La mise en place d’un hébergement certifié HDS permet aux établissements de santé de disposer de sites sécurisés pour le traitement des données, tout en assurant la disponibilité et la protection des informations sensibles.
Ce cadre réglementaire est essentiel pour les acteurs du secteur de la santé. Il fixe les conditions que les hébergeurs doivent respecter pour garantir la confidentialité, l’intégrité et la disponibilité des données sensibles. C’est pourquoi il est essentiel de savoir comment choisir son hébergeur de données de santé. Revenons sur l’essentiel à connaître de la nouvelle version du référentiel HDS.