Certification HDS

La numérisation du secteur de la santé s’est fortement accélérée ces dernières années : logiciels métiers, plateformes Software as a Service (SaaS), parcours patient dématérialisés, télésuivi, interconnexions avec les systèmes d’information (SI) hospitaliers. Cette transformation s’accompagne d’une responsabilité majeure : la protection des données de santé, qui figurent parmi les données personnelles les plus sensibles au sens du droit européen. Les données de santé sont définie dans l’article 4 du RGPD et dans le code de la santé publique (article L1111-8).

Les données de santé sont toutes les informations, quel que soit leur support ou leur traitement, qui permettent d’identifier directement ou indirectement une personne physique et relative l’état de santé, la prise en charge, les actes de prévention, de diagnostic ou de soins.

Dans ce contexte, la certification HDS (Hébergeur de Données de Santé) n’est plus une option. Elle constitue aujourd’hui un pré-requis réglementaire, mais aussi un levier stratégique pour les acteurs du numérique en santé.

Qu’est-ce que la certification HDS ?

La certification HDS est définie par le Code de la santé publique. Elle vise à garantir que toute entité qui héberge ou supervise des données de santé à caractère personnelles met en œuvre un niveau élevé de sécurité, de traçabilité et de gouvernance suffisant.

Son objectif est triple :

• Garantir la confidentialité des données de santé
• Assurer leur intégrité et leur disponibilité
• Et surtout permettre une traçabilité complète des accès et des actions

Contrairement à une idée répandue, la certification HDS ne se limite pas à l’infrastructure. Elle couvre l’ensemble de la chaîne : organisation, processus, responsabilités, sécurité technique et contractuelle.

Qui est concerné par la certification HDS ?

La question du périmètre est l’une des principales sources d’erreur.

Sont concernés notamment :

• Éditeurs de logiciels de santé (SaaS, outils de prévention, plateformes patient)
• Startups healthtech
• Hébergeurs cloud et infogérants intervenant sur l’exploitation, la maintenance ou l’administration de systèmes manipulant des données de santé

De nombreuses entreprises pensent ne pas être concernées car elles “ne font que du développement” ou “utilisent un cloud certifié”. En pratique, dès lors qu’une société administre, maintient, supervise les données, elle entre dans le périmètre HDS.

Une grande partie des non-conformités observées sont involontaires, liées à une mauvaise compréhension des rôles et responsabilités.

Les activités couvertes par la certification HDS

La certification HDS s’applique à une ou plusieurs de ces six activités réglementaires :

1. L’hébergement d’infrastructures physiques ou virtuelles
2. L’administration et l’exploitation de plateformes
3. La sauvegarde et la restauration des données
4. La mise à disposition et la maintenance des systèmes
5. La gestion des accès et des identités
6. La supervision et la sécurité opérationnelle

Ces activités, en particulier depuis la v2 de la norme, peuvent être regroupées en deux grands domaines :

• L’Hébergeur d’Infrastructure : Pour ceux qui fournissent le matériel et les couches basses (Cloud, serveurs).

• L’Hébergeur Infogéreur : C’est ici que se situent la plupart des ESN et éditeurs SaaS. Il couvre l’administration, l’exploitation, la sauvegarde et le maintien en condition opérationnelle (MCO).

Une entreprise peut être certifiée pour tout ou partie de ces activités, à condition que le périmètre soit clairement défini et maîtrisé.

En 2026, la mise en conformité avec la directive européenne NIS 2 et le HDS se rejoignent sur de nombreux points (gouvernance, gestion des incidents).

Les exigences clés de la certification HDS

La certification repose sur un référentiel aligné avec les normes ISO 27001/27002, mais adapté aux spécificités des données de santé.

Les principaux piliers sont :

Gouvernance et organisation

• Politique de sécurité formalisée
• Rôles et responsabilités clairs
• Gestion des risques documentée

Sécurité technique

• Cloisonnement des environnements
• Gestion stricte des accès et des identités
• Sécurité réseau et système
• Sauvegardes et restaurations testées

Traçabilité et supervision

• Journalisation exhaustive des accès
• Conservation et exploitation des logs
• Capacité de détection et de réaction aux incidents

Continuité d’activité

• PRA (Plan de Reprise d’Activité) / PCA (Plan de Continuité d’Activité) formalisés
• Tests réguliers
• Objectifs de reprise réalistes et mesurés

Sous-traitance

• Identification complète de la chaîne de sous-traitants
• Engagements contractuels conformes
• Cohérence globale du dispositif de sécurité

La conformité HDS est autant organisationnelle que technique.

HDS, RGPD et normes ISO : comment tout s’articule

La certification HDS ne remplace pas le RGPD, elle le complète.

• Le RGPD impose des obligations juridiques (responsable de traitement, sous-traitance, droits des personnes)
• La certification HDS encadre les moyens techniques et organisationnels pour sécuriser les données
• Les normes ISO fournissent une structure méthodologique et un langage commun

L’erreur classique consiste à traiter ces sujets séparément. En réalité, une approche commune permet de mutualiser les efforts.

Le processus de certification HDS

La certification HDS n’est pas un examen ponctuel, mais un engagement sur le long terme. Elle repose sur un cycle de trois ans : un audit initial pour l’obtention du certificat, suivi d’audits de surveillance annuels pour garantir la constance du niveau de sécurité, et enfin un audit de renouvellement complet tous les trois ans.

Elle implique une mobilisation transverse : direction, équipes techniques, sécurité, juridique, produit. Une certification obtenue mais mal maintenue perd rapidement toute valeur opérationnelle.

Les erreurs les plus fréquentes

Les mêmes points reviennent régulièrement :

• Périmètre HDS mal défini ou incohérent
• Sous-traitants non certifiés ou non cadrés
• Documentation déconnectée de la réalité opérationnelle
• Logs absents, incomplets ou jamais analysés
• PRA/PCA théoriques, jamais testés

La majorité de ces problèmes sont évitables avec une préparation structurée.

La certification HDS comme levier stratégique

Au-delà de l’obligation réglementaire, la certification HDS constitue un avantage concurrentiel réel :

• Accès facilité aux marchés publics et établissements de santé
• Renforcement de la confiance des partenaires et des clients
• Crédibilité renforcée face aux concurrents
• Accélération des cycles de vente

Pour de nombreux éditeurs, HDS devient un argument commercial important.

Conclusion

La certification HDS n’est ni une simple formalité, ni une contrainte purement administrative. Elle constitue un socle de confiance, indispensable à la pérennité des services numériques de santé.

Anticipée et bien intégrée, elle devient un facteur de robustesse, de crédibilité et de croissance.

Besoin d’y voir clair ?

Vous vous demandez si votre organisation ou votre projet sont concernés par la certification HDS, ou comment vous y préparer efficacement ?

Un échange permet souvent de lever les ambiguïtés. Contactez nous !

Suivez-nous

Cet article vous a plu ?

Rejoignez-nous sur nos différents réseaux sociaux pour suivre notre actualité ! Nous y partageons nos nouveautés, nos réalisations, ainsi que des retours d’expérience sur les projets que nous menons au quotidien.

Vous pouvez également suivre notre blog via notre flux RSS, afin de ne manquer aucune publication. De nouveaux articles seront publiés régulièrement, avec pour objectif de vous présenter nos réalisations, de promouvoir les bonnes pratiques de l’ingénierie logicielle, et de décrypter l’actualité technique et numérique.