Hébergement de données de santé : tout comprendre du référentiel HDS

L’hébergement de données de santé est devenu un passage obligé pour tout établissement, éditeur ou intégrateur qui manipule des informations patient. Depuis 2018, le recours à un prestataire certifié HDS n’est plus une option mais une obligation réglementaire. Comprendre ce cadre, ses 6 activités, ses exigences techniques et savoir choisir le bon partenaire fait toute la différence entre une conformité subie et un véritable levier de sécurité. Ce guide vous donne tous les repères, en complément de notre page dédiée à la GED santé.

HDS, hébergement de données de santé : définition et cadre légal

L’hébergement de données de santé désigne la pratique consistant à confier à un prestataire externe le stockage et le traitement des informations médicales d’un patient ou d’un usager. Pour les acteurs du secteur santé, ces informations à caractère personnel comptent parmi les plus sensibles qu’une organisation puisse manipuler : dossier patient, suivi des soins, ordonnances, comptes rendus, résultats d’examens biologiques, facturation Sécu et mutuelles.

Le cadre est posé par le Code de la santé publique. Toute personne physique ou morale qui héberge ces informations pour le compte d’un tiers entre dans le périmètre du référentiel. La conformité est garantie dès lors que l’environnement est confié à un prestataire certifié, qu’il s’agisse d’un fournisseur cloud spécialisé ou d’un partenaire intégrateur opérant dans la santé numérique.

Les acteurs concernés couvrent un large spectre :

• établissements publics et privés (hôpitaux, cliniques, centres de soins)
• structures médico-sociales (EHPAD, foyers, services à domicile)
• équipes santé soumises aux contrôles ARS, HAS et CNIL
• éditeurs de logiciels métier manipulant des dossiers patients
• laboratoires d’analyses, centres d’imagerie et organismes de recherche clinique

Tant que la donnée reste dans un cadre purement personnel, elle échappe au dispositif. Dès qu’un tiers entre dans la boucle (hébergeur, éditeur, intégrateur), le recours à un opérateur certifié devient incontournable pour préserver la confidentialité et la protection des informations patients.

Hébergeur certifié HDS : une obligation depuis 2018

Depuis 2018, toute structure qui stocke ou traite ces informations sensibles doit recourir à un prestataire titulaire de la certification HDS. Avant cette date, le système reposait sur un agrément délivré par le ministère de la Santé. Ce dispositif a été remplacé par un référentiel piloté par l’Agence du Numérique en Santé (ANS, ex-ASIP Santé), qui s’appuie sur une accréditation indépendante par le COFRAC ou un équivalent européen.

Pourquoi un cadre aussi strict ? Les informations médicales figurent parmi les cibles les plus convoitées par les cyberattaquants. Une fuite, une perte ou un accès non autorisé peut entraîner :

• des sanctions CNIL
• une perte de confiance durable des patients et partenaires
• des impacts opérationnels majeurs (interruption de service, paralysie de l’activité)

Le secteur de la santé subit en plus des contrôles fréquents d’organismes comme l’ARS, la HAS et la CNIL. Choisir un opérateur certifié, c’est s’aligner d’emblée sur ces exigences plutôt que de devoir prouver à chaque audit que son infrastructure tient la route.

Beaucoup d’établissements pensent encore qu’un serveur interne ou un cloud généraliste fait l’affaire. C’est une erreur. Les niveaux d’exigence du référentiel sont sans commune mesure avec ce qu’un service informatique peut maintenir au quotidien dans son environnement habituel.

Les 6 activités couvertes par la certification HDS

Le référentiel HDS encadre 6 activités distinctes liées à l’hébergement des informations médicales sensibles. Un opérateur peut être qualifié sur une partie ou la totalité de ces activités selon son périmètre d’intervention. C’est un point clé à vérifier avant de signer : un fournisseur certifié sur une seule activité ne couvre pas forcément les besoins de votre projet.

Les 4 premières activités relèvent d’un certificat « hébergeur d’infrastructure physique », les deux suivantes d’un certificat « hébergeur infogéreur ». Un projet GED santé complet implique généralement les deux périmètres : on stocke physiquement les informations ET on exploite la plateforme applicative.

🔍 Point d’attention : quand vous évaluez un éditeur ou un intégrateur, demandez systématiquement le périmètre exact de la qualification. Un « nous sommes HDS » trop générique cache parfois une couverture partielle. La pérennité de votre conformité dépend de cette vérification.

Sécurité des données de santé : les exigences techniques du référentiel HDS

Le référentiel impose un socle de sécurité industriel, bien au-delà de ce qu’un serveur interne ou un cloud généraliste peut offrir. Trois piliers structurent ce niveau d’exigence : un environnement d’hébergement maîtrisé, un contrôle strict des accès et une conformité native au cadre réglementaire santé.

Le socle ISO 27001, ISO/IEC 27018 et l’hébergement souverain

Un opérateur certifié s’appuie systématiquement sur la norme ISO 27001, référence internationale en matière de système de management de la sécurité de l’information. À cela s’ajoute la norme ISO/IEC 27018, dédiée à la protection des informations personnelles dans les environnements cloud. Le référentiel HDS ajoute par-dessus des exigences spécifiques au secteur de la santé.

Concrètement, ce socle se traduit par :

• des datacenters localisés en France, condition clé pour la souveraineté
• des sauvegardes redondantes et chiffrées, restaurables en cas d’incident
• une continuité de service garantie, avec des engagements de disponibilité contractuels
• une supervision 24/7 de l’infrastructure et une gestion proactive des incidents
• des mesures de sécurité physiques (contrôle d’accès, vidéosurveillance, redondance électrique)

Les datacenters France ne sont pas un détail. Ils protègent vos informations contre les législations extraterritoriales et garantissent que vos dossiers patients ne quittent jamais le territoire européen.

Le contrôle des accès et la traçabilité opérationnelle

Le second pilier concerne qui accède à quoi, et avec quelles garanties. Sur ce volet, un prestataire sérieux propose :

• 🔐 Authentification renforcée (MFA) sur tous les accès sensibles
• 👥 Habilitations fines par profil et par dossier (un médecin, un comptable et un agent administratif n’ont pas la même vue)
• 🔒 Chiffrement en transit et au repos des informations médicales
• 📋 Journalisation complète des actions : qui a consulté, modifié ou supprimé un document, et quand

Cette traçabilité est opposable en cas de contrôle ou de litige. Elle vous permet de prouver, document à l’appui, que le secret médical et les obligations RGPD ont été respectés à chaque étape. L’intégrité des informations est garantie tout au long de leur cycle de vie.

La conformité native au cadre santé

Le troisième pilier est ce qui distingue un environnement HDS d’un cloud classique : la conformité réglementaire est intégrée plutôt que rapportée. Cela inclut :

• le respect des durées de conservation légales prévues par le Code de la santé publique
• la purge automatique programmée des informations arrivées en fin de cycle
• une traçabilité opposable lors des contrôles ARS, HAS ou CNIL
• la prise en compte du secret médical dans la conception des accès

Vous transformez une contrainte réglementaire en processus automatisé et sans faille. Plus besoin de réinventer chaque procédure à la main.

Procédure de certification HDS : étapes et organismes certificateurs

La qualification HDS n’est pas auto-déclarée. Elle est délivrée par un organisme certificateur indépendant, lui-même accrédité par le COFRAC en France ou par un équivalent reconnu au niveau européen. En France, des organismes comme AFNOR Certification, LSTI ou Bureau Veritas sont autorisés à délivrer ce label. Cette double validation garantit la rigueur du processus.

Le parcours type d’un opérateur candidat repose sur trois grandes phases :

1. Préparation et mise en conformité alignement des processus internes sur le référentiel et sur les normes ISO sous-jacentes (27001, 27018)
2. Audit sur site l’organisme certificateur évalue concrètement les installations, les procédures, les sauvegardes, le maintien en condition opérationnelle de l’infrastructure
3. Certification et suivi délivrance du certificat, audits de surveillance réguliers et renouvellement périodique pour maintenir la conformité

Côté client final, la procédure est plus simple mais tout aussi importante. Avant de confier vos dossiers patients à un prestataire, vérifiez systématiquement :

• ✅ La présence d’un certificat valide, daté et nominatif
• ✅ Le périmètre exact de la qualification (laquelle des 6 activités est couverte ?)
• ✅ Le nom de l’organisme certificateur et son accréditation COFRAC
• ✅ La date de validité et le calendrier de renouvellement

Beaucoup de fournisseurs revendiquent un label HDS sans préciser son périmètre. Demandez l’attestation officielle. Un prestataire qualifié sur la mise à disposition de l’infrastructure virtuelle uniquement ne couvre pas vos besoins si vous cherchez aussi de l’exploitation et de la sauvegarde.

🎯 Le bon réflexe : intégrez la vérification du certificat dès l’appel d’offres ou la phase d’avant-vente. Cela évite les mauvaises surprises six mois après la signature.

Comment choisir un hébergeur HDS adapté à votre activité ?

Choisir un partenaire d’hébergement ne se résume pas à cocher la case « certification ». Le bon prestataire est celui dont le périmètre, la souveraineté et les engagements contractuels collent à votre réalité métier. Voici les trois points sur lesquels passer du temps avant de signer.

Vérifier le périmètre exact de la qualification

Première erreur courante : confondre « opérateur certifié » et « opérateur certifié pour mon besoin ». Un prestataire qualifié uniquement sur la mise à disposition de l’infrastructure virtuelle ne pourra pas exploiter vos applications, gérer vos sauvegardes ou opérer votre système d’information.

Avant de signer, listez vos besoins réels :

• Avez-vous besoin de stockage physique en datacenter ?
• Souhaitez-vous une plateforme applicative clé en main ?
• Qui assure l’exploitation au quotidien (vous ou le fournisseur) ?
• Les sauvegardes sont-elles incluses dans le périmètre ?

Croisez cette liste avec les 6 activités du référentiel. Si une seule manque, vous devrez soit la compléter avec un autre prestataire, soit assumer le risque de non-conformité partielle.

Souveraineté et localisation des informations patients

Tous les opérateurs ne se valent pas sur la souveraineté. Trois questions à poser systématiquement :

• 📍 Où sont localisés physiquement les datacenters ? France ? Europe ? Autre ?
• 🌍 Quelles législations s’appliquent à votre prestataire ? Une filiale d’un groupe non européen reste soumise aux lois extraterritoriales de sa maison mère.
• 🔑 Qui détient les clés de chiffrement ? Si l’opérateur les détient seul, la confidentialité repose entièrement sur sa parole.

Pour des dossiers patients, la combinaison datacenters France + maison mère européenne + chiffrement maîtrisé reste le standard le plus protecteur. La protection des informations sensibles se joue souvent sur ces détails contractuels.

Réversibilité, continuité de service et engagements contractuels

Dernier point souvent négligé : que se passe-t-il si vous voulez changer de prestataire dans 5 ans ? Ou si l’opérateur subit une panne majeure ?

Trois engagements à exiger noir sur blanc dans le contrat :

• Réversibilité et migration : modalités de récupération de vos informations dans un format exploitable, dans un délai défini, sans surcoût
• Continuité de service : taux de disponibilité (SLA) garanti, plan de reprise d’activité, délai maximal de restauration en cas d’incident
• Notification d’incident : engagement à vous prévenir sous un délai contractuel précis en cas de violation

Sans ces clauses, vous êtes prisonnier du fournisseur et démuni en cas de problème. Un opérateur sérieux ne craint pas de s’engager sur ces sujets : c’est même un excellent test pour distinguer les acteurs sérieux des autres.

Hébergement HDS et GED santé : pourquoi ils vont de pair

Une GED santé qui n’est pas adossée à un opérateur certifié est techniquement hors-jeu. Dès lors qu’un dossier patient, une ordonnance ou un compte rendu transite dans votre solution documentaire, vous tombez sous le régime HDS. Le choix de la GED et celui de l’environnement d’hébergement sont donc indissociables.

Pour les établissements de santé et médico-sociaux, l’enjeu est double : sécuriser les documents sensibles et transformer une contrainte réglementaire en levier de productivité. Une GED hébergée chez un prestataire certifié apporte concrètement :

Le bénéfice le plus sous-estimé reste l’intégration aux outils métier. Une GED santé doit se connecter naturellement à vos logiciels (EIG, Harmony, SIGEMS…), à votre comptabilité et à vos outils RH. Sans ressaisie, sans rupture, sans export-import manuel. C’est ce qui transforme un projet conformité en projet productivité.

🎯 À retenir : confier ses dossiers patients à un prestataire qualifié n’est pas qu’une case à cocher pour rassurer la CNIL. Bien choisi et bien intégré, ce socle sécurise toute votre gestion documentaire santé du dossier patient à la facturation tiers payant.

Chez Deltic, nous accompagnons depuis plus de 10 ans les établissements de santé et médico-sociaux dans la structuration de leurs flux documentaires. Nos solutions reposent sur des environnements certifiés HDS, avec des datacenters en France, et une intégration pensée à partir de votre réalité métier dossier patient, facturation Sécu, conformité plutôt que l’inverse.

FAQ : Hébergement de données de santé

Quelle est la différence entre l’agrément HDS et la certification HDS ?

L’agrément était délivré par le ministère de la Santé jusqu’en 2018. C’était une autorisation administrative, ponctuelle et délivrée au cas par cas. Depuis cette date, ce système a été remplacé par une certification délivrée par un organisme indépendant accrédité par le COFRAC ou un équivalent européen. Le dispositif s’appuie sur un référentiel technique précis et fait l’objet d’audits réguliers, ce qui apporte un niveau de garantie bien supérieur. L’Agence du Numérique en Santé (ANS, ex-ASIP Santé) pilote l’évolution de ce cadre.

Mon serveur interne est-il une alternative valable à un hébergeur HDS ?

Non. Dès que vos informations médicales sont traitées dans un environnement informatique, vous tombez sous le régime du référentiel. Maintenir un serveur interne au niveau d’exigence requis (sécurité physique, ISO 27001, sauvegardes redondantes chiffrées, journalisation complète, MFA…) est techniquement possible mais financièrement et humainement hors de portée pour la quasi-totalité des établissements. Confier l’hébergement à un opérateur spécialisé, c’est faire le choix d’un niveau de sécurité industriel sans équivalent en interne.

Qui est responsable en cas de fuite de données patient ?

La responsabilité reste partagée. L’établissement de santé conserve son rôle de responsable du traitement au sens RGPD : c’est lui qui définit les finalités et les moyens. Le prestataire d’hébergement est sous-traitant et engage sa responsabilité sur la sécurité technique de l’environnement. En cas d’incident, les deux peuvent être mis en cause selon la nature de la défaillance. D’où l’importance d’un contrat clair sur les engagements respectifs.

Un éditeur de logiciel doit-il être lui-même certifié HDS ?

Oui, dès lors qu’il héberge ou traite des dossiers patients pour le compte de ses clients. Un éditeur peut soit obtenir directement la qualification, soit s’appuyer sur un opérateur certifié et s’inscrire dans le périmètre de cette certification. Dans les deux cas, vous devez pouvoir consulter le certificat et son périmètre exact avant la signature.

La certification HDS est-elle suffisante pour être conforme RGPD ?

Non, ce sont deux référentiels complémentaires. Le référentiel HDS couvre la sécurité technique de l’hébergement. Le RGPD impose en plus une série d’obligations sur la gouvernance des informations personnelles : registre des traitements, base légale, gestion des droits des personnes, notification d’incident, DPO… Un opérateur certifié facilite la conformité RGPD mais ne la remplace pas.