Certification HDS Hébergeur Données Santé : AWS, Azure, Cloud (36 Exigences)

Certification HDS hébergeur données santé : pilotez les 36 exigences réglementaires, 6 activités certifiables (cloud AWS/Azure/OVH, DPI, imagerie). Plateforme GRC DSI/RSSI santé, gap analysis automatisée, roadmap 6-12 mois. Coût 15-80K€. Démo gratuite 20min.

Réserver RDV gratuit

Qu'est-ce que la Certification HDS ? (Hébergeur Données Santé)

La certification Hébergeur de Données de Santé (HDS) est une certification obligatoire en France pour toute entreprise qui héberge des données de santé à caractère personnel. Créée par la loi de modernisation du système de santé de 2016, elle garantit que l'hébergeur HDS respecte des exigences strictes en matière de sécurité, de confidentialité et de traçabilité des données de santé.

La certification HDS est délivrée par des organismes certificateurs accrédités par le COFRAC (Comité Français d'Accréditation) pour une durée de 3 ans. Elle repose sur le référentiel défini par l'Arrêté du 11 octobre 2018. Les hébergeurs de données de santé certifiés figurent sur la liste officielle publiée par l'ASIP Santé.

Que vous soyez un hébergeur cloud santé, un éditeur de logiciel médical (DPI, LGC), un établissement de santé ou un prestataire d'infogérance, la certification HDS vous concerne si vous manipulez ou stockez des données de santé personnelles. Les serveurs HDS doivent être localisés en France ou dans l'Union Européenne.

Obligation légale

Depuis le 1er avril 2018, l'hébergement de données de santé personnelles sans certification HDS constitue une infraction pénale passible de sanctions. Les hébergeurs non certifiés encourent jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende.

Qui est Concerné par la Certification HDS ?

Hébergeurs concernés

  • Cloud santé : hébergeurs cloud HDS (AWS HDS, Azure HDS, OVH Cloud, serveurs HDS)
  • Éditeurs de logiciels de santé (DPI, LGC, imagerie médicale)
  • Plateformes SaaS manipulant des données de santé
  • Prestataires d'infogérance santé et datacenters
  • Hébergeurs de dispositifs médicaux connectés (IoT médical)

Producteurs de données concernés

  • Établissements de santé (hôpitaux, cliniques)
  • Médecins, pharmaciens, laboratoires d'analyse
  • EHPAD et établissements médico-sociaux
  • Mutuelles et compagnies d'assurance santé
  • Applications et services de télémédecine

Important : Les établissements de santé qui hébergent eux-mêmes leurs données (sur site) doivent également obtenir la certification HDS, sauf dérogation limitée pour les établissements publics de santé ayant fait une déclaration avant 2018.

Les 6 Activités Certifiables HDS

La certification HDS couvre 6 activités distinctes. Les hébergeurs choisissent les activités qu'ils souhaitent certifier :

1

Mise à disposition et maintien en condition opérationnelle des sites physiques

Gestion des datacenters et infrastructures physiques (sécurité physique, alimentation électrique, climatisation, contrôle d'accès).

2

Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle

Gestion de l'infrastructure cloud, virtualisation, stockage, réseau, sécurité logique (firewalls, IDS/IPS).

3

Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement d'applications

Gestion des serveurs applicatifs, middleware, bases de données, systèmes d'exploitation.

4

Sauvegarde externalisée des données de santé

Gestion des sauvegardes, plans de reprise d'activité (PRA), continuité d'activité (PCA), réplication des données.

5

Administration et exploitation du système d'information contenant les données de santé

Gestion quotidienne, supervision, monitoring, gestion des incidents, maintenance applicative et système.

6

Services de test de reprise de données de santé

Tests réguliers de restauration des données, validation des PRA/PCA, exercices de gestion de crise.

Note : Un hébergeur peut être certifié pour une ou plusieurs activités. Les établissements de santé doivent vérifier que leur hébergeur couvre bien toutes les activités correspondant à leurs besoins.

Les 36 Exigences du Référentiel HDS

Le référentiel HDS comporte 36 exigences réparties en 7 domaines :

1. Traçabilité et gestion des incidents

  • • Journalisation de tous les accès et actions sur les données
  • • Gestion et notification des incidents de sécurité
  • • Conservation des logs pendant minimum 6 mois
  • • Procédure de gestion des violations de données

2. Sécurité des systèmes d'information

  • • Politique de sécurité SI documentée et appliquée
  • • Gestion des droits d'accès et des habilitations
  • • Chiffrement des données sensibles
  • • Sécurisation des flux réseaux
  • • Protection contre les malwares et intrusions
  • • Tests de vulnérabilité réguliers

3. Infrastructure et hébergement

  • • Sécurité physique des datacenters (contrôle d'accès, vidéosurveillance)
  • • Redondance des équipements critiques
  • • Plan de continuité et de reprise d'activité
  • • Sauvegarde des données avec tests de restauration
  • • Hébergement en France ou dans l'UE

4. Organisation et processus

  • • Procédures documentées pour toutes les opérations
  • • Gestion des changements et des mises à jour
  • • Contrats clients conformes aux exigences HDS
  • • Gestion de la sous-traitance

5. Gestion des ressources humaines

  • • Clauses de confidentialité dans les contrats de travail
  • • Formation et sensibilisation du personnel
  • • Gestion des départs (révocation des accès)

6. Conformité RGPD et réglementaire

  • • Conformité au RGPD (registre, PIA, droits des personnes)
  • • Respect du secret médical
  • • Localisation des données en France ou UE
  • • Audits de conformité réguliers

7. Amélioration continue

  • • Revue annuelle des risques
  • • Audits internes et externes
  • • Veille technologique et réglementaire
  • • Actions correctives et préventives

Le Processus de Certification HDS en 7 Étapes

1

Auto-évaluation et gap analysis

Évaluez votre niveau de maturité par rapport aux 36 exigences du référentiel HDS. Identifiez les écarts et établissez un plan d'action.

Durée : 1-2 mois

2

Mise en conformité

Implémentez les mesures techniques et organisationnelles nécessaires : sécurité SI, procédures, contrats, formation, journalisation, PRA/PCA.

Durée : 6-12 mois

3

Constitution du dossier de certification

Rassemblez toutes les preuves de conformité : politiques, procédures, rapports d'audit, contrats, registres, résultats des tests.

Durée : 1-2 mois

4

Choix de l'organisme certificateur

Sélectionnez un organisme accrédité COFRAC parmi : AFNOR Certification, BSI, LSTI, SGS ICS, Bureau Veritas.

Durée : quelques semaines

5

Audit documentaire

L'organisme certificateur examine votre documentation pour vérifier la conformité théorique aux exigences HDS.

Durée : 1-2 mois

6

Audit sur site

Visite du datacenter et des locaux, entretiens avec les équipes, vérification de la mise en œuvre effective des mesures de sécurité.

Durée : 2-5 jours d'audit + traitement des écarts

7

Délivrance du certificat

Si l'audit est concluant, le certificat HDS est délivré pour 3 ans. Des audits de surveillance sont réalisés chaque année.

Validité : 3 ans avec audits annuels

Durée totale du projet : Comptez entre 9 et 18 mois selon votre niveau de maturité initial et la complexité de votre infrastructure.

Coût : Entre 15 000 € et 80 000 € selon le périmètre certifié, les activités couvertes et la taille de l'infrastructure.

Piloter Votre Certification HDS avec OwlCub

Plateforme GRC professionnelle pour DSI et RSSI : gérez votre projet de certification, maintenez votre conformité et préparez vos audits de surveillance.

Gap Analysis & Roadmap

Évaluez votre conformité aux 36 exigences HDS. Générez automatiquement votre roadmap de mise en conformité avec jalons et livrables.

Tableaux de Bord Conformité

Pilotez votre niveau de conformité par domaine et activité. KPIs temps réel pour reportings direction et comité de pilotage.

Gestion Documentaire Centralisée

Registres exigés par le référentiel, templates de politiques et procédures, versioning et workflow de validation.

Gestion Preuves d'Audit

Référentiel centralisé de preuves : logs, rapports tests, certificats, PV. Mapping automatique exigences-preuves pour auditeurs.

Gestion de Projet & Plans d'Action

Planification projet, affectation responsabilités, suivi avancement, alertes échéances. Méthode Gantt et Kanban.

Préparation Audits Surveillance

Suivi continu conformité post-certification. Génération rapports d'audit, traçabilité des modifications, historique des actions.

Réserver ma démo HDS

Questions Fréquentes sur la Certification HDS

Qu'est-ce qu'une donnée de santé selon le Code de la santé publique ?

Les données de santé à caractère personnel sont définies à l'article L.1111-8 du Code de la santé publique. Il s'agit des données concernant la santé physique ou mentale d'une personne, y compris des informations sur des services de soins de santé qui lui ont été fournis. Cela inclut : dossiers médicaux, résultats d'examens, ordonnances, comptes rendus d'hospitalisation, données de remboursement, données génétiques, etc. Même les données pseudonymisées sont concernées si elles sont réidentifiables.

Mon hébergeur cloud (AWS, Azure, GCP) est-il certifié HDS ?

Les principaux fournisseurs cloud disposent de certifications HDS pour certains de leurs services en France :

  • AWS : Certaines régions et services (EC2, S3, RDS) sont certifiés HDS via AWS France
  • Microsoft Azure : Azure France (régions Paris et Marseille) dispose de la certification HDS
  • Google Cloud : GCP dispose de la certification HDS pour certains services
  • OVHcloud : Certifié HDS pour plusieurs datacenters français

Important : Vérifiez systématiquement le certificat HDS de votre hébergeur et assurez-vous que les activités certifiées couvrent bien vos besoins. La responsabilité du choix d'un hébergeur certifié incombe au producteur de données de santé.

La certification HDS est-elle obligatoire pour tous les établissements de santé ?

Oui, sauf dérogation. Depuis le 1er avril 2018, tout hébergement de données de santé personnelles doit être réalisé par un hébergeur certifié HDS. Les établissements de santé qui hébergent leurs propres données (on premise) sont également concernés et doivent obtenir la certification, sauf les établissements publics de santé ayant effectué une déclaration avant 2018 (dérogation temporaire). Les cabinets médicaux, laboratoires, pharmacies qui hébergent localement leurs données sont aussi concernés s'ils utilisent un système informatisé.

Quelle est la différence entre HDS et ISO 27001 ?

La certification ISO 27001 est une norme internationale de management de la sécurité de l'information qui s'applique à tous les secteurs. La certification HDS est une certification française spécifique au secteur de la santé, avec des exigences particulières liées au secret médical, à la traçabilité et aux contraintes réglementaires du secteur. L'ISO 27001 est un prérequis utile mais pas suffisant pour obtenir l'HDS. En pratique, beaucoup d'hébergeurs obtiennent d'abord l'ISO 27001 puis la certification HDS qui va plus loin sur certains aspects.

Puis-je héberger mes données de santé hors de France ?

Oui, mais uniquement dans l'Union Européenne ou l'Espace Économique Européen. Le référentiel HDS exige que les données de santé soient hébergées en France ou dans l'UE/EEE. L'hébergement hors UE (États-Unis, Suisse, etc.) est interdit, même avec des garanties de sécurité. Cette exigence vise à garantir la souveraineté des données de santé françaises et le respect du RGPD.

Combien coûte une certification HDS et quelle est sa durée de validité ?

Le coût varie entre 15 000 € et 80 000 € selon le périmètre certifié (nombre d'activités, taille de l'infrastructure, complexité). Ce coût inclut les frais de l'organisme certificateur, mais pas les coûts de mise en conformité (consultants, outils, formation). La certification HDS est valable 3 ans, avec des audits de surveillance annuels (coût : 5 000 à 15 000 € par an). Au bout de 3 ans, un audit de renouvellement complet doit être réalisé.

Prêt à Obtenir Votre Certification HDS ?

OwlCub vous accompagne dans toutes les étapes de votre projet de certification HDS.

Réserver mon RDV gratuit