digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
La certification HDS est bien plus qu’un simple tampon sur votre site : c’est une condition sine qua non pour héberger des données de santé en toute légalité et en toute confiance. Et pourtant, nombreux sont les acteurs qui s’y prennent mal ou trop tard… Dans cet article, on vous explique clairement et concrètement tout ce que vous devez savoir pour devenir certifié HDS sans vous arracher les cheveux.
Ce qu’il faut retenir
- La certification HDS est obligatoire pour tout prestataire qui héberge ou infogère des données de santé à caractère personnel.
- Elle repose sur une double exigence : être certifié ISO 27001 et respecter un référentiel spécifique HDS.
- Elle concerne aussi bien les infrastructures physiques que les plateformes cloud ou les services SaaS.
- Le processus de certification comprend un audit sur site, des exigences techniques et documentaires, et un suivi régulier.
- Les organismes certificateurs doivent être accrédités par le Cofrac pour délivrer un certificat HDS valable.
- La certification est valable 3 ans, avec des audits de surveillance chaque année.
- Être certifié HDS renforce la confiance client, garantit la conformité légale et sécurise l’accès à des marchés réglementés.
- Se faire accompagner par un cabinet expert permet de gagner du temps et de réussir l’audit du premier coup.
Qu’est-ce que la certification HDS ?
Quelle est la définition de l’hébergement de données de santé ?
L’hébergement de données de santé (HDS), c’est tout simplement le fait de stocker, traiter ou gérer des données de santé à caractère personnel pour le compte d’un tiers.
Ça concerne aussi bien les hôpitaux que les éditeurs de logiciels de santé, les mutuelles, les start-ups en e-santé ou les infogéreurs.
Autrement dit, si votre activité touche de près ou de loin aux données médicales d’un patient, vous êtes concerné.
Ces données sont considérées comme sensibles au sens du RGPD, ce qui implique des obligations de sécurité renforcées, et donc… la certification HDS.
À quoi sert la certification HDS ?
La certification HDS est une obligation légale en France pour tout hébergeur de données de santé, qu’il s’agisse d’une personne physique ou morale.
Elle vise à :
- garantir la confidentialité, l’intégrité et la disponibilité des données de santé,
- renforcer la souveraineté numérique,
- encadrer l’hébergement sécurisé, que ce soit sur des infrastructures physiques ou cloud.
Elle offre aussi une forme de garantie commerciale : les clients et établissements de santé se tournent de plus en plus vers des prestataires certifiés HDS, car cela démontre un engagement fort en matière de sécurité et de conformité.
Quelle est la différence entre agrément et certification HDS ?
Avant 2018, les hébergeurs devaient obtenir un agrément HDS délivré par l’ASIP Santé (aujourd’hui l’Agence du numérique en santé).
Mais depuis l’entrée en vigueur du nouveau référentiel HDS, ce système a été remplacé par une certification délivrée par un organisme accrédité par le Cofrac.
Donc non, vous ne pouvez plus “vous auto-proclamer conforme” ni vous contenter d’un hébergement chez un prestataire “sérieux” : vous devez être certifié ou passer par un prestataire lui-même certifié HDS.
Qui est concerné par la certification HDS ?
Qui peut être certifié HDS ?
La certification HDS s’adresse à toute entreprise ou structure qui héberge des données de santé pour le compte d’autrui, que ce soit de manière directe (serveur physique) ou indirecte (cloud, infogérance, SaaS…).
Concrètement, cela peut inclure :
- des éditeurs de logiciels santé,
- des hébergeurs cloud (services d’hébergement),
- des infogéreurs,
- des sociétés de télémédecine,
- des start-ups dans le numérique en santé,
- des établissements de santé publique externalisant leur infrastructure.
Bref, si vous êtes un acteur du numérique en santé et que vous manipulez des informations médicales ou des données personnelles de patients, vous êtes dans le scope.
Quels types de services nécessitent la certification HDS ?
La certification couvre six activités distinctes définies par le référentiel HDS. Pour être certifié, vous devez déterminer les activités exactes que vous exercez parmi les suivantes :
- Mise à disposition et maintien en condition opérationnelle de l’infrastructure physique (infrastructure matérielle)
- Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement
- Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle
- Administration et exploitation du système d’information
- Sauvegarde externalisée des données de santé
- Mise à disposition d’un espace numérique pour le traitement des données
Et attention : vous devez être certifié pour chaque activité exercée. Il ne s’agit pas d’un package “tout-en-un”.
Est-ce obligatoire pour les prestataires cloud, SaaS ou infogéreurs ?
Oui. Même si vous n’exploitez pas directement les données, le simple fait de les héberger ou d’en assurer l’administration technique vous oblige à être certifié HDS.
C’est aussi valable pour les entreprises qui proposent des solutions SaaS dans le secteur santé : si les données de vos utilisateurs contiennent des informations médicales, vous êtes dans l’obligation de passer par un hébergeur certifié, ou d’obtenir la certification vous-même.
Quelles sont les exigences de la certification HDS ?
Quelles sont les normes et référentiels encadrant la certification ?
La certification HDS repose sur deux piliers complémentaires :
- La norme ISO/CEI 27001 pour le système de management de la sécurité de l’information (SMSI)
- Le référentiel de certification HDS, publié par l’Agence du numérique en santé, qui ajoute des exigences spécifiques au secteur santé
Autrement dit, vous ne pouvez pas être certifié HDS sans être certifié ISO 27001. C’est une condition incontournable.
Quelles sont les 6 activités HDS et leurs obligations respectives ?
Comme vu précédemment, le référentiel HDS distingue 6 activités, chacune ayant ses propres exigences techniques, organisationnelles et documentaires. En voici quelques exemples :
- Pour l’infrastructure physique, vous devrez fournir des preuves de sécurisation des locaux (accès, vidéosurveillance, alimentation électrique, etc.)
- Pour l’exploitation du système d’information, vous devrez démontrer que vous disposez de procédures de gestion des incidents, de suivi des accès et de reprise d’activité
- Pour la mise à disposition d’un espace numérique, vous devrez garantir la confidentialité des échanges, la sécurisation des connexions, et la traçabilité complète des accès
Quels documents et procédures sont requis ?
Attendez-vous à produire une véritable usine documentaire si vous partez de zéro.
Voici quelques incontournables :
- Politique de sécurité des systèmes d’information (PSSI)
- Plan de reprise d’activité (PRA) et plan de continuité (PCA)
- Registre des traitements des données de santé
- Analyse de risques (type EBIOS)
- Preuves de mise en œuvre effective des procédures (logs, journaux, tests…)
- Contrats de sous-traitance alignés sur les exigences HDS
Bref, ce n’est pas juste une affaire de sécurité technique. Il s’agit aussi de prouver que vous êtes organisé, rigoureux et capable de piloter votre conformité.
Quelles sont les exigences de sécurité à respecter ?
La certification impose une série d’exigences pour garantir la sécurité des données de santé. Parmi elles :
- Gestion des droits d’accès et des habilitations
- Journalisation et traçabilité des opérations
- Sécurisation des flux réseau et des API
- Chiffrement des données au repos et en transit
- Tests de vulnérabilités, audit de sécurité, revue de configuration
- Gestion des sauvegardes et des restaurations
- Mise à jour régulière des systèmes et gestion des correctifs
En clair : vous devez prouver que votre système d’information est pensé pour résister aux menaces actuelles et futures, et que vous avez les moyens humains, techniques et organisationnels pour tenir la barre.
Comment obtenir la certification HDS ?
Quelles sont les étapes de la procédure de certification HDS ?
Obtenir la certification HDS, ce n’est pas un sprint. C’est un véritable parcours structuré, en plusieurs étapes :
- Définir le périmètre des activités concernées
- Mettre en place ou renforcer le système de management de la sécurité (ISO 27001)
- Aligner son organisation et ses procédures avec les exigences du référentiel HDS
- Réaliser un audit blanc (recommandé) pour éviter les mauvaises surprises
- Contacter un organisme certificateur accrédité Cofrac
- Passer l’audit de certification HDS
- Obtenir le certificat, valable 3 ans
- Réussir les audits de surveillance annuels
Un conseil : ne vous lancez pas seul sans préparation, surtout si vous n’avez jamais mis en place de SMSI auparavant. Vous risquez de vous prendre le mur à l’audit.
Comment se déroule l’audit initial ?
L’audit est réalisé sur site (et/ou sur vos environnements cloud), par un organisme certificateur accrédité par le Cofrac (comme Afnor, Apave Certification, LNE…).
L’auditeur vérifie que :
- votre infrastructure est sécurisée
- vos processus sont en place et maîtrisés
- vos documents sont conformes et à jour
- vos évidences prouvent que vous appliquez ce que vous déclarez
C’est un examen de passage sérieux, pas une formalité.
Combien de temps faut-il pour obtenir la certification ?
En moyenne, comptez 6 à 12 mois de préparation si vous partez de zéro.
Cela peut aller plus vite si vous êtes déjà certifié ISO 27001 ou si vous êtes bien structuré.
L’audit en lui-même prend généralement quelques jours, mais tout dépend de la taille de votre structure, du nombre de sites concernés, du périmètre, etc.
Quels organismes sont accrédités pour certifier HDS ?
Seuls les organismes certificateurs accrédités par le Cofrac sont autorisés à délivrer un certificat HDS valable.
Vous les trouverez sur le site du Cofrac, ou via l’ANS (Agence du numérique en santé).
Quelques noms connus :
- Afnor Certification
- Apave Certification
- LNE
- Bureau Veritas Certification
Vérifiez bien que leur accréditation est à jour pour éviter les déconvenues.
Faut-il passer par une certification ISO 27001 ?
Oui. C’est obligatoire.
La certification HDS ne peut pas exister sans la certification ISO 27001. Elle s’appuie dessus pour structurer toute la partie gouvernance et sécurité du système d’information.
Donc si vous ne l’avez pas encore, c’est votre première étape.
Quels sont les coûts à prévoir ?
Ah, la fameuse question budget.
Le coût de la certification HDS dépend de plusieurs facteurs :
- la taille de votre entreprise
- le nombre d’activités HDS couvertes
- le nombre de sites audités
- la complexité de votre SI
Mais à titre indicatif :
- Préparation interne ou accompagnement externe : 10 à 30 k€
- Audit de certification initiale : 5 à 15 k€
- Audits de surveillance annuels : 3 à 8 k€ / an
Bref, c’est un investissement. Mais un investissement stratégique, surtout si vous visez les marchés réglementés ou les clients santé.
Quelle est la durée de validité de la certification HDS ?
Quelle est la fréquence des audits de surveillance ?
Une fois la certification obtenue, ce n’est pas terminé. Vous entrez dans une phase de surveillance continue.
Concrètement, l’organisme certificateur réalise :
- 1 audit de surveillance par an, pendant les 2 premières années
- un audit de renouvellement complet avant la fin de la 3e année
Ces audits annuels servent à vérifier que :
- vous maintenez les exigences du référentiel HDS et de la norme ISO 27001,
- vos évolutions techniques et organisationnelles sont bien maîtrisées,
- les non-conformités (le cas échéant) ont bien été corrigées.
Quand faut-il renouveler sa certification HDS ?
La certification HDS est valable 3 ans.
Avant l’échéance, vous devez anticiper et planifier un audit de renouvellement (encore appelé “re-certification”).
À ne pas confondre avec l’audit de surveillance : ici, on repart sur un audit complet, comme si c’était la première fois.
Et si vous ratez le coche… votre certificat expire. Et ça, c’est le genre de nouvelle qui ne passe pas inaperçue auprès de vos clients.
Que se passe-t-il en cas de non-conformité ?
Tout dépend du niveau de gravité :
- Une non-conformité mineure peut donner lieu à un plan d’actions correctives avec un délai pour mise en conformité.
- Une non-conformité majeure, surtout si elle touche un point critique (ex. : sécurité des accès, sauvegardes, journalisation), peut suspendre ou annuler votre certification.
Dans tous les cas, un suivi strict est réalisé par le certificateur. Et vous devez pouvoir fournir la preuve que les actions correctives ont bien été appliquées.
Moralité : le maintien de la certification, ce n’est pas une case à cocher une fois tous les trois ans. C’est un engagement permanent.
Quels sont les avantages de la certification HDS ?
Pourquoi se faire certifier même si ce n’est pas obligatoire ?
Vous pensez que ça ne vous concerne pas parce que vous êtes un éditeur SaaS et que vous “ne faites pas vraiment de l’hébergement” ? Mauvaise pioche.
Même si la loi ne vous impose pas directement d’être certifié HDS, vos clients, eux, risquent de vous le demander très vite.
Et sans cette certification, vous serez rapidement écarté de certains appels d’offres ou contrats dans la santé.
Donc non, ce n’est pas juste pour “les gros hébergeurs”. C’est un avantage concurrentiel clair.
Quels bénéfices en termes de confiance, de business et de conformité ?
La certification HDS, c’est un levier puissant de crédibilité :
- Elle prouve que vous respectez les exigences réglementaires en matière de sécurité des données de santé
- Elle renforce la confiance de vos clients et partenaires
- Elle vous ouvre l’accès à des marchés réglementés (hôpitaux, mutuelles, plateformes gouvernementales…)
- Elle valorise votre maturité en cybersécurité et votre capacité à gérer des informations sensibles
En résumé ? Vous rassurez vos prospects, vous réduisez vos risques juridiques, et vous prenez une longueur d’avance sur la concurrence.
Comment valoriser sa certification HDS auprès des clients et partenaires ?
Une fois le certificat HDS obtenu, ne le rangez pas dans un tiroir. Mettez-le en avant :
- sur votre site, dans une page dédiée à la sécurité ou à la conformité
- dans vos présentations commerciales et vos réponses à appels d’offres
- en signature d’email, avec un lien vers le certificat
- lors de vos démarches de prospection, pour asseoir votre légitimité
C’est un gage de sérieux, mais aussi une preuve tangible de votre capacité à gérer des données critiques.
Quelles sont les bonnes pratiques pour réussir sa certification ?
Comment bien préparer son organisation en amont ?
Le succès d’une certification HDS repose à 80 % sur une bonne préparation.
Voici les fondamentaux :
- Définir un périmètre clair : quelles activités ? quels sites ? quels systèmes ?
- Identifier un pilote de projet (RSSI, DSI, directeur qualité…) avec du temps dédié
- Faire un état des lieux : quelles sont vos forces, vos lacunes, vos procédures actuelles ?
- Lister les exigences du référentiel et les croiser avec vos pratiques réelles
- Impliquer les équipes concernées dès le début (IT, sécurité, juridique, qualité, etc.)
Ne sous-estimez pas le poids de la documentation : tout doit être structuré, formalisé et prouvable.
Quels pièges éviter pendant l’audit HDS ?
L’audit n’est pas là pour vous piéger, mais il est sans concession. Quelques erreurs classiques à éviter :
- Arriver avec des documents “modèles” sans preuve de mise en œuvre réelle
- Négliger les sujets “périphériques” comme les locaux, l’alimentation électrique ou la gestion des sous-traitants
- Laisser un consultant parler à votre place sans maîtrise du terrain
- Oublier de cohérenter tous les documents entre eux (oui, l’auditeur va tout recouper)
- Ne pas savoir expliquer simplement les choix de sécurité ou les procédures mises en place
L’authenticité paie. Le flou, non.
Comment embarquer les équipes internes ?
Un système HDS efficace repose sur l’adhésion des équipes. Et ça ne se décrète pas.
- Communiquez clairement sur les enjeux : conformité, sécurité, image, business
- Formez les collaborateurs concernés (et pas uniquement les informaticiens !)
- Mettez en place des routines simples : revues de droits, tests de restauration, remontée des incidents…
- Valorisez les efforts : la certification est un projet collectif, pas une mission punitive
Un personnel impliqué, c’est un audit plus fluide et un système plus robuste.
Pourquoi se faire accompagner par un cabinet expert en conformité ?
Soyons honnêtes : le référentiel HDS est dense, technique et exigeant.
Et si vous n’avez jamais piloté une certification ISO ou une démarche cybersécurité, vous allez ramer.
Un cabinet expert vous permet de :
- gagner du temps (et éviter de refaire 3 fois la même chose)
- prioriser les actions avec méthode
- rédiger les documents exigés dans le bon format, avec les bons indicateurs
- préparer l’audit avec des simulations réalistes
- rassurer les auditeurs en montrant que vous êtes bien accompagnés
C’est un investissement, mais dans la majorité des cas, c’est ce qui fait la différence entre un projet qui passe… et un projet qui cale.
FAQ sur la certification HDS
La certification HDS est-elle obligatoire pour tous ?
Non, pas pour tous.
Mais dès que vous hébergez, traitez ou stockez des données de santé pour un tiers, elle devient obligatoire.
Même si vous sous-traitez l’hébergement, vous êtes responsable de choisir un prestataire certifié HDS.
Donc si vous êtes dans le doute… vous êtes probablement concerné.
Peut-on certifier uniquement certaines activités ?
Oui. Vous pouvez limiter le périmètre de certification à certaines des 6 activités HDS (ex. : uniquement la sauvegarde externalisée ou la plateforme d’hébergement).
Mais attention : vous ne serez certifié que pour les activités auditées. Et ça doit être cohérent avec votre modèle d’affaires.
Certifier un seul maillon quand vous êtes responsable de l’ensemble de la chaîne ? Mauvaise stratégie.
Que faire en cas d’incident de sécurité pendant le processus ?
Si un incident se produit pendant ou juste avant votre audit (perte de données, accès non autorisé, etc.), ne le cachez surtout pas.
- Documentez ce qui s’est passé
- Décrivez les mesures prises
- Tirez-en des enseignements (revue post-mortem, renforcement des contrôles…)
L’auditeur ne cherche pas la perfection, mais la capacité à détecter, réagir et s’améliorer.
Faire l’autruche, en revanche, c’est éliminatoire.
Conclusion : se certifier HDS, une démarche stratégique pour les acteurs de la santé
La certification HDS, ce n’est pas juste un label technique : c’est un signal fort de fiabilité, de conformité et d’engagement envers la protection des données de santé. C’est aussi un levier business, une assurance réglementaire, et une preuve de maturité organisationnelle.Alors oui, c’est exigeant. Mais vous avez désormais toutes les cartes en main pour réussir. Et si vous ne voulez pas y aller seul, faites-vous accompagner. Votre temps, votre image et vos contrats valent bien ça.
