Données de santé : sensibles, stratégiques… et dans le viseur des cyberpirates. En 2025, l’hébergement des données de santé est plus que jamais un enjeu juridique et opérationnel pour les établissements de santé. Quelles sont vos obligations légales ? Comment choisir un hébergeur certifié HDS ? Que faire en cas de sous-traitance ou d’hébergement interne ? Cet article vous donne les clés pour protéger les données de vos patients… et anticiper les risques numériques.
Ce que dit la loi sur l’hébergement des données de santé
L’hébergement des données de santé est régi par les dispositions de l’article L. 1111-8 du Code de la santé publique.
Le texte prévoit que toute personne physique ou morale qui héberge des données de santé à caractère personnel sur support numérique doit être certifiée à cet effet. Cette obligation de certification s’applique dès lors que le prestataire réalise, pour le compte d’un responsable de traitement ou du patient, tout ou partie des six activités définies à l’article R. 1111-9 du code de la santé publique.
Procédures de certification de l’hébergement des données
La nouvelle procédure de certification pour l’hébergement de données de santé à caractère personnel sur support numérique est venue remplacer l’ancienne procédure d’agrément sur support numérique.
Elle s’appuie sur la nouvelle version du référentiel HDS (Hébergeur de Données de Santé) publiée au Journal officiel le 16 mai 2024.
Elle reste alignée sur les normes ISO 27001 et renforce la sécurité, la confidentialité et la souveraineté des données. Elle clarifie le périmètre des activités des hébergeurs, précise les obligations contractuelles et impose notamment que l’hébergement physique des données se fasse dans l’Espace économique européen, avec transparence en cas d’accès depuis un pays tiers.
Les nouveaux candidats à la certification sont évalués selon ce référentiel depuis le 16 novembre 2024. Les hébergeurs déjà certifiés disposent d’un délai de transition jusqu’au 16 mai 2026 pour se mettre en conformité.
L’évolution de cette procédure a pour objectif d’accroître la sécurité des données de santé hébergées :
- Elle complète les audits documentaires par des audits sur site ;
- Elle réduit les délais d’instruction des demandes des hébergeurs ;
- Elle visibilise le dispositif à l’international en s’appuyant sur des certifications ISO largement répandues aux échelles européenne et mondiale.
Bon à savoir
En pratique, l’activité d’hébergement de données de santé est encadrée par une évaluation de conformité à un référentiel de certification, délivrée par un organisme de certification accrédité par le Comité Français d’Accréditation, le COFRAC (ou équivalent au niveau européen).
Les activités d’hébergement de données de santé soumises à certification
La certification HDS concerne toute personne physique ou morale qui réalise tout ou partie des activités d’hébergement de données de santé définies par l’article R. 1111-9 du code de la santé publique. Le périmètre de certification est défini par les activités suivantes :
- La mise à disposition et le maintien en condition opérationnelle de sites physiques ;
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle ;
- La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ;
- La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications ;
- L’administration et l’exploitation du système d’information contenant les données de santé ;
- La sauvegarde externalisée des données de santé.
Bon à savoir
Le certificat de conformité délivré à l’hébergeur doit préciser la liste exacte des activités certifiées parmi celles mentionnées ci-dessus.
Si tous les systèmes informatiques de l’établissement de santé stockent des données concernant exclusivement des patients admis au sein de la structure, la certification d’hébergeur n’est pas une obligation réglementaire (sauf s’il exerce une activité d’hébergement pour le compte de tiers, selon l’ANS).
Bon à savoir
Le compte à rebours est lancé ! Les hébergeurs de données de santé ont jusqu’au 16 mai 2026 pour obtenir la nouvelle certification HDS (version 2.0).
Pourquoi ? Cette mise à jour s’aligne sur les dernières normes de sécurité internationales (ISO 27001 :2022) et renforce le contrôle sur les prestataires soumis à des lois extra-européennes.
Attention à l’urgence : L’Agence du Numérique en Santé (ANS) alerte sur un risque d’engorgement des organismes certificateurs.
La conséquence : Passé cette date, aucune dérogation ne sera possible. Il sera illégal de continuer à héberger des données de santé sans être certifié HDS 2.0.
La certification HDS : un gage de confiance et de conformité
La certification Hébergeur de Données garantit que :
- L’infrastructure respecte des normes de sécurité élevées (souvent basées sur l’ISO 27001) ;
- Les données sont hébergées en France ou dans l’UE, sauf dérogation ;
- Les accès sont strictement contrôlés et tracés ;
Les incidents sont détectés, remontés et traités selon des procédures formalisées.
Bon à savoir
Pour les établissements de santé, travailler avec un hébergeur certifié HDS permet de se conformer à la réglementation, tout en bénéficiant d’une infrastructure sécurisée et éprouvée.
Les obligations des établissements de santé
Pour les établissements de santé, la gestion de l’hébergement des données de santé est un enjeu double : respect réglementaire strict et garantie de la sécurité des systèmes d’information.
Même si un établissement de santé héberge ses propres données en interne (et n’a donc pas l’obligation d’obtenir une certification HDS), il doit tout de même :
- Assurer la conformité de son système d’information aux exigences de sécurité définies par la réglementation (Politique Générale de Sécurité des Systèmes d’Information de Santé-PGSSI-S, le Règlement général sur la protection des données-RGPD, référentiel général de sécurité-RGS, etc.) ;
- Nommer un Délégué à la Protection des Données (DPO) ;
- Mettre en place une politique de cybersécurité robuste, intégrant la sauvegarde régulière, le contrôle des accès, et la traçabilité des consultations ;
- Prévoir une auditabilité de ses systèmes, notamment en cas de contrôle de la Commission Nationale de l’Informatique et des Libertés (CNIL) ou de l’Agence Régionale de Santé, ARS.
Bon à savoir
Enfin, en cas de sous-traitance de l’hébergement à un tiers (cloud, prestataire IT), l’établissement devient responsable du choix d’un hébergeur certifié HDS, même s’il ne réalise pas directement l’hébergement.
FAQ
Qu’est-ce que l’hébergement des données de santé ?
L’hébergement des données de santé désigne toute activité visant à stocker, traiter ou archiver des données à caractère personnel relatives à la santé, qu’elles soient sur support numérique ou papier. Il est encadré par l’article L. 1111-8 du Code de la santé publique et nécessite le recours à des hébergeurs agréés ou certifiés selon le cas.
Quelles structures sont concernées par la certification HDS ?
Toute organisation (entreprise, start-up, prestataire, etc.) qui héberge des données de santé pour le compte d’un tiers doit être certifiée HDS. Cela inclut les éditeurs de logiciels de santé en mode SaaS, les prestataires cloud, les hébergeurs IT spécialisés, etc.
Un établissement de santé a-t-il besoin d’une certification HDS ?
Pas nécessairement, tout dépend de la situation :
- Si l’établissement gère des données pour un tiers et utilise son infrastructure pour stocker des données de santé pour le compte d’une autre entité (par exemple un autre hôpital), il agit alors comme un hébergeur. Dans ce cas de figure, la certification HDS devient obligatoire pour cette activité d’hébergement.
- Si l’établissement gère les données de ses propres patients : il est Responsable de Traitement. Pour cette activité, même s’il gère ses propres serveurs en interne, il n’a pas besoin de la certification HDS. Il doit bien sûr garantir la sécurité des données et respecter le RGPD.
Quelle est la durée de validité de la certification HDS ?
La certification HDS est valable pour une durée de 3 ans, avec des audits de surveillance annuels.
L’hébergement des données de santé peut-il être assuré en dehors de l’Union européenne ?
Oui, les données de santé peuvent être hébergées en dehors de l’Union européenne, mais les conditions sont très strictes. Le RGPD exige que le pays d’accueil garantisse un niveau de protection identique à celui de l’Europe. Pour éviter tout risque, la solution la plus simple et la plus sûre est donc de rester dans l’UE et de choisir un partenaire certifié « Hébergeur de Données de Santé » (HDS).
Est-ce que l’assurance cyber est obligatoire pour les établissements de santé ?
L’assurance cyber n’est pas obligatoire pour les établissements de santé. Elle permet cependant de couvrir les coûts liés à la récupération des données, aux audits, et à la perte en réputation en cas d’attaque cyber.
