Skip to content
Glossaire

HDS (Hébergement de Données de Santé)

La certification HDS est un agrément français obligatoire pour tout hébergeur de données de santé à caractère personnel, garantissant un niveau de sécurité adapté à la sensibilité de ces données.

11 min de lecture Thomas Ferreira

Qu’est-ce que la certification HDS ?

La certification HDS (Hébergement de Données de Santé) est un cadre réglementaire français qui encadre l’hébergement des données de santé à caractère personnel. Créée par l’article L.1111-8 du Code de la santé publique, elle est devenue obligatoire en 2018 et a remplacé l’ancien agrément délivré par l’ASIP Santé (aujourd’hui l’ANS — Agence du Numérique en Santé).

Pourquoi cette certification existe

Les données de santé comptent parmi les informations personnelles les plus sensibles. Un dossier médical contient des diagnostics, des résultats d’analyses, des prescriptions, des comptes rendus d’hospitalisation — des informations dont la fuite peut avoir des conséquences directes sur la vie des patients (discrimination à l’embauche, refus d’assurance, chantage).

Le RGPD classe les données de santé dans les “catégories particulières” de données personnelles (article 9) et impose des mesures de protection renforcées. La certification HDS traduit cette exigence européenne en un cadre opérationnel auditable, adapté au contexte français.

Ce que HDS couvre concrètement

La certification garantit que l’hébergeur met en œuvre des mesures de sécurité adaptées à la sensibilité des données de santé : chiffrement, contrôle d’accès strict, traçabilité complète, plans de continuité d’activité, gestion des incidents, et sensibilisation du personnel.

Qui est concerné par HDS ?

L’obligation s’applique à toute entité qui héberge des données de santé à caractère personnel pour le compte d’un tiers — c’est-à-dire pour le compte d’un établissement de santé, d’un professionnel de santé, ou d’un patient.

Les deux périmètres de certification

La certification HDS distingue deux activités, correspondant à deux niveaux de certification :

1. Hébergeur d’infrastructure physique — l’entité qui fournit et opère les locaux, l’énergie, le refroidissement et la sécurité physique des datacenters. Ce périmètre couvre la mise à disposition de l’infrastructure matérielle sur laquelle seront stockées les données de santé.

2. Hébergeur infogéreur — l’entité qui administre la plateforme logicielle (systèmes d’exploitation, bases de données, sauvegardes, supervision) et/ou les applications qui traitent les données de santé. Ce périmètre couvre l’infogérance, le PaaS (Platform as a Service) et le SaaS (Software as a Service).

Un prestataire peut détenir l’une des deux certifications, ou les deux.

Exemples d’entités concernées

  • Fournisseurs de cloud qui hébergent des applications de santé (OVHcloud, Scaleway, Azure — tous certifiés HDS sur leurs offres santé)
  • Éditeurs SaaS pour le secteur médical : logiciels de gestion de cabinet, dossiers patients informatisés, téléconsultation, messagerie de santé
  • Prestataires d’infogérance qui administrent les systèmes informatiques d’hôpitaux ou de cliniques
  • Sociétés de sauvegarde externalisée qui stockent des copies de données de santé

Qui n’est pas concerné

Un établissement de santé qui héberge ses propres données sur ses propres serveurs, dans ses propres locaux, n’est pas soumis à la certification HDS. L’obligation porte sur l’hébergement pour le compte d’un tiers. En revanche, l’établissement reste soumis au RGPD, à la directive NIS2 et aux référentiels de la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé) publiés par l’ANS.

HDS et ISO 27001

La certification HDS n’est pas un référentiel autonome. Elle est construite par-dessus la norme ISO 27001, le standard international de management de la sécurité de l’information.

Le principe d’empilement

Pour obtenir la certification HDS, un hébergeur doit :

  1. Être certifié ISO 27001 — c’est un prérequis. L’organisme certificateur vérifie la conformité au standard ISO 27001 dans son intégralité : politique de sécurité, analyse de risques, déclaration d’applicabilité, audits internes, revue de direction.
  2. Satisfaire les exigences HDS spécifiques — des contrôles supplémentaires portant sur la protection des données de santé, la localisation des données, les obligations de notification et la réversibilité.

Ce modèle a un avantage : les hébergeurs déjà certifiés ISO 27001 n’ont pas à reconstruire leur système de management depuis zéro. Ils étendent leur périmètre avec les contrôles spécifiques au secteur de la santé.

Les exigences ISO 27001 reprises par HDS

Parmi les clauses ISO 27001 que HDS renforce :

  • Clause 7.3 — Sensibilisation : le personnel qui intervient sur les données de santé doit être formé et sensibilisé aux enjeux de sécurité spécifiques au secteur
  • Clause 8.1 — Planification et maîtrise opérationnelles : les processus de traitement des données de santé doivent être documentés et contrôlés
  • Annexe A — Contrôle d’accès : les accès aux données de santé doivent être tracés et revus régulièrement
  • Annexe A — Gestion des incidents : les incidents affectant des données de santé doivent être notifiés au responsable de traitement dans des délais définis

Les exigences de sécurité HDS

Au-delà du socle ISO 27001, le référentiel HDS impose des mesures spécifiques organisées autour de plusieurs axes.

Protection des données

  • Chiffrement des données au repos et en transit, avec gestion documentée des clés de chiffrement
  • Cloisonnement entre les données de différents clients (multi-tenancy sécurisé)
  • Localisation des données : l’hébergeur doit informer le client de la localisation géographique des données et obtenir son accord pour tout transfert

Contrôle d’accès et traçabilité

  • Gestion stricte des accès : authentification forte, principe du moindre privilège, revue régulière des habilitations
  • Journalisation complète : toute action sur les données de santé (lecture, modification, suppression, export) doit être tracée
  • Conservation des logs : les journaux d’accès doivent être conservés et protégés contre la modification

Gestion des incidents

  • Procédure de détection et réponse aux incidents de sécurité documentée et testée
  • Notification : l’hébergeur doit signaler tout incident affectant les données de santé au responsable de traitement dans les délais contractuels
  • Plan de gestion de crise avec rôles et responsabilités définis

Continuité d’activité

  • Plan de reprise d’activité (PRA) testé et documenté
  • Sauvegardes régulières avec tests de restauration
  • Redondance des infrastructures pour garantir la disponibilité des données

Sécurité du personnel

  • Vérification des antécédents du personnel ayant accès aux données de santé
  • Clauses de confidentialité dans les contrats de travail
  • Formation et sensibilisation continues aux risques de sécurité — et c’est sur ce point que le phishing entre dans l’équation

Réversibilité

  • Restitution des données : l’hébergeur doit garantir au client la possibilité de récupérer ses données dans un format exploitable en fin de contrat
  • Suppression certifiée : après restitution, l’hébergeur doit supprimer toutes les copies des données et fournir une attestation

HDS et la sensibilisation des équipes

La clause 7.3 d’ISO 27001 — reprise par HDS — exige que tout le personnel impliqué dans le traitement des données soit sensibilisé aux enjeux de sécurité de l’information. Ce n’est pas une clause décorative : les auditeurs vérifient l’existence de programmes de formation documentés, leur fréquence et leur contenu.

Pourquoi le phishing est au centre de cette exigence

Le secteur de la santé est la cible numéro un des attaques par ransomware en France. Les raisons sont connues :

  • Les données de santé ont une valeur élevée sur le marché noir selon le rapport Trustwave
  • Les établissements de santé ne peuvent pas se permettre d’interrompre leur activité — la pression pour payer la rançon est maximale
  • Les systèmes informatiques hospitaliers sont souvent vétustes, sous-dotés en personnel IT et faiblement segmentés
  • Le personnel soignant, concentré sur le soin, n’est pas toujours formé aux réflexes de cybersécurité

Le phishing est le vecteur d’entrée principal de ces attaques. Un email de phishing qui trompe un soignant ou un administratif suffit pour donner à l’attaquant un accès initial au réseau, à partir duquel il effectue un mouvement latéral vers les systèmes critiques.

Ce que les auditeurs HDS attendent

Lors de l’audit de certification, les auditeurs vérifient :

  • L’existence d’un programme de sensibilisation formalisé (pas un simple email annuel)
  • La fréquence des sessions de sensibilisation (au moins annuelle, idéalement trimestrielle)
  • La couverture : tout le personnel concerné, pas seulement l’équipe IT
  • Les preuves de participation : registres de présence, résultats de tests, rapports de campagnes de simulation
  • L’adaptation du contenu aux risques réels du secteur — et le phishing figure en tête

Un hébergeur qui ne peut pas démontrer que son personnel est régulièrement sensibilisé au phishing et aux techniques de social engineering s’expose à une non-conformité sur la clause 7.3.

Le secteur santé face au phishing

Les cyberattaques contre les établissements de santé français se sont multipliées ces dernières années. Plusieurs incidents majeurs ont mis en lumière la vulnérabilité du secteur.

Incidents documentés

CHU de Rouen (novembre 2019) : le ransomware Clop a paralysé le système informatique de l’hôpital pendant plusieurs jours. Les équipes ont dû revenir aux prescriptions sur papier, les résultats de laboratoire étaient transmis par coursier, et certaines interventions ont été reportées. L’accès initial s’est fait via un email de phishing ciblé.

CH de Dax (février 2021) : un ransomware a chiffré l’ensemble du système d’information de l’hôpital. Dossiers patients inaccessibles, retour au tout-papier pendant des semaines, transferts de patients vers d’autres établissements. La reconstruction complète du SI a pris plusieurs mois.

CH de Corbeil-Essonnes (août 2022) : le groupe LockBit 3.0 a demandé 10 millions de dollars de rançon. L’hôpital a refusé de payer. Les attaquants ont publié des données de patients en ligne — dossiers médicaux, résultats d’analyses, données du personnel. L’établissement a fonctionné en mode dégradé pendant des semaines.

Ces incidents ne sont pas isolés. Notre base de données des incidents recense plus de 45 cyberattaques documentées en France, et le secteur de la santé y figure parmi les plus touchés.

Le rôle de la sensibilisation

Dans chacun de ces cas, le vecteur d’entrée initial impliquait une action humaine — clic sur un lien de phishing, ouverture d’une pièce jointe piégée, saisie d’identifiants sur un faux portail. La technologie seule (pare-feu, antivirus, EDR) ne suffit pas si le personnel n’est pas entraîné à reconnaître les tentatives de phishing.

C’est pourquoi les référentiels HDS, PGSSI-S et NIS2 convergent vers la même exigence : des programmes de sensibilisation réguliers, mesurables, et adaptés au contexte métier de chaque organisation.

Pour une analyse détaillée des enjeux cybersécurité spécifiques au secteur médical, consultez notre page secteur santé.

Obtenir la certification HDS

Les organismes certificateurs

La certification HDS est délivrée par des organismes accrédités par le COFRAC (Comité français d’accréditation). Parmi les organismes certificateurs actifs :

  • BSI Group
  • Bureau Veritas
  • LNE (Laboratoire national de métrologie et d’essais)
  • LSTI
  • Afnor Certification

La liste actualisée est disponible sur le site de l’ANS.

Le processus d’audit

L’obtention de la certification HDS suit un processus structuré :

  1. Audit initial ISO 27001 (si pas déjà certifié) — évaluation complète du système de management de la sécurité de l’information
  2. Audit HDS — vérification des exigences complémentaires spécifiques à l’hébergement de données de santé
  3. Délivrance du certificat — valable 3 ans
  4. Audits de surveillance — annuels, pour vérifier le maintien de la conformité
  5. Audit de renouvellement — à l’issue de la période de 3 ans

Coûts et délais

Les coûts varient selon la taille de l’organisation, le périmètre de certification et l’organisme certificateur choisi :

PosteFourchette
Mise en conformité ISO 27001 (si non certifié)30 000 - 100 000 €
Audit ISO 27001 initial15 000 - 40 000 €
Audit HDS complémentaire10 000 - 25 000 €
Audits de surveillance annuels5 000 - 15 000 €
Accompagnement par un consultant (optionnel)20 000 - 60 000 €

Délai moyen : entre 6 et 18 mois selon le niveau de maturité de l’organisation. Un hébergeur déjà certifié ISO 27001 peut obtenir HDS en 3 à 6 mois. Une organisation qui part de zéro devra compter 12 à 18 mois minimum.

Comment la sensibilisation au phishing accélère la conformité

La mise en place d’un programme de simulation de phishing régulier coche plusieurs cases du référentiel HDS simultanément :

  • Clause 7.3 (Sensibilisation) : les simulations de phishing constituent un programme de sensibilisation mesurable et documenté
  • Clause 7.2 (Compétences) : les résultats des campagnes démontrent l’évolution des compétences du personnel face aux menaces
  • Gestion des risques : les taux de clic fournissent des indicateurs concrets du niveau de risque humain de l’organisation
  • Amélioration continue : l’évolution des résultats d’une campagne à l’autre démontre l’efficacité du programme aux auditeurs

Passage à l’action

Si vous hébergez des données de santé ou travaillez avec des établissements de santé, la certification HDS structure vos obligations de sécurité. Et la sensibilisation des équipes au phishing n’est pas un bonus — c’est une exigence auditable.

Trois actions concrètes pour avancer :

  • Vérifiez la sécurité email de votre domaine avec le vérificateur de sécurité email — résultat en 30 secondes, aucun compte requis
  • Évaluez votre conformité réglementaire sur notre page solutions conformité pour comprendre comment la simulation de phishing s’intègre dans vos obligations HDS, RGPD et NIS2
  • Lancez un programme de simulation de phishing pour répondre aux exigences de sensibilisation du référentiel HDS et disposer de preuves documentées lors de l’audit

Pour approfondir les outils qui complètent la sensibilisation dans une stratégie de protection des données de santé, consultez nos pages sur le DLP, le ransomware et le phishing.

Questions fréquentes

Qu'est-ce que la certification HDS ?

La certification HDS (Hébergement de Données de Santé) est un agrément obligatoire en France pour toute entité qui héberge des données de santé à caractère personnel pour le compte d'un tiers. Créée par l'article L.1111-8 du Code de la santé publique et obligatoire depuis 2018, elle remplace l'ancien agrément délivré par l'ASIP Santé. La certification est délivrée par des organismes accrédités par le COFRAC après un audit portant sur la sécurité physique, logique et organisationnelle.

Mon établissement de santé est-il concerné par HDS ?

Si vous êtes un établissement de santé qui héberge ses propres données sur ses propres serveurs, vous n'êtes pas directement soumis à la certification HDS. En revanche, dès que vous confiez l'hébergement de données de santé à un prestataire externe (cloud, infogérance, SaaS), ce prestataire doit être certifié HDS. Si vous êtes un éditeur de logiciel SaaS pour le secteur médical ou un prestataire IT pour des établissements de santé, vous êtes probablement concerné.

Quel est le lien entre HDS et ISO 27001 ?

HDS est construite par-dessus la certification ISO 27001. Pour obtenir HDS, un hébergeur doit d'abord être certifié ISO 27001, puis satisfaire des exigences supplémentaires spécifiques au secteur de la santé (protection renforcée des données de santé, gestion des accès spécifique, traçabilité des actions sur les données, obligations de notification). ISO 27001 fournit le socle du système de management de la sécurité de l'information, HDS ajoute la couche santé.

HDS impose-t-elle la sensibilisation au phishing ?

Oui, indirectement. HDS s'appuie sur ISO 27001, dont la clause 7.3 exige que le personnel soit sensibilisé aux enjeux de sécurité de l'information. Le phishing étant le premier vecteur d'attaque contre les établissements de santé (CHU de Rouen, CH de Dax, CH de Corbeil-Essonnes), la sensibilisation au phishing fait partie des mesures attendues lors de l'audit. Les organismes certificateurs vérifient l'existence de programmes de formation et de sensibilisation documentés.

Quelles sanctions en cas de non-respect de l'obligation HDS ?

Un hébergeur qui traite des données de santé sans certification HDS s'expose à des sanctions pénales : jusqu'à 3 ans d'emprisonnement et 45 000 euros d'amende (article L.1115-2 du Code de la santé publique). En parallèle, des sanctions RGPD peuvent s'appliquer si la CNIL constate un défaut de protection des données personnelles de santé. Le responsable de traitement (l'établissement de santé) reste co-responsable s'il confie ses données à un hébergeur non certifié.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire