Loading...
Loading...
Hébergeur de Données de Santé version 2.0
Référentiel français de certification des hébergeurs de données de santé à caractère personnel, opéré par l'ANS (Agence du Numérique en Santé). La version 2.0 entre en vigueur avec une échéance de recertification fixée au 16 mai 2026 : tout hébergeur non recertifié à cette date n'est plus en conformité. Concerne hôpitaux, éditeurs santé, plateformes médicales, applications de télémédecine.
La certification HDS (Hébergeur de Données de Santé) est obligatoire en France pour toute personne hébergeant des données de santé à caractère personnel pour le compte d'un tiers — qu'il s'agisse d'un cloud public, d'un hébergement privé, d'un éditeur SaaS santé ou d'une plateforme de télémédecine. Le cadre est défini par le Code de la santé publique (article L.1111-8) et précisé par le décret n° 2018-137 du 26 février 2018.
Le référentiel HDS v2.0 a été publié par l'ANS (Agence du Numérique en Santé) en 2024. Il succède au référentiel v1.1 et intègre les évolutions ISO/IEC 27001:2022 et ISO/IEC 27018, ainsi qu'un renforcement explicite des exigences de souveraineté et de localisation européenne des données.
Deux niveaux de certification existent : hébergeur d'infrastructure physique (datacenter) et hébergeur infogéreur (services managés sur l'infrastructure). Un même prestataire peut cumuler les deux. La certification est délivrée par un organisme accrédité (LSTI, BSI, AFNOR Certification…) après audit, pour une durée de trois ans avec audits de surveillance annuels.
L'échéance de recertification au 16 mai 2026 concerne tous les hébergeurs déjà certifiés v1.1 : ils doivent passer en v2.0 avant cette date sous peine de sortir du registre des hébergeurs certifiés. Les nouveaux entrants depuis 2025 sont directement certifiés v2.0.
Le cadre HDS a été créé en 2006 par l'article L.1111-8 du Code de la santé publique, dans le sillage de la loi du 4 mars 2002 relative aux droits des malades. À l'origine, il s'agissait d'un agrément délivré par le ministère de la Santé. Le décret de 2018 a transformé ce dispositif en certification opérée par des organismes tiers accrédités, pour aligner la France sur les pratiques européennes.
L'ANS, créée en 2019 par fusion de l'ASIP Santé, est désormais en charge de l'élaboration du référentiel. La version 2.0 est née d'un travail de concertation avec les hébergeurs, les éditeurs santé et la CNIL, finalisé fin 2024. La date du 16 mai 2026 a été fixée pour donner aux acteurs un délai de 18 mois après la publication du référentiel.
Selon l'annuaire public de l'ANS, plusieurs centaines d'hébergeurs sont certifiés HDS en France, dont les hyperscalers (AWS, Microsoft Azure, Google Cloud), les acteurs nationaux (OVHcloud, Outscale, Scaleway, Equinix), et de nombreux éditeurs santé.
Pour un dirigeant d'éditeur santé, d'établissement de soins ou d'opérateur de télémédecine, l'absence de recertification HDS v2.0 au 16 mai 2026 peut entraîner : retrait du marché public (les CHU et ARS exigent contractuellement un hébergeur certifié), perte de contrats privés, et potentiellement des sanctions CNIL au titre du RGPD pour traitement de données de santé sans garantie suffisante.
Le coût d'une recertification dépend du périmètre déjà couvert : pour un hébergeur déjà ISO 27001 et avec un SMSI mature, le delta vers HDS v2.0 reste mesuré (audits, mise à jour de la documentation, ajustements de processus). Pour un acteur qui découvre le sujet, le chemin est plus long — il faut compter six à douze mois entre lancement du chantier et audit de certification.
Le bon réflexe : auditer son statut HDS avant l'été 2025 pour disposer d'une marge sur l'audit de recertification.
Pour les éditeurs santé et les plateformes médicales, nous accompagnons la mise en conformité HDS v2.0 sur trois volets : cadrage et gap analysis (état des lieux ISO 27001 / 27018 / HDS v1.1, identification des écarts vers v2.0), industrialisation de la documentation (politique de sécurité, registres, procédures, runbooks — assistée par IA pour réduire le temps de production), et préparation à l'audit (revue blanche avant audit de certification).
Sur le volet IA appliquée à la santé (chatbots patients, aide à la documentation médicale, analyse d'images), nous croisons systématiquement HDS v2.0, RGPD article 9 et AI Act haut risque pour produire une matrice de conformité unique, plutôt que trois projets séparés qui se contredisent.
Notre principe : la conformité HDS n'est pas un livrable de fin de projet. Elle se construit avec l'architecture, dès le premier sprint.
Article du RGPD (Règlement général sur la protection des données) qui interdit en principe le traitement des données sensibles : santé, opin…
Catégorie de l'AI Act regroupant les usages d'IA à fort impact sur les droits fondamentaux, la santé ou la sécurité (recrutement, évaluation…
Cadrage initial gratuit. Nous évaluons votre contexte et identifions les leviers concrets.