Qu'est-ce que HDS V2 et en quoi change-t-il les choses ?

HDS V2 est le référentiel publié par l'ANS en mai 2024, plus exigeant sur la cybersécurité et la gestion des sous-traitants. La date limite de transition pour les hébergeurs encore certifiés en V1 est le 16 mai 2026. Si votre prestataire n'est pas encore en V2, vérifiez son statut sur espace-certification.esante.gouv.fr et évaluez les implications contractuelles d'une non-conformité.

Données de santé : ce qu'il faut savoir sur vos obligations

En bref

La certification HDS est obligatoire pour tout prestataire qui héberge des données de santé à caractère personnel pour le compte de tiers. Elle couvre 6 périmètres distincts, de l’infrastructure physique à la sauvegarde externalisée, et tous ne sont pas systématiquement couverts par les hébergeurs.

Choisir un hébergeur certifié HDS ne suffit pas : il faut vérifier quels périmètres sont réellement couverts, auditer la chaîne de sous-traitance, et s’assurer que la souveraineté des données est garantie.

HDS V2 est en vigueur depuis mai 2024. La date limite de transition pour les hébergeurs encore en V1 est fixée au 16 mai 2026. Si votre prestataire n’est pas encore en V2, la situation est urgente. En cas de non-conformité, la responsabilité incombe à votre organisation, pas au prestataire défaillant.

Pourquoi les données de santé font l’objet d’une réglementation spécifique

Les données de santé ne ressemblent à aucune autre donnée. Elles touchent à l’intimité des personnes : leur état physique et mental, leurs antécédents, leurs traitements. En cas de fuite ou de compromission, les conséquences peuvent être lourdes : atteinte à la vie privée, discrimination à l’embauche ou à l’assurance, perte de confiance envers les structures de soins.

C’est pourquoi la France a mis en place un cadre réglementaire spécifique : la certification HDS (Hébergeur de Données de Santé). Elle s’impose à tous les prestataires techniques qui stockent ou traitent des données de santé pour le compte de tiers : structures de santé, éditeurs de logiciels médicaux, infogéreurs. Et elle va bien au-delà d’un simple label : entre les prestataires, les différences sont importantes, et les questions à poser avant de signer, nombreuses.

Télécharger le guide pratique gratuit

Ce guide vous explique concrètement ce que la loi impose, où se situent les risques réels et comment vérifier que votre chaîne d’hébergement est complète. Checklist de conformité en 12 points incluse.

Télécharger le guide

Qu’est-ce que la certification HDS ?

La certification HDS a été créée et est supervisée par l’Agence du Numérique en Santé (ANS). Elle fixe les conditions dans lesquelles des données de santé à caractère personnel peuvent être hébergées par un prestataire externe.

Pour l’obtenir, un hébergeur doit se soumettre à un audit rigoureux mené par un organisme indépendant accrédité par le COFRAC. L’audit couvre la sécurité des infrastructures, la traçabilité des accès, la continuité de service, la gestion des incidents et la conformité au RGPD. La certification est valable 3 ans, avec des audits de surveillance annuels. Ce n’est donc pas une démarche ponctuelle : c’est un engagement permanent, qui engage l’ensemble de l’organisation et pas seulement les équipes techniques.

La certification HDS impose ISO 27001 comme socle obligatoire : tout hébergeur certifié HDS est nécessairement certifié ISO 27001. Mais l’inverse n’est pas vrai : ISO 27001 seule ne suffit pas pour héberger légalement des données de santé à caractère personnel en France.

Les 6 périmètres HDS : une distinction qui compte

C’est là où beaucoup sont pris en défaut. La certification HDS n’est pas un bloc monolithique. Elle se décline en 6 périmètres, correspondant aux différents maillons de la chaîne d’hébergement. Un prestataire peut être certifié sur un seul périmètre, sur plusieurs, ou sur l’ensemble.

Périmètre	Ce qu’il couvre
1. Locaux physiques	Sécurité des datacenters : accès contrôlés, protection incendie, alimentation de secours
2. Infrastructure physique	Serveurs, équipements réseau, baies de stockage
3. Plateforme applicative	Systèmes d’exploitation, bases de données, middleware
4. Infrastructure virtuelle	Machines virtuelles, conteneurs, environnements isolés
5. Infogérance du SI	Supervision, maintenance, gestion des incidents au quotidien
6. Sauvegarde externalisée	Copies de sécurité hébergées sur un site distinct, avec le même niveau d’exigence

Pourquoi est-ce important ?
Un hébergeur certifié HDS sur les périmètres 1 et 2 uniquement (locaux et infrastructure physique) ne peut pas légalement assurer la gestion applicative (périmètre 3), l’infogérance (périmètre 5) ou la sauvegarde externalisée (périmètre 6). Si votre contrat ne précise pas explicitement les périmètres couverts, vous ne savez pas ce que vous achetez.

Qui est concerné par l’obligation HDS ?

L’obligation s’applique à tous les prestataires qui hébergent des données de santé pour le compte de tiers :

Les structures de santé qui externalisent leur infrastructure (hôpitaux, cliniques, EHPAD, laboratoires, centres de radiologie, cabinets médicaux)
Les éditeurs de logiciels médicaux en SaaS qui hébergent des dossiers patients ou des applications traitant des données identifiables
Les infogéreurs ou prestataires techniques opérant des systèmes d’information de santé

Dans tous ces cas, la certification de l’hébergeur doit être vérifiée contractuellement : c’est la responsabilité du donneur d’ordre.

A NOTER : Une organisation qui héberge ses propres données de santé sur ses propres serveurs, sans faire appel à un tiers, n’est pas soumise à l’obligation de certification HDS. Elle reste néanmoins soumise au RGPD et aux recommandations de la CNIL en matière de sécurité des données de santé.

La chaîne de sous-traitance : l’angle mort le plus fréquent

Supposons que votre hébergeur principal soit certifié HDS. La question qui suit, et que peu posent, est : fait-il lui-même appel à des sous-traitants ? Ces sous-traitants interviennent-ils sur vos données de santé ? Sont-ils certifiés sur les bons périmètres ?

Le référentiel HDS impose des obligations sur la gestion de la sous-traitance, mais dans la pratique, les organisations ne demandent pas systématiquement la liste des prestataires de leurs prestataires, ni les preuves de certification correspondantes. C’est pourtant la responsabilité du donneur d’ordre, et elle doit être formalisée dans le contrat d’hébergement HDS : liste exhaustive des sous-traitants intervenant sur vos données, preuves de certification sur les périmètres pertinents, et clause imposant une information obligatoire en cas de changement.

Sans ces éléments, vous n’avez pas de visibilité réelle sur votre chaîne de conformité. Et en cas d’incident impliquant un sous-traitant non certifié, c’est votre responsabilité qui sera engagée, pas la sienne.

Souveraineté : la question qu’on oublie souvent de poser

La certification HDS garantit la sécurité de l’hébergement. Elle ne garantit pas la souveraineté des données.

Certains hyperscalers américains (AWS, Microsoft Azure, Google Cloud) ont obtenu la certification HDS pour certains de leurs services. Cela ne signifie pas pour autant que vos données de santé sont à l’abri de législations extraterritoriales comme le Cloud Act américain, qui peut contraindre ces entreprises à communiquer des données à des autorités américaines, même si elles sont physiquement stockées en France.

La CNIL, l’ANS et le Conseil d’État recommandent de privilégier des solutions souveraines : hébergement dans l’Espace Économique Européen, chez un opérateur non soumis à des lois extraterritoriales conflictuelles. C’est un critère qui prend tout son sens dans le secteur de la santé, où la sensibilité des données et les obligations réglementaires sont particulièrement élevées.

HDS V2 : la date limite de transition est dans moins de deux semaines

Depuis le 16 novembre 2024, tout nouvel hébergeur candidat à la certification devait viser directement la V2. La prochaine étape est le 16 mai 2026 : c’est la date limite à laquelle les prestataires encore certifiés en V1 doivent avoir basculé. À la date de publication de cet article, cette échéance est imminente.

Si votre hébergeur est encore en V1, la question n’est plus de savoir s’il a un plan de transition : c’est de savoir s’il sera conforme dans les délais. Un prestataire qui n’a pas encore engagé son audit de recertification ne pourra pas tenir l’échéance du 16 mai. Vérifiez son statut sur espace-certification.esante.gouv.fr et anticipez les conséquences contractuelles si sa certification n’est pas à jour.

Pour suivre les transitions en cours, l’ANS a publié une page dédiée à cette échéance : Certification HDS : six mois pour être prêt.

SdV : un hébergeur certifié HDS, de l’infrastructure à l’exploitation

SdV est un hébergeur indépendant français, fondé en 1985. Présent bien avant l’essor du cloud public, SdV a construit son modèle sur un principe simple : maîtriser l’ensemble de la chaîne, des datacenters jusqu’à l’exploitation quotidienne des infrastructures de ses clients.

Une double certification ISO 27001 et HDS, délivrée par l’AFNOR.

La norme ISO 27001 encadre la sécurité de l’ensemble du système d’information. La certification HDS vient compléter ce socle avec les exigences propres au secteur santé. Ensemble, elles constituent un cadre de confiance solide, audité et renouvelé régulièrement.

Des datacenters en France, opérés par SdV.

Pas de sous-traitance offshore, pas de dépendance vis-à-vis d’un hyperscaler américain. Les données restent sur le territoire français, dans des infrastructures que SdV conçoit, exploite et maintient.

Un accompagnement, pas seulement une ressource cloud.

Les équipes SdV assurent la supervision, la gestion des incidents, les mises à jour et la continuité de service, ce qui correspond aux périmètres les plus exigeants de la certification HDS : l’infogérance (périmètre 5) et la sauvegarde externalisée (périmètre 6).

Une relation unique et directe.

Traiter avec un hébergeur indépendant à taille humaine, c’est avoir un interlocuteur dédié qui vous connaît et qui connaît son environnement, sans passer par des tickets dans un portail mondial.

Vérifiez votre conformité HDS dès maintenant

Notre guide pratique vous donne les 12 points à contrôler, les risques par catégorie et un cadre pour auditer votre hébergeur actuel. Téléchargement gratuit, sans engagement..

Télécharger le guide

Vous avez des question ou un un projet d’hébergement, de sécurisation ou de mise en conformité pour des données de santé ?

contactez-nous

FAQ : vos questions sur l’hébergement HDS

Non. La certification HDS porte sur l’hébergement : la sécurité, la confidentialité, la traçabilité de l’infrastructure. La conformité RGPD de votre application reste de votre responsabilité : base légale du traitement, gestion des consentements, droits des personnes, politique de confidentialité, désignation d’un DPO si applicable. En choisissant un hébergeur certifié HDS, vous couvrez la partie infrastructure. Le reste dépend de votre organisation et de votre éditeur.

Techniquement oui, sous conditions. Certains services d’AWS et Azure sont certifiés HDS pour certains périmètres, mais pas tous. Il faut vérifier périmètre par périmètre. Et surtout, le Cloud Act américain peut exposer ces données à des demandes d’accès par des autorités américaines, indépendamment du lieu d’hébergement physique. Héberger chez un acteur européen non soumis à des lois extraterritoriales reste la réponse la plus robuste.

Oui, c’est l’objet du périmètre 6 du référentiel HDS. Il impose que les sauvegardes externalisées soient hébergées sur un site distinct, avec le même niveau de sécurité et de traçabilité que les données d’origine. Vérifiez que votre hébergeur est bien certifié sur ce périmètre si vous lui confiez vos sauvegardes : ce n’est pas automatiquement inclus dans une certification portant uniquement sur les périmètres 1 et 2.

La définition est plus large qu’on ne le croit généralement. Au sens du RGPD (article 4, paragraphe 15), une donnée de santé est toute donnée à caractère personnel relative à l’état de santé physique ou mentale d’une personne. Cela inclut les informations fournies par le patient lui-même (antécédents, traitements en cours), les données produites par les professionnels de santé (comptes rendus, ordonnances, résultats d’examens), les données d’imagerie médicale (radiographies, IRM, scanners), et les données inférées ou déduites (diagnostic établi à partir d’analyses croisées). Les sauvegardes de toutes ces données sont également concernées, au même titre que les données en production.

HDS V2 est le référentiel publié par l’ANS en mai 2024, plus exigeant sur la cybersécurité et la gestion des sous-traitants. La date limite de transition pour les hébergeurs encore certifiés en V1 est le 16 mai 2026, une échéance imminente à la date de publication de cet article. Si votre prestataire n’est pas encore en V2, vérifiez son statut sur espace-certification.esante.gouv.fr et évaluez les implications contractuelles d’une non-conformité.

La certification HDS est délivrée par des organismes de certification accrédités par le COFRAC. Pour vérifier qu’un hébergeur est bien certifié, demandez son certificat en cours de validité et contrôlez deux points : la date d’expiration, et la liste exacte des périmètres couverts. Un certificat peut être valide mais ne porter que sur un ou deux périmètres, ce qui peut être insuffisant selon la nature de votre projet. L’ANS publie la liste officielle des hébergeurs certifiés HDS sur espace-certification.esante.gouv.fr.

Cookie	Durée	Description
__cf_bm	30 minutes	Cloudflare set the cookie to support Cloudflare Bot Management.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
mc_session_ids[default]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][0]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][1]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][2]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][3]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
mc_session_ids[multi][4]	8 minutes	This cookie is set by the provider ReCaptcha. This is used by the Captcha plugin for the website forms.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

Cookie	Durée	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_ga_B550XRC7BX	2 years	This cookie is installed by Google Analytics.
_ga_SP13N2JHZT	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_gtag_UA_22524725_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.

Cookie	Durée	Description
__Secure-BUCKET	6 months	Description is currently not available.
_ga_V3TLWZ0JHD	2 years	No description
_gat_UA-22524725-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
cookielawinfo-checkbox-functional	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-others	1 year	No description
li_gc	2 years	No description
muc_ads	2 years	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wc_session_ids[default]	8 minutes	No description
wc_session_ids[multi][0]	8 minutes	No description
wc_session_ids[multi][1]	8 minutes	No description
wc_session_ids[multi][2]	8 minutes	No description
wc_session_ids[multi][3]	8 minutes	No description
wc_session_ids[multi][4]	8 minutes	No description

Données de santé : tout ce qu’il faut savoir sur les obligations HDS

En bref

Pourquoi les données de santé font l’objet d’une réglementation spécifique

Qu’est-ce que la certification HDS ?

Les 6 périmètres HDS : une distinction qui compte

Qui est concerné par l’obligation HDS ?

La chaîne de sous-traitance : l’angle mort le plus fréquent

Souveraineté : la question qu’on oublie souvent de poser

HDS V2 : la date limite de transition est dans moins de deux semaines

SdV : un hébergeur certifié HDS, de l’infrastructure à l’exploitation

FAQ : vos questions sur l’hébergement HDS

Un hébergeur certifié HDS garantit-il aussi la conformité RGPD de mon application ?

Peut-on héberger des données de santé sur AWS ou Azure ?

La certification HDS couvre-t-elle aussi les sauvegardes ?

Quelles données sont considérées comme des données de santé ?

Qu’est-ce que HDS V2 et en quoi change-t-il les choses ?

Comment vérifier qu’un hébergeur est réellement certifié HDS ?

Dans cet article

Un projet ou une question ?