La certification HDS (Hébergeur de Données de Santé) a été instaurée pour garantir la sécurité de l’hébergement des données de santé à caractère personnel (DSCP) en France. Pilotée par l’Agence du Numérique en Santé (ANS) et la Délégation au Numérique en Santé, elle s’appuie sur une collaboration étroite avec la CNIL, le Haut Fonctionnaire de Défense et de Sécurité (HFDS) du ministère de la Santé, ainsi que le COFRAC, chargé d’accréditer les organismes certificateurs

Le HDS est sorti en version 2 en mai 2024. Les récentes évolutions ont permis une lecture plus fluide et cohérente. Sa structure est désormais alignée sur celle de la norme ISO 27001, certes actualisée dans sa version 2022, mais à laquelle viennent s’ajouter des chapitres spécifiques portant sur les contrats, la souveraineté des données et la localisation accès distants. Cette clarification a permis de supprimer certains éléments redondants, comme les exigences liées aux copies papier, les traces, supports de stockages… déjà couvertes par l’ISO 27001.
Le référentiel HDS vient donc ajouter des aspects plus stratégiques et plus prescriptifs :

• Les éléments relatifs aux contrats (dont la réversibilité)
• La souveraineté des données
• La gestion des accès distants par des tiers et/ou hors EEE.

Ce recentrage marque une volonté claire de renforcer le contrôle sur les flux de données, notamment lorsqu’ils proviennent de pays extérieurs à l’Espace Économique Européen. Il s’agit ici de garantir que les données de santé à caractère personnel ne soient pas exposées à des juridictions étrangères potentiellement incompatibles avec le RGPD.

Le référentiel va encore plus loin. Il prévoit un renforcement progressif des exigences en matière de protection des données personnelles, notamment concernant les transferts hors de l’Union européenne. Une première étape a été franchie avec la version 2 actuelle, et une seconde est attendue d’ici 2027.
Il devient essentiel de mettre en évidence les acteurs situés hors de l’EEE. Certains acteurs jouaient de ce flou en se faisant certifier sur certains niveaux du HDS et laissant un tiers certifié HDS s’occuper du reste, dont le siège ou le datacenter est hors EEE.
Chaque hébergeur HDS doit présenter publiquement la raison sociale et la provenance des acteurs intervenant dans le périmètre, précisant également si ceux-ci présentent un risque d’accès aux DSCP depuis des pays tiers à l’EEE, imposé par la législation d’un pays tiers (ie. si un Etat ou une autorité extra EEE demande un accès aux DSCP).
Il ne s’agit pas de pointer du doigt les acteurs non européens dans une logique de stigmatisation, mais dans un souci de transparence vis-à-vis des clients et des titulaires de données de santé. Cette transparence permettra aux acteurs français et européens de se démarquer face aux géants de l’hébergement étrangers, notamment américains.

Aujourd’hui les hébergeurs n’ont pas tous pris la mesure de ce changement. Certains basculent tout en gestion locale sur le territoire Français, d’autres attendent de voir comment l’autorité de contrôle va intervenir. De plus, tant que tous les prestataires n’auront pas migré vers la version 2, cette dimension de souveraineté ne pourra pas pleinement s’exprimer. Mais ce n’est qu’une question de mois avant que cette transition ne devienne obligatoire.

Enfin, il sera crucial d’examiner avec attention les exigences renforcées prévues pour 2027. Elles pourraient bien redéfinir les standards de confiance dans l’hébergement des données de santé.

👉 Suivez-nous donc pour ne rien manquer de ces évolutions majeures !

• Notre page LinkedIn

• Notre site web