Management de la qualité

Certification HDS - Hébergeurs de Données de Santé

Tout prestataire hébergeant des données de santé (sensibles par définition) pour le compte de tiers est soumis à une obligation de certification. La certification HDS garantit que l’hébergeur met en œuvre toutes les mesures de sécurité nécessaires pour assurer la protection de ces données. La nouvelle version du référentiel HDS intègre également des mesures renforcées en matière de souveraineté des données.

Organisme de certification à l’expertise reconnue et acteur majeur de la confiance numérique, Certi-Trust mène des projets de certification HDS avec les hébergeurs de données de santé.

Qu’est-ce que la certification HDS ?

La certification HDS (Hébergeurs de Données de Santé) est obligatoire pour toute personne physique ou morale hébergeant des données de santé à caractère personnel (article L.1111-8 du Code de la santé publique).

En vigueur depuis 2018, la certification HDS a fait l’objet d’une révision majeure. Le référentiel de certification HDS V2, élaboré par la Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS), a été publié en 2024. Le délai de transition vers la nouvelle version est terminé depuis mai 2026. Seuls les prestataires certifiés HDS V2 peuvent légalement poursuivre leurs activités d’hébergement de données de santé pour le compte de tiers.

Le référentiel HDS V2 prend pour socle la norme ISO/IEC 27001:2022, en complétant ce socle par des exigences spécifiques au secteur de la santé. Il prévoit deux périmètres de certification distincts : 

  • Hébergeur d’infrastructure physique,
  • Hébergeur infogéreur.

Quels sont les objectifs de la certification HDS ?

  • Garantir la sécurité, la disponibilité et la confidentialité des données de santé hébergées.
  • Assurer la conformité aux obligations légales applicables à l’hébergement de données de santé à caractère personnel.
  • Assurer la souveraineté des données de santé, avec l’exigence de localisation physique des données au sein de l’Espace Économique Européen (EEE) et celle de transparence sur les risques d’accès extra-européen aux données.

Quels sont les avantages de la certification HDS ?

  • Conformité légale : la certification HDS est une obligation réglementaire pour tout hébergeur de données de santé pour le compte de tiers.
  • Critère d’achat décisif : la certification HDS est devenue un prérequis dans les appels d’offres des établissements de santé et des Groupements Hospitaliers de Territoire (GHT).
  • Confiance renforcée : elle atteste auprès des clients, patients et régulateurs que les données de santé sont protégées selon les standards de sécurité et de souveraineté les plus exigeants.
  • Articulation avec la norme ISO 27001 : le référentiel HDS V2 s’appuie sur l’ISO/IEC 27001:2022, ce qui permet aux organisations déjà certifiées ISO 27001 d’optimiser leur démarche de certification HDS.
  • Complémentarité avec d’autres référentiels comme SecNumCloud.

Comment se déroule le processus certification HDS ?

L’obtention d’une certification HDS repose sur un processus d’évaluation structuré, conduit par des auditeurs compétents et indépendants, conformément aux exigences de la norme ISO/IEC 17021-1.

  1. 1

    Recevabilité et contractualisation

    Une analyse préalable de la demande permet de définir le périmètre d’application, de dimensionner le programme d’audit et de constituer l’équipe d’évaluation. Un contrat formalise l’engagement des deux parties.

  2. 2

    Audit de phase 1 – Revue du système documentaire

    L’équipe d’audit procède à l’examen des informations documentées du système de management (politique, procédures, résultats d’audits internes, revue de direction) afin de statuer sur la préparation de l’organisme pour la phase suivante.

  3. 3

    Audit de phase 2 – Évaluation sur site

    L’équipe d’audit évalue in situ la mise en œuvre effective et l’efficacité du système de management, au travers d’entretiens avec le personnel, d’observations terrain et de l’examen des preuves de conformité.

  4. 4

    Rapport d'audit et décision de certification

    Les constats sont consignés dans un rapport d’audit transmis à un Certification Manager, seul habilité à prononcer la décision de délivrance du certificat.

  5. 5

    Surveillance et renouvellement triennal

    Le maintien de la certification est assuré par des audits de surveillance périodiques, garants de l’amélioration continue, suivis d’un audit de renouvellement à l’échéance du cycle de trois ans.

Pourquoi choisir Certi-Trust pour sa certification ISO 27018 ?

  • Certi-Trust, organisme de certification multi accrédité

    Certi-Trust est accrédité par différentes instances nationales : COFRAC en France (Accréditation n° 4-0612 – portée disponible sur le site www.cofrac.fr ; Accréditation n° 5-0597 – portée disponible sur le site www.cofrac.fr), OLAS au Luxembourg, TDRA aux Émirats Arabes Unis, KENAS au Kenya et UAF aux Etats-Unis. Certi-Trust bénéficie des accréditations 17021, 17065 et 17024.

    Organisme de certification sur les normes ISO et centre d’évaluation pour les programmes de qualification ANSSI, Certi-Trust est capable de répondre à l’ensemble des projets de conformité des entreprises. Ce travail conjoint sur différentes normes et référentiels représente un vrai gain en efficacité pour les entreprises.

    • 600 certificats actifs sur les normes internationales ISO
    • 100 programmes de qualification ANSSI en cours

  • Présence internationale

    Grâce à ses différentes implantations, Certi-Trust est présent en Europe, en Amérique du Nord, en Afrique et au Moyen-Orient. Son expertise et ses certifications sont reconnues à l’international.

  • Acteur majeur de la confiance numérique

    Certi-Trust a fait de la confiance numérique son cœur de métier. Son expertise sur les enjeux de cybersécurité et de souveraineté numérique est de plus en plus reconnue par les professionnels de ces secteurs.

  • Expertise, efficacité et adaptabilité

    Grâce à leur expertise technique et leur maîtrise fine de nombreux référentiels, les équipes d’auditeurs Certi-Trust se distinguent par leur efficacité. Cette expertise se traduit par une qualité de service constante, et une capacité à s’adapter aux besoins des organisations.

    La certification HDS représente un investissement stratégique pour les prestataires de services. La méthodologie Certi-Trust repose sur un processus fluide, pensé pour minimiser la charge du prestataire à chaque étape de son projet de qualification.