Hébergement HDS — guide pratique pour les organismes de santé

La règle, en un paragraphe

La certification HDS (Hébergeur de Données de Santé), encadrée par le décret du 26 février 2018, s’applique à toute organisation qui héberge des données de santé à caractère personnel dans un but de prévention, de diagnostic, de soins ou de suivi médical. Si vous hébergez ces données vous-même, vous devez être certifié. Si vous les confiez à un tiers, votre hébergeur doit être certifié.

Six périmètres distincts

La certification HDS couvre six périmètres, dont au moins un doit être qualifié :

1. Mise à disposition et maintien en condition opérationnelle de sites physiques.
2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle.
3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement.
4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle.
5. Administration et exploitation du système d’information.
6. Sauvegarde externalisée.

Un hébergeur peut être certifié sur un ou plusieurs périmètres. Vérifiez systématiquement la portée exacte de la certification (le PDF d’attestation le précise).

Qui doit être certifié

Cas typiques où HDS est obligatoire :

• Cabinets médicaux dont le dossier patient est sur un serveur, dans un cloud, ou chez un éditeur — eux-mêmes doivent veiller à utiliser un hébergeur HDS.
• Cliniques et établissements de santé privés sur leurs SI internes.
• Éditeurs de logiciels santé (dossier patient informatisé, gestion de cabinet, télémédecine, e-santé).
• Pharmacies (logiciels métier connectés à des SI tiers).
• Laboratoires d’analyses sur leurs systèmes d’information médicaux.
• ESN et MSP intervenant sur ces SI doivent l’être pour les périmètres confiés.

Les acteurs publics (hôpitaux, EPS) bénéficient d’une dérogation partielle mais doivent toujours respecter le référentiel.

Comment vérifier un hébergeur HDS

Trois actions :

1. Demander l’attestation de certification — un PDF nominatif avec date, périmètre, organisme certificateur (LNE, AFNOR, Bureau Veritas).
2. Vérifier le périmètre — pour héberger un dossier patient, vous avez besoin a minima des périmètres 3 et 5. Pour de la sauvegarde externalisée seule, le périmètre 6 suffit.
3. Demander la liste des sous-traitants HDS — si l’hébergeur s’appuie sur des sous-traitants, eux aussi doivent être certifiés.

Combien ça coûte

L’écart de prix entre un hébergement classique et un hébergement HDS est généralement de 20 à 40%. La différence couvre les contrôles d’accès renforcés, les audits annuels, la documentation contractuelle, la traçabilité, et les engagements de notification d’incident.

Pour un cabinet médical multi-praticiens avec dossier patient en ligne (5 à 10 To de stockage, 50 à 100 utilisateurs), comptez typiquement 600 à 1 800 € HT par mois pour l’hébergement HDS pur, hors administration et sauvegarde.

Les obligations contractuelles côté client

Quelques points à exiger systématiquement :

• Politique de gestion des sous-traitants — qui sont-ils, où sont-ils, ont-ils accès à vos données ?
• Engagement de localisation — vos données doivent rester sur le territoire UE, idéalement français.
• Notification d’incident — dans quel délai après détection ? (idéalement sous 24h pour les incidents touchant la confidentialité)
• Réversibilité — comment récupérez-vous vos données en fin de contrat, sous quel format, quel délai ?
• Audit du client — pouvez-vous auditer l’hébergeur vous-même, ou demander un rapport d’audit indépendant ?

Notre offre

Notre datacenter est certifié HDS sur les périmètres 1 à 6. Nous hébergeons des cabinets médicaux, des éditeurs santé et des structures publiques de santé en Île-de-France et Occitanie, avec un SOC 24/7 dédié au monitoring sécurité — les exigences HDS ne se limitent pas à la disponibilité, elles incluent la sécurité opérationnelle.

Article rédigé par les équipes infrastructure et conformité Hexceos.