HDS : pourquoi la certification hébergeur de données de santé est indispensable en 2026
Une date butoir qui change tout : le 16 mai 2026
Le compte à rebours est terminé. Depuis le 16 mai 2026, les anciens certificats HDS délivrés sous la version 1.1 (référentiel de 2018) sont devenus caducs. Tous les hébergeurs de données de santé opérant en France devaient avoir migré vers le référentiel HDS v2.0 avant cette date — sous peine d'exercer illégalement.
Ce n'est pas une mise à jour cosmétique. La version 2.0, publiée au Journal Officiel le 16 mai 2024 et développée par l'Agence du Numérique en Santé (ANS), introduit des exigences substantiellement renforcées : alignement sur la norme ISO 27001:2022, souveraineté des données dans l'Espace Économique Européen, audits sur site (et non plus seulement documentaires), et encadrement renforcé des sous-traitants.
Pour tout établissement de santé, tout éditeur de logiciel médical, et tout praticien qui utilise une solution numérique pour gérer des données patient — c'est un sujet qui vous concerne directement.
Qu'est-ce que la certification HDS ?
La certification HDS (Hébergeur de Données de Santé) est un dispositif réglementaire français créé par la loi pour encadrer spécifiquement l'hébergement des données de santé à caractère personnel. Elle est codifiée à l'article L.1111-8 du Code de la santé publique et instaurée par décret depuis 2018.
Son principe : tout prestataire qui héberge des données de santé pour le compte d'un tiers — hôpital, cabinet médical, application de suivi patient, plateforme SaaS médicale — doit être certifié HDS. Sans cette certification, l'hébergement est illégal, quels que soient les autres niveaux de sécurité mis en place.
Cette exigence est une spécificité du droit français qui va au-delà du RGPD européen. Le RGPD fixe des principes généraux de protection des données personnelles — la certification HDS y ajoute des obligations spécifiques pour les données de santé, qui constituent une catégorie particulièrement sensible nécessitant un niveau de protection supérieur.
Pourquoi les données de santé méritent une protection renforcée
Les données de santé sont parmi les données personnelles les plus sensibles qui existent. Une fuite ou un accès non autorisé peut avoir des conséquences directes sur la vie des patients : discrimination à l'emploi ou à l'assurance, exposition de pathologies stigmatisantes, usurpation d'identité médicale.
Les chiffres donnent le vertige : selon l'Observatoire des incidents de cybersécurité 2024 du CERT Santé, les incidents de cybersécurité dans le secteur de la santé ont progressé de 29 % en un an. Les hôpitaux français ont été particulièrement ciblés — plusieurs attaques ransomware majeures ont paralysé des établissements entiers ces dernières années, entraînant des reports d'opérations et des risques pour les patients.
Dans ce contexte, la certification HDS n'est pas une contrainte bureaucratique. C'est le premier rempart entre les données des patients et les acteurs malveillants.
Ce que la version 2.0 change concrètement
Alignement ISO 27001:2022
La nouvelle version du référentiel s'aligne sur la dernière version de la norme internationale de sécurité de l'information ISO 27001. Cela implique pour les hébergeurs une refonte de leur gestion des risques, de leurs processus de contrôle et de leur documentation sécurité.
Souveraineté des données dans l'EEE
HDS v2.0 impose que l'hébergement physique des données se fasse dans l'Espace Économique Européen, avec une transparence totale en cas d'accès depuis un pays tiers. Cette exigence vise directement les prestataires soumis à des lois extra-européennes — notamment le Cloud Act américain, qui permet aux autorités américaines d'accéder à des données hébergées par des entreprises américaines, même sur des serveurs européens.
C'est pourquoi des experts recommandent désormais, pour les données de santé les plus sensibles, de privilégier des prestataires cumulant HDS v2 et qualification SecNumCloud — cette dernière offrant des garanties d'immunité totale aux droits extra-européens.
Audits sur site obligatoires
Là où la version 1.1 se contentait d'audits documentaires, HDS v2.0 introduit des audits sur site réalisés par des organismes certificateurs accrédités. La certification devient ainsi plus exigeante à obtenir et à maintenir — mais aussi plus fiable pour les établissements qui s'appuient dessus.
Contrôle de la chaîne de sous-traitance
Un angle mort fréquent dans les déploiements cloud : si votre prestataire HDS certifié fait lui-même appel à un hébergeur cloud non certifié pour une partie de ses services, vous êtes en infraction — même si votre contrat principal est avec un prestataire certifié. HDS v2.0 impose une traçabilité complète de la chaîne de sous-traitance.
Ce que cela signifie pour les établissements et praticiens
Pour un hôpital ou une clinique
Vous êtes responsable de vos prestataires. Si vous déployez un logiciel de dossier patient, une application de télémédecine, ou une plateforme de suivi post-opératoire, vous devez vérifier que l'hébergeur sous-jacent est certifié HDS v2.0 — et pas seulement que votre prestataire l'affirme.
Checklist de vérification :
- Demandez le certificat HDS en cours de validité (pas une attestation auto-déclarée)
- Vérifiez la date d'expiration du certificat — une certification peut expirer ou être suspendue
- Identifiez la localisation physique des données dans vos contrats
- Vérifiez les clauses relatives aux sous-traitants et à leurs propres certifications
- Assurez-vous qu'une vérification annuelle est prévue dans votre processus de pilotage des prestataires
Pour un praticien libéral
Si vous utilisez un logiciel de gestion de cabinet, une application de suivi patient, ou une plateforme de téléconsultation, vérifiez que l'éditeur héberge vos données sur une infrastructure certifiée HDS. Ce n'est pas une question de confort — c'est votre responsabilité professionnelle.
En cas d'incident de sécurité sur des données patient hébergées chez un prestataire non certifié HDS, votre responsabilité peut être engagée.
Questions fréquentes sur la certification HDS
Q : Qu'est-ce que la certification HDS et qui doit l'avoir ? R : C'est un dispositif réglementaire français (article L.1111-8 du Code de la santé publique) : tout prestataire qui héberge des données de santé pour le compte d'un tiers — hôpital, cabinet médical, application de suivi patient, plateforme SaaS médicale — doit être certifié. Sans certification, l'hébergement est illégal, quels que soient les autres niveaux de sécurité.
Q : Que change le référentiel HDS v2.0 ? R : Quatre renforcements majeurs : alignement sur la norme ISO 27001:2022, hébergement physique des données obligatoirement dans l'Espace Économique Européen, audits sur site (et non plus seulement documentaires), et traçabilité complète de la chaîne de sous-traitance. Les anciens certificats v1.1 sont caducs depuis le 16 mai 2026.
Q : La certification HDS fait-elle double emploi avec le RGPD ? R : Non. Le RGPD fixe des principes généraux de protection des données personnelles ; la certification HDS est une spécificité du droit français qui y ajoute des obligations dédiées aux données de santé, catégorie particulièrement sensible.
Q : Comment vérifier qu'un prestataire est réellement conforme ? R : Demandez le certificat HDS en cours de validité (pas une attestation auto-déclarée), vérifiez sa date d'expiration, identifiez la localisation physique des données dans vos contrats, contrôlez les clauses relatives aux sous-traitants et prévoyez une vérification annuelle.
Q : Un praticien libéral est-il concerné ? R : Oui. Si votre logiciel de cabinet, application de suivi ou plateforme de téléconsultation héberge des données patient chez un prestataire non certifié HDS, votre responsabilité professionnelle peut être engagée en cas d'incident.
Elysium Care et Elysium MedTech : HDS au cœur de l'architecture
C'est précisément parce que la certification HDS est non négociable que Elysium Care — la plateforme de suivi patient développée par Elysium MedTech — a fait de l'hébergement HDS certifié une condition fondatrice de son architecture, et non une option.
Toutes les données patients gérées par Elysium Care sont hébergées en France sur infrastructure certifiée HDS v2.0, avec chiffrement bout-en-bout et conformité RGPD complète. Aucune donnée de santé ne transite par des serveurs hors EEE.
Pour les praticiens qui adoptent Elysium Care, c'est une garantie de sécurité juridique et une protection de leur responsabilité professionnelle.
👉 En savoir plus sur Elysium Care et sa conformité HDS
👉 Contacter Elysium MedTech pour vos projets de santé numérique
Sources : Agence du Numérique en Santé (ANS), Code de la santé publique Art. L.1111-8, Galeon.care, Relyens, Arkhineo, SquairLaw, CERT Santé 2024, Lexology. Article mis à jour en mai 2026.
Depuis 2008, MEDS-LINK accompagne les médecins, les établissements de santé et les professionnels du secteur grâce à un Intelligent Medical Ecosystem réunissant recrutement médical international, mobilité, technologies numériques, formation et innovation.