Réglementation18 mars 2026MEDS-LINK
Chargement...
Chargement...
Le compte à rebours est terminé. Depuis le 16 mai 2026, les anciens certificats HDS délivrés sous la version 1.1 (référentiel de 2018) sont devenus caducs. Tous les hébergeurs de données de santé opérant en France devaient avoir migré vers le référentiel HDS v2.0 avant cette date — sous peine d'exercer illégalement.
Ce n'est pas une mise à jour cosmétique. La version 2.0, publiée au Journal Officiel le 16 mai 2024 et développée par l'Agence du Numérique en Santé (ANS), introduit des exigences substantiellement renforcées : alignement sur la norme ISO 27001:2022, souveraineté des données dans l'Espace Économique Européen, audits sur site (et non plus seulement documentaires), et encadrement renforcé des sous-traitants.
Pour tout établissement de santé, tout éditeur de logiciel médical, et tout praticien qui utilise une solution numérique pour gérer des données patient — c'est un sujet qui vous concerne directement.
La certification HDS (Hébergeur de Données de Santé) est un dispositif réglementaire français créé par la loi pour encadrer spécifiquement l'hébergement des données de santé à caractère personnel. Elle est codifiée à l'article L.1111-8 du Code de la santé publique et instaurée par décret depuis 2018.
Son principe : tout prestataire qui héberge des données de santé pour le compte d'un tiers — hôpital, cabinet médical, application de suivi patient, plateforme SaaS médicale — doit être certifié HDS. Sans cette certification, l'hébergement est illégal, quels que soient les autres niveaux de sécurité mis en place.
Cette exigence est une spécificité du droit français qui va au-delà du RGPD européen. Le RGPD fixe des principes généraux de protection des données personnelles — la certification HDS y ajoute des obligations spécifiques pour les données de santé, qui constituent une catégorie particulièrement sensible nécessitant un niveau de protection supérieur.
Les données de santé sont parmi les données personnelles les plus sensibles qui existent. Une fuite ou un accès non autorisé peut avoir des conséquences directes sur la vie des patients : discrimination à l'emploi ou à l'assurance, exposition de pathologies stigmatisantes, usurpation d'identité médicale.
Les chiffres donnent le vertige : selon l'Observatoire des incidents de cybersécurité 2024 du CERT Santé, les incidents de cybersécurité dans le secteur de la santé ont progressé de 29 % en un an. Les hôpitaux français ont été particulièrement ciblés — plusieurs attaques ransomware majeures ont paralysé des établissements entiers ces dernières années, entraînant des reports d'opérations et des risques pour les patients.
Dans ce contexte, la certification HDS n'est pas une contrainte bureaucratique. C'est le premier rempart entre les données des patients et les acteurs malveillants.
La nouvelle version du référentiel s'aligne sur la dernière version de la norme internationale de sécurité de l'information ISO 27001. Cela implique pour les hébergeurs une refonte de leur gestion des risques, de leurs processus de contrôle et de leur documentation sécurité.
HDS v2.0 impose que l'hébergement physique des données se fasse dans l'Espace Économique Européen, avec une transparence totale en cas d'accès depuis un pays tiers. Cette exigence vise directement les prestataires soumis à des lois extra-européennes — notamment le Cloud Act américain, qui permet aux autorités américaines d'accéder à des données hébergées par des entreprises américaines, même sur des serveurs européens.
C'est pourquoi des experts recommandent désormais, pour les données de santé les plus sensibles, de privilégier des prestataires cumulant HDS v2 et qualification SecNumCloud — cette dernière offrant des garanties d'immunité totale aux droits extra-européens.
Là où la version 1.1 se contentait d'audits documentaires, HDS v2.0 introduit des audits sur site réalisés par des organismes certificateurs accrédités. La certification devient ainsi plus exigeante à obtenir et à maintenir — mais aussi plus fiable pour les établissements qui s'appuient dessus.
Un angle mort fréquent dans les déploiements cloud : si votre prestataire HDS certifié fait lui-même appel à un hébergeur cloud non certifié pour une partie de ses services, vous êtes en infraction — même si votre contrat principal est avec un prestataire certifié. HDS v2.0 impose une traçabilité complète de la chaîne de sous-traitance.
Vous êtes responsable de vos prestataires. Si vous déployez un logiciel de dossier patient, une application de télémédecine, ou une plateforme de suivi post-opératoire, vous devez vérifier que l'hébergeur sous-jacent est certifié HDS v2.0 — et pas seulement que votre prestataire l'affirme.
Checklist de vérification :
Si vous utilisez un logiciel de gestion de cabinet, une application de suivi patient, ou une plateforme de téléconsultation, vérifiez que l'éditeur héberge vos données sur une infrastructure certifiée HDS. Ce n'est pas une question de confort — c'est votre responsabilité professionnelle.
En cas d'incident de sécurité sur des données patient hébergées chez un prestataire non certifié HDS, votre responsabilité peut être engagée.
C'est précisément parce que la certification HDS est non négociable que Elysium Care — la plateforme de suivi patient développée par Elysium MedTech — a fait de l'hébergement HDS certifié une condition fondatrice de son architecture, et non une option.
Toutes les données patients gérées par Elysium Care sont hébergées en France sur infrastructure certifiée HDS v2.0, avec chiffrement bout-en-bout et conformité RGPD complète. Aucune donnée de santé ne transite par des serveurs hors EEE.
Pour les praticiens qui adoptent Elysium Care, c'est une garantie de sécurité juridique et une protection de leur responsabilité professionnelle.
👉 En savoir plus sur Elysium Care et sa conformité HDS
👉 Contacter Elysium MedTech pour vos projets de santé numérique
Sources : Agence du Numérique en Santé (ANS), Code de la santé publique Art. L.1111-8, Galeon.care, Relyens, Arkhineo, SquairLaw, CERT Santé 2024, Lexology. Article mis à jour en mai 2026.