Hébergement de Données de Santé (HDS) : pourquoi c'est non négociable
Votre logiciel de gestion d'officine héberge les données de vos patients. Votre outil de messagerie transmet des ordonnances. Votre service de réception de documents stocke des cartes de mutuelle. La question : ces prestataires sont-ils certifiés HDS ?
HDS : de quoi parle-t-on ?
La certification Hébergeur de Données de Santé est une obligation légale française. Elle impose à toute entreprise qui héberge des données de santé à caractère personnel de respecter un cahier des charges strict en matière de sécurité.
Base légale : Article L.1111-8 du Code de la santé publique, en vigueur depuis le 1er avril 2018.
Fondement technique : La certification repose sur les normes ISO 27001 (sécurité de l'information), ISO 27018 (protection des données personnelles dans le cloud) et ISO 27017 (sécurité des services cloud). Un hébergeur certifié HDS a prouvé, lors d'un audit indépendant, qu'il applique les standards de sécurité les plus exigeants.
Qui doit être certifié HDS ?
Tout prestataire qui héberge, stocke ou traite des données de santé pour le compte d'un tiers. Exemples concrets pour une pharmacie :
- L'éditeur de votre LGO, s'il fonctionne en mode SaaS ou cloud
- Le prestataire qui héberge votre site web, si celui-ci collecte des données de santé
- L'outil de réception de documents patients
- Le service de messagerie sécurisée entre professionnels de santé
- Le prestataire de télétransmission
Les professionnels de santé qui hébergent les données dans leur propre système informatique (sur site) ne sont pas soumis à la certification HDS. Mais ils restent responsables de la sécurité au titre du RGPD (notre checklist RGPD détaille les obligations).
Ce que garantit la certification HDS
| Exigence | Concrètement |
|---|---|
| Sécurité physique | Datacenters sécurisés, contrôle d'accès, vidéosurveillance, redondance électrique |
| Chiffrement | Données chiffrées au repos et en transit |
| Contrôle d'accès | Seules les personnes autorisées accèdent aux données |
| Traçabilité | Tous les accès sont journalisés et auditables |
| Disponibilité | Engagements de disponibilité (SLA) et plans de reprise |
| Localisation | Hébergement dans l'EEE (nouveau en HDS 2.0) |
| Notification | Obligation d'informer en cas d'incident de sécurité |
| Réversibilité | Possibilité de récupérer ses données en cas de changement |
HDS 2.0 : ce qui change en 2026
Le nouveau référentiel HDS 2.0 a été publié au Journal officiel le 16 mai 2024.
Hébergement dans l'EEE obligatoire. Les données de santé doivent être physiquement hébergées dans l'Espace Économique Européen. C'est une réponse directe aux préoccupations liées au Cloud Act américain.
Transparence renforcée. Si un accès se fait depuis un pays hors EEE, l'hébergeur doit en informer ses clients et justifier les mesures de protection.
Calendrier
- Depuis le 16 novembre 2024 : les nouveaux candidats sont évalués selon HDS 2.0
- 16 mai 2026 : date limite. Tous les hébergeurs doivent être certifiés HDS 2.0
Les risques sans certification HDS
Risque pénal
Le Code de la santé publique prévoit : jusqu'à 3 ans d'emprisonnement et jusqu'à 45 000 euros d'amende (article L.1115-2).
Risque CNIL
En parallèle, la CNIL peut sanctionner au titre du RGPD pour défaut de sécurisation des données de santé. En 2024, elle a prononcé 87 sanctions pour un total de plus de 55 millions d'euros d'amendes (source : CNIL, Bilan 2024).
Risque opérationnel
Un hébergeur non certifié n'a pas les mêmes obligations de disponibilité, de redondance et de plan de reprise d'activité. En cas d'incident, vous n'avez aucune garantie contractuelle.
Comment vérifier la certification HDS de vos prestataires
- Demandez le certificat. Tout hébergeur certifié peut le fournir. Il est délivré par un organisme certificateur accrédité par le COFRAC.
- Vérifiez le périmètre. La certification porte sur des activités précises. Assurez-vous que le périmètre couvre bien vos services.
- Consultez la liste officielle. L'ANS publie la liste des hébergeurs certifiés sur esante.gouv.fr.
- Vérifiez la version. Après le 16 mai 2026, exigez une certification HDS 2.0.
En résumé
- La certification HDS est une obligation légale, pas une option commerciale
- Elle concerne tout prestataire qui héberge des données de santé pour un tiers
- Le référentiel HDS 2.0 renforce les exigences. Date limite : mai 2026.
- Les sanctions vont jusqu'à 3 ans d'emprisonnement et 45 000 euros d'amende
- Vérifiez la certification de chacun de vos prestataires
FranceOrdo est hébergé chez Scalingo, certifié HDS, avec des données physiquement stockées en France. On ne vous demande pas de nous croire sur parole : le certificat est public et vérifiable.
Essayer FranceOrdo gratuitement pendant 45 jours