Health and AI
Certification HDS en 2026 : ce que chaque hôpital doit vérifier avant de signer
HDS 2026 : Souveraineté et conformité. Points clés à vérifier pour les hôpitaux afin de sécuriser leurs données avant de signer.
Sommaire
L'essentiel en 30 secondes
Introduction
Chaque hôpital qui confie ses données de santé à un prestataire numérique prend une responsabilité légale. Si ce prestataire n'est pas certifié HDS, c'est l'établissement qui est en infraction, pas seulement le prestataire. C'est une réalité que beaucoup de décideurs hospitaliers découvrent trop tard, souvent au moment d'un audit ou d'un incident.
La certification HDS n'est pas un label de qualité optionnel. C'est une obligation légale dont la méconnaissance ne protège pas.
En 2026, avec l'accélération des projets d'IA médicale, de DPI cloud, et d'échanges inter-hospitaliers, la question de la conformité HDS est plus centrale que jamais. Savoir quoi vérifier, comment le vérifier, et quelles questions poser à un prestataire peut éviter des erreurs coûteuses : juridiquement, financièrement et réputationnellement.
Cet article est un guide pratique pour les DSI et les directions d'établissement. Il couvre ce qu'est la certification HDS, ce qu'elle exige concrètement, et la checklist des points à vérifier avant de signer avec un prestataire de santé numérique.
Qu'est-ce que la certification HDS et pourquoi existe-t-elle ?
La certification HDS (Hébergeur de Données de Santé) a été créée par la loi française pour encadrer spécifiquement l'hébergement des données de santé à caractère personnel. Elle est codifiée à l'article L1111-8 du Code de la santé publique et mise en oeuvre par un référentiel technique publié par l'Agence du Numérique en Santé (ANS). Pour consulter le référentiel officiel : HDS
Pourquoi la France a-t-elle créé un cadre spécifique au-delà du RGPD ?
Le RGPD, règlement européen d'application directe, impose des obligations générales sur le traitement des données personnelles sensibles. Mais le législateur français a estimé que les données de santé méritaient un encadrement supplémentaire, plus prescriptif sur les aspects techniques et organisationnels de l'hébergement.
HDS et RGPD sont deux cadres complémentaires, pas alternatifs. Un prestataire certifié HDS n'est pas automatiquement conforme RGPD, et inversement. Les deux doivent être satisfaits simultanément.
Qui est obligé d'être certifié HDS ?
La loi est claire : toute personne physique ou morale qui héberge, conserve ou traite des données de santé à caractère personnel pour le compte d'un professionnel de santé ou d'un établissement de santé doit être certifiée HDS.
Cela inclut notamment :
- Les éditeurs de DPI qui hébergent les données de leurs clients
- Les prestataires de cloud médical
- Les fournisseurs de solutions de messagerie sécurisée de santé
- Les prestataires de télémédecine
- Les opérateurs de plateformes de partage d'imagerie médicale
Quelles sont les 6 activités couvertes par la certification HDS ?
Le référentiel HDS couvre six activités distinctes, organisées en deux catégories. Un prestataire peut être certifié sur tout ou partie de ces activités selon la nature de ses services.
Les activités d'hébergement d'infrastructure physique
Activité 1 : Mise à disposition et maintien en condition opérationnelle des sites physiques Elle couvre la sécurité physique des datacenters : contrôles d'accès, redondance électrique, systèmes anti-incendie, climatisation. C'est la couche la plus basse de la certification.
Activité 2 : Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle Elle couvre les serveurs, le stockage et le réseau qui hébergent physiquement les données.
Activité 3 : Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle Elle couvre la virtualisation, les environnements cloud, et les ressources de calcul mutualisées.
Les activités d'hébergement infogéré
Activité 4 : Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement des applications Elle couvre l'environnement d'exécution des applications médicales : bases de données, middleware, services d'authentification.
Activité 5 : Administration et exploitation du système d'information Elle couvre la gestion quotidienne du SI : mises à jour, surveillance, gestion des incidents, sauvegarde et restauration.
Activité 6 : Infogérance des produits de santé C'est l'activité la plus complète. Elle couvre la gestion globale d'une solution de santé numérique pour le compte d'un établissement, y compris le support utilisateur et la maintenance applicative.
La checklist des points à vérifier avant de signer avec un prestataire
Voici la checklist pratique que tout DSI ou direction d'hôpital devrait appliquer avant de contractualiser avec un prestataire de santé numérique.
Vérification de la certification
- Demander le certificat HDS en cours de validité : pas une attestation de conformité, un certificat délivré par un organisme accrédité COFRAC
- Vérifier que les activités certifiées correspondent aux services que vous allez utiliser : un prestataire certifié sur l'activité 1 n'est pas forcément certifié sur l'activité 5
- Vérifier la date de validité du certificat : la certification HDS est accordée pour 3 ans et doit être renouvelée
- Consulter le registre public des prestataires certifiés HDS sur le site de l'ANS (HDS) pour confirmer indépendamment la validité
Vérification de la localisation des données
- Confirmer que les données seront hébergées en France ou dans l'Union Européenne : les transferts hors UE sont soumis à des conditions supplémentaires sous le RGPD
- Vérifier les conditions de sous-traitance : si le prestataire fait appel à des sous-traitants pour l'hébergement, ces sous-traitants doivent également être certifiés HDS
- Exiger une cartographie des flux de données précisant où chaque catégorie de données est hébergée et traitée
Vérification de la sécurité technique
- Vérifier la politique de chiffrement des données au repos et en transit
- Vérifier les mécanismes d'authentification forte pour l'accès aux données
- Confirmer l'existence d'un plan de continuité d'activité (PCA) et d'un plan de reprise d'activité (PRA) testés régulièrement
- Vérifier les SLA de disponibilité et les pénalités contractuelles en cas de non-respect
Vérification de la gouvernance des données
- Exiger un contrat de sous-traitance conforme au RGPD (article 28) précisant les obligations du prestataire
- Vérifier les conditions de réversibilité : comment récupérer vos données si vous changez de prestataire
- Vérifier les procédures de notification en cas de violation de données (délai, format, canal)
- Confirmer les modalités d'audit : votre hôpital doit pouvoir auditer le prestataire ou faire auditer par un tiers
Vérification des capacités d'évolutivité
- Vérifier la compatibilité avec les standards d'interopérabilité (FHIR, HL7) si vous envisagez des échanges avec d'autres systèmes
- Confirmer la roadmap réglementaire du prestataire face aux évolutions attendues (AI Act, EHDS, évolutions des référentiels ANS)
HDS, RGPD et IA médicale : comment les trois cadres s'articulent
Quelles sont les limites et zones d'attention de la certification HDS ?
La certification HDS ne garantit pas la conformité RGPD. C'est une erreur fréquente. Un prestataire certifié HDS a démontré que son hébergement répond à des exigences techniques et organisationnelles précises, mais il peut tout à fait ne pas respecter toutes les obligations du RGPD par ailleurs.
La certification couvre les activités certifiées, pas l'ensemble des services. Un prestataire peut être certifié sur l'hébergement d'infrastructure (activités 1-3) sans l'être sur l'infogérance (activité 6). Vérifier quelles activités sont couvertes par le certificat présenté est indispensable.
La sous-traitance en chaîne est un angle mort fréquent. Si votre prestataire HDS fait appel à un hébergeur cloud non certifié HDS pour une partie de ses services, vous êtes en infraction même si votre contrat principal est avec un prestataire certifié.
La certification est une photo à un instant T. Un prestataire certifié lors de la signature du contrat peut ne plus l'être deux ans plus tard si sa certification a expiré ou a été suspendue. Une vérification annuelle de la validité de la certification est une bonne pratique.
FAQ : les questions pratiques sur la certification HDS
Comment vérifier qu'un prestataire est bien certifié HDS ?
La liste des prestataires certifiés HDS est publique et consultable sur le site de l'Agence du Numérique en Santé (HDS). Elle précise les activités certifiées et la date de validité du certificat. Cette vérification doit être faite directement sur cette source, indépendamment de ce que le prestataire affirme.
Un hôpital public peut-il héberger ses propres données de santé sans être certifié HDS ?
Oui, à condition que l'hébergement soit réalisé exclusivement en interne, sans recours à un prestataire externe. Dans ce cas, l'établissement n'a pas besoin de certification HDS pour lui-même. Mais dès qu'il fait appel à un tiers pour héberger ou traiter ses données, ce tiers doit être certifié.
La certification HDS est-elle reconnue dans d'autres pays de l'Union Européenne ?
La certification HDS est spécifique à la France. Elle n'est pas automatiquement reconnue dans les autres États membres de l'UE. Pour des projets transfrontaliers, il faut se référer aux exigences réglementaires du pays concerné et, à terme, aux standards de l'Espace Européen des Données de Santé (EHDS).
Combien coûte la certification HDS pour un prestataire ?
Le coût de la certification HDS varie selon le périmètre audité et la taille de l'organisation. Les audits représentent généralement plusieurs dizaines de milliers d'euros, auxquels s'ajoutent les coûts internes de préparation et de mise en conformité. Ce coût est supporté par le prestataire, pas par l'hôpital.
Que faire si un prestataire avec qui on travaille perd sa certification HDS ?
L'hôpital doit être immédiatement informé de toute modification du périmètre de certification de son prestataire : c'est une obligation contractuelle à prévoir dès la signature. En cas de perte de certification, l'établissement doit migrer vers un prestataire certifié dans les meilleurs délais pour retrouver une situation de conformité.
En résumé : ce que vous devez retenir sur la certification HDS en 2026
La certification HDS est une obligation légale non négociable pour tout prestataire qui héberge des données de santé à caractère personnel en France. En tant qu'établissement de santé, vous êtes responsable de vos prestataires : vérifier leur certification avant de signer est une diligence minimale qui vous protège juridiquement.
La certification couvre six activités distinctes : avant toute chose, vérifiez que les activités certifiées correspondent aux services que vous allez utiliser. Un certificat partiel ne couvre pas une prestation complète. Complétez toujours cette vérification par une validation de la conformité RGPD : les deux cadres sont complémentaires et doivent être satisfaits simultanément.
En 2026, avec l'accélération des projets IA médicaux et l'entrée en vigueur de l'AI Act, la conformité réglementaire des solutions de santé numérique est un critère de sélection aussi important que les fonctionnalités. Choisir un partenaire comme Galeon, certifié HDS, conforme RGPD par conception, et dont l'architecture BSL® garantit que les données ne quittent jamais les serveurs de l'hôpital, c'est choisir une conformité structurelle, pas contractuelle.
Envie d'approfondir vos connaissances sur les normes du secteur ? Explorez notre lexique complet de la santé numérique.
