Carrières
Contactez-nous
Accueil > Certification > Plateforme des services cloud Numspot certifiée HDS

Certification HDS : tout savoir sur le référentiel et l'engagement de Numspot

La certification HDS (Hébergeur de Données de Santé) est une exigence réglementaire s’appliquant à toutes les organisations hébergeant et exploitant des données de santé à caractère personnel. Elle vise à assurer la sécurité, la confidentialité et la disponibilité de ces données sensibles dans un contexte de numérisation du secteur de la santé.

Numspot, en tant qu’éditeur de plateforme de services cloud, est certifié HDS selon le dernier référentiel (publié au Journal Officiel le 16 mai 2024). Cette certification reflète le cadre de confiance offert par la plateforme Numspot aux établissements de santé, éditeurs et prestataires pour protéger la vie privée des patients et la qualité des services d’hébergement de données.

Découvrir les solutions Numspot pour la santé
En savoir plus sur la certification HDS de Numspot

Qu'est-ce que la certification HDS ?

La certification HDS atteste qu’un hébergeur respecte un référentiel exigeant défini par l’ANS (Agence du Numérique en Santé) et certifié par des organismes accrédités COFRAC. Elle couvre l’hébergement des données issues d’activités de prévention, de diagnostic, de soins ou de suivi médico-social. Elle protège contre les risques de pertes, fuites ou interruptions de service, en imposant des mesures techniques et organisationnelles strictes (chiffrement, contrôle d’accès, plans de reprise d’activité).

Qui est concerné par la certification HDS ?

La certification HDS concerne les établissements de santé (hôpitaux, cliniques, EHPAD), les éditeurs de logiciels de santé / HealthTech MedTech (DMP, SIH, téléconsultation) et les prestataires de service (mutuelles, télémédecine, hébergeurs cloud).

Tout sous-traitant accédant à des données de santé doit être certifié ou s'appuyer sur un hébergeur certifié.

Hébergeurs d'infrastructure physique versus hébergeurs gérant des systèmes d'information

Le référentiel HDS distingue deux catégories d'hébergeurs :

  • Les hébergeurs d’infrastructure physique :
    • Ils sont responsables de la mise à disposition et du maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du SI utilisé pour le traitement des données de santé et de l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
    • Ils sont soumis à des exigences de sécurité physique (vidéosurveillance, biométrie), PRA/PCA géoredondants, certification 27001 pour l'infra.
  • Hébergeurs gérant des systèmes d’information (logiciels) :
    • Ils sont en charge de la mise à disposition du maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé, de la plateforme d’hébergement d’applications du système d’information, de l’administration et l’exploitation du système d’information contenant les données de santé, de la sauvegarde externalisée des données de santé.
    • Ils sont soumis à des exigences renforcées de patching sécurité, monitoring 24/7, chiffrement applicatif, gestion identités (IAM).

Principes et objectifs de la certification HDS

La certification HDS encadre l’hébergement des données de santé à caractère personnel et vise à instaurer un haut niveau de confiance entre patients, professionnels de santé et prestataires numériques. Basée sur la norme internationale de sécurité des systèmes d’information ISO 27001, elle comporte des exigences supplémentaires liées au domaine de la santé et à la protection des données personnelles, en conformité avec le Règlement Général sur la Protection des Données (RGPD).

Publié en 2024, le référentiel HDS v2 intègre les avancées en cybersécurité et souveraineté numérique, aligné sur ISO 27001. Il s'appliquera obligatoirement à tous les hébergeurs certifiés à partir de mai 2026.

Elle poursuit plusieurs objectifs :

  • Assurer la sécurité des données de santé à caractère personnel en garantissant leur confidentialité, intégrité et disponibilité face aux risques de fuites, pertes ou cyberattaques.
  • Garantir la qualité et la fiabilité des services d’hébergement et de gestion des données de santé fournis par les prestataires certifiés.
  • Fournir un cadre de confiance pour les établissements et professionnels de santé, éditeur de solutions e-santé et acteurs publics ou privés qui externalisent l’hébergement de leurs données.
  • Protéger la vie privée des patients et le secret médical.

Procédure d'obtention de la certification HDS

Pour obtenir la certification HDS, une organisation doit se conformer à des exigences spécifiques en suivant plusieurs étapes obligatoires :

  • Dépôt d’un dossier auprès d’un organisme certificateur accrédité par le COFRAC.
  • Réalisation d’un pré-audit documentaire pour vérifier la conformité du système d’information avec la norme ISO 27001 et les exigences de la certification HDS.
  • Audit de certification sur site, portant sur les aspects techniques et organisationnels.
  • Examen du rapport d’audit en commission et prise de décision quant à la certification.
  • Délivrance de la certification HDS pour une durée de 3 ans, avec un audit de surveillance annuel.
Découvrir la procédure de certification HDS

Pourquoi choisir un hébergeur certifié HDS comme Numspot lorsque l’on traite des données de santé ?

Choisir un hébergeur certifié HDS comme Numspot, c’est faire le choix de la sécurité, de la conformité et de la simplicité.

Critère Acteur non certifié HDS Numspot - certifié HDS
Cadre légal Risque d’hébergement hors cadre légal Conforme aux exigences Européennes (HDS, RGPD, Code de la santé publique…)
Niveau de sécurité Niveau de sécurité non contrôlé par un tiers, dépend uniquement des engagements contractuels du prestataire. Mesures techniques et organisationnelles auditées (ISO 27001 + référentiel HDS), gestion des risques documentée, audits réguliers
Données de santé hébergées Risques de fuites, pertes ou accès non autorisés, sans garanties spécifiques aux données de santé. Confidentialité, intégrité et disponibilité encadrées par un référentiel dédié aux données de santé.
Confiance des autorités et régulateurs Exposition à des contrôles défavorables, sanctions possibles (amendes, injonctions CNIL, pénalités pénales). Certification délivrée par un organisme accrédité, reconnaissance explicite par les autorités de santé.
Maîtrise des risques Gestion des risques non standardisée, forte dépendance à la maturité interne de l’acteur. Analyse de risques formalisée, plan de traitement et amélioration continue imposés par la certification.
Risques financiers Elevés : risque d’amendes pénales, sanctions CNIL et coûts élevés de remédiation ou de migration en urgence. Limités : réduction des risques d’amende et de coûts de mise en conformité d’urgence.

Pour aller plus loin

arrow-down-contained-01

Numspot est disponible via le marché RESAH

arrow-down-contained-01

Numspot est disponible via le marché C.A.I.H.

align-down-02

Télécharger le guide : protection des données de santé

lightbulb-01

En savoir plus sur la sécurité et la conformité

FAQ - Certification HDS

Qu'est-ce que la certification HDS ?

La certification HDS (Hébergeur de Données de Santé) est un label délivré par un organisme accrédité par le  COFRAC (Comité français d'accréditation). Elle atteste qu’un prestataire respecte les exigences de sécurité, de confidentialité et de traçabilité imposées par le Ministère de la Santé pour héberger des données de santé à caractère personnel. Cette certification s’appuie sur la norme ISO 27001 et l’étend avec des exigences spécifiques aux environnements médicaux, qu’il s’agisse d’infrastructures physiques, logiques ou logicielles.

Pour être certifié HDS, un hébergeur cloud comme Numspot doit suivre un processus de certification rigoureux.

Quelle est la durée de validité de la certification HDS ?

La certification HDS est valide pendant 3 ans. Cependant, elle implique une surveillance annuelle : des audits intermédiaires sont réalisés chaque année par l’organisme certificateur afin de vérifier la conformité continue. À la fin du cycle triennal, une réévaluation complète du système est requise pour un renouvellement de la certification.

Comment obtenir la certification HDS ?

L’obtention de la certification HDS repose sur un processus rigoureux en 5 étapes :

  1. Auto-évaluation : réalisation d’un audit interne à partir du référentiel ANSM pour identifier les écarts.
  2. Mise en conformité : implémentation des mesures nécessaires, incluant la sécurité physique (pour les hébergeurs d’infrastructure) et la sécurité logicielle (pour les systèmes d'information).
  3. Pré-audit : diagnostic initial conduit par un organisme certificateur afin de valider le niveau de préparation.
  4. Audit de certification : contrôle officiel sur site, généralement sur une période de 3 à 5 jours.
  5. Surveillance : audits de suivi annuels et réévaluation totale tous les 3 ans.

HDS remplace-t-elle ISO 27001 ?

La certification HDS n’efface pas la norme ISO 27001, elle l’intègre et la complète. Alors que ISO 27001 fixe un cadre général pour la gestion de la sécurité de l'information, HDS ajoute des exigences spécifiques liées à la protection des données de santé (traçabilité, confidentialité, accès, hébergement sécurisé).

HDS est-elle obligatoire pour héberger des données de santé ?

Oui, depuis 2018 (loi HPST), tout organisme qui héberge des données de santé pour le compte d’autrui doit être certifié HDS. L’hébergement non conforme expose les entreprises à des sanctions RGPD (jusqu’à 4% du chiffre d’affaires mondial) ainsi qu’à une interdiction légale d’exercer cette activité.

Quelle est la différence entre HDS et SecNumCloud ?

DS cible données santé ; SecNumCloud = cloud souverain général (ANSSI). NumSpot combine les deux pour souveraineté totale.

La certification HDS (Hébergeur de Données de Santé) concerne exclusivement l’hébergement des données de santé. La qualification SecNumCloud, référentiel de l’ANSSI, concerne la sécurité et la souveraineté des services cloud en général. Un prestataire comme Numspot combine les deux référentiels pour offrir un cloud souverain certifié HDS et SecNumCloud, garantissant sécurité, conformité et indépendance stratégique.

Quels sont les risques à faire appel à un hébergeur qui n'est pas certifié HDS ?

Choisir un hébergeur non certifié HDS expose les centres de santé, hôpitaux et prestataires à plusieurs risques majeurs :

  • Non-conformité légale et sanctions RGPD.
  • Fuite ou altération de données médicales sensibles.
  • Perte de confiance des patients et partenaires.
  • Suspension d’activité imposée par les autorités compétentes.

Quelles sont les modifications et ajouts apportés au référentiel HDS v2 ?

Le référentiel HDS v2, publié en 2025, introduit plusieurs évolutions :

  • Renforcement de l’alignement avec l’ISO 27001.
  • Nouvelles exigences de gouvernance du cloud et de traçabilité.
  • Prise en compte accrue de la cybersécurité opérationnelle (SOC, détection d’incidents).
  • Clarification des rôles hébergeur / sous-traitant / éditeur de logiciel.
  • Simplification de certaines étapes d’audit pour mutualiser les périmètres multi-sites.

Quelle est la différence entre HDS et RGPD ?

La certification HDS et le RGPD poursuivent un objectif commun : garantir la protection des données personnelles de santé. Le RGPD définit le cadre légal européen ; la certification HDS fournit les moyens techniques et organisationnels pour y parvenir. Ainsi, être certifié HDS facilite la mise en conformité RGPD des responsables de traitement et de leurs sous-traitants, en renforçant les mesures de sécurité, de confidentialité et de traçabilité.

La certification HDS est essentielle pour garantir la sécurité et la confidentialité des données de santé à caractère personnel et les organisations de santé concernées par celles-ci doivent se conformer à la norme ISO 27001 et à des exigences spécifiques pour l’obtenir. Il est donc crucial qu’elles mettent en place les mesures adéquates pour protéger les données de santé des utilisateurs en respectant toutes les exigences évaluées.

Produits
Solutions
Cas clients
Partenaires
Tarification
Actualités
Carrières
EN
Contactez-nous

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

Offre de back-up et restauration
Offre de navigation et de visioconférence sécurisées
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
S.I.E.M.