HDS v2 - tout comprendre de la règlementation et ses enjeux
Certification HDS :
Les 6 périmètres expliqués
Comprendre les activités couvertes par la certification Hébergeur de Données de Santé pour choisir le bon prestataire.
Upgradez votre certification HDS en version 2
Derrière l'appellation "certification HDS" se cachent en réalité 6 activités distinctes. Un hébergeur peut être certifié sur un seul périmètre, plusieurs, ou l'ensemble des six.
Cette granularité reflète la réalité des métiers : un datacenter ne fait pas le même travail qu'un éditeur de logiciel de santé. Comprendre ces périmètres vous permet de choisir le bon prestataire — et d'éviter les mauvaises surprises.
💡 Bon à savoir : Les périmètres 1 à 4 concernent principalement les hébergeurs et cloud providers. Les périmètres 5 et 6 s'adressent davantage aux éditeurs de logiciels de santé et prestataires de services applicatifs.
Les 6 périmètres détaillés
Cliquez sur chaque périmètre pour découvrir ce qu'il couvre concrètement.
Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d'héberger l'infrastructure matérielle du SI de santé.
- Bâtiments et salles informatiques sécurisées
- Contrôle d'accès physique
- Protection incendie et détection
- Alimentation électrique redondée
- Climatisation et refroidissement
Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle du système d'information.
- Serveurs physiques
- Baies de stockage (SAN, NAS)
- Équipements réseau (switches, firewalls)
- Systèmes de sauvegarde matériels
- Maintenance et remplacement hardware
Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle du système d'information.
- Hyperviseurs (VMware, Hyper-V, KVM)
- Machines virtuelles
- Réseaux virtuels (VLAN, SDN)
- Stockage virtualisé
- Isolation et segmentation
Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement d'applications du système d'information.
- Systèmes d'exploitation
- Middleware et serveurs d'applications
- Bases de données
- Conteneurs (Docker, Kubernetes)
- Gestion des API
Administration et exploitation du système d'information contenant les données de santé.
- Supervision et monitoring 24/7
- Gestion des incidents
- Application des correctifs de sécurité
- Maintien en conditions opérationnelles
- Support technique niveau 2 et 3
Sauvegarde des données de santé — Ce périmètre couvre uniquement les sauvegardes externalisées vers un site distant ou un prestataire tiers.
- Sauvegarde sur site distant
- Réplication géographique
- Archivage long terme
- Tests de restauration
- Plan de reprise d'activité (PRA)
🏢 Hébergeur d'infrastructure physique
Datacenters et infrastructure matérielle
⚙️ Hébergeur infogéreur
Virtualisation, plateforme, exploitation, sauvegarde
Ce que change HDS v2
Le nouveau référentiel renforce les exigences et clarifie les périmètres.
Souveraineté renforcée
Hébergement et traitement des données obligatoirement dans l'Espace économique européen. Transferts hors UE strictement encadrés.
ISO 27001:2022
Alignement sur la dernière version de la norme internationale de management de la sécurité de l'information.
Périmètres clarifiés
Les 6 activités sont mieux définies, facilitant l'identification de ce que couvre réellement chaque hébergeur.
Contrats renforcés
Nouvelles obligations contractuelles formalisant les garanties de sécurité, traçabilité et continuité.
Questions fréquentes
Tout ce que vous devez savoir sur la certification HDS.
Qu'est-ce que la certification HDS ?
La certification Hébergeur de Données de Santé est une obligation réglementaire française pour tout organisme qui héberge ou traite des données de santé à caractère personnel pour le compte de tiers. Elle garantit un niveau élevé de sécurité, confidentialité et traçabilité.
Quels sont les 6 périmètres de la certification HDS ?
Les 6 périmètres sont : 1) sites physiques (datacenters), 2) infrastructure matérielle, 3) infrastructure virtuelle, 4) plateforme d'hébergement d'applications, 5) administration et exploitation du SI, 6) sauvegarde externalisée des données de santé.
Quelle différence entre HDS v1 et HDS v2 ?
HDS v2, applicable depuis novembre 2024, renforce les exigences de souveraineté (hébergement dans l'EEE), s'aligne sur la norme ISO 27001:2022, clarifie les périmètres d'activité et renforce les obligations contractuelles entre hébergeurs et clients.
Un hébergeur doit-il être certifié sur les 6 périmètres ?
Non. Un hébergeur peut être certifié sur un ou plusieurs périmètres selon ses activités. Vérifiez que les périmètres couverts correspondent à vos besoins : datacenter seul, infrastructure complète, ou infogérance applicative.
Quelle est la relation entre HDS et ISO 27001 ?
La certification HDS s'appuie sur la norme ISO 27001 comme socle. Un hébergeur doit d'abord mettre en place un Système de Management de la Sécurité de l'Information (SMSI) conforme à ISO 27001, puis y ajouter les exigences spécifiques HDS.
La certification HDS est-elle obligatoire ?
Oui. Tout organisme public ou privé qui héberge des données de santé à caractère personnel pour le compte d'un tiers doit être certifié HDS. C'est une exigence réglementaire depuis 2018.
Les hyperscalers américains peuvent-ils être certifiés HDS ?
Oui, certains services AWS, Google Cloud ou Azure sont certifiés HDS. Cependant, tous leurs services ne sont pas couverts, et leur soumission au Cloud Act soulève des questions de souveraineté. Les régulateurs recommandent de privilégier des solutions européennes.
Conseil / Audit
