Certification HDS

Le déroulé complet de la certification HDS : normes, audit, validité, HDS 2.0.

Mis à jour le 24 juin 2026 · sources officielles citées en bas de page

Obtenir la certification HDS n’est pas une formalité administrative : c’est une démarche de sécurité de l’information auditée par un tiers. Voici les normes mobilisées, le déroulé de l’audit, la durée de validité et le calendrier de la nouvelle version du référentiel.

Sur quoi repose le référentiel HDS

Le référentiel HDS, défini par l’Agence du Numérique en Santé (ANS), s’appuie sur trois normes internationales et sur des exigences propres au secteur santé :

  • ISO/IEC 27001 — management de la sécurité de l’information. C’est le socle : l’hébergeur doit lui-même être certifié ISO 27001, et l’essentiel de l’effort de mise en conformité porte sur cette norme.
  • ISO/IEC 20000-1 — gestion des services informatiques (reprise pour partie).
  • ISO/IEC 27018 — protection des données à caractère personnel dans le cloud (présomption de conformité partielle).
  • des exigences additionnelles santé définies par l’ANS, ainsi que les obligations issues du RGPD.

ISO 27001 : le cœur de la démarche

Parce que l’ISO/IEC 27001 représente la majeure partie des exigences, une organisation qui vise le HDS commence en pratique par bâtir un véritable système de management de la sécurité de l’information : analyse de risques, politique de sécurité, mesures techniques et organisationnelles, amélioration continue. Le référentiel HDS révisé s’aligne sur la version ISO/IEC 27001:2022 de la norme.

Deux types de certificats, six activités

On distingue deux certificats : « hébergeur d’infrastructure physique » et « hébergeur infogéreur ». Chacun couvre certaines des six activités d’hébergement. Un prestataire déclare les activités pour lesquelles il demande la certification ; il faut donc toujours vérifier le périmètre exact du certificat d’un hébergeur.

L’audit en deux étapes

La certification est délivrée à l’issue d’un audit conduit par un organisme certificateur, en deux temps :

  1. un audit documentaire (étape 1), qui vérifie que le système de management et la documentation sont en place ;
  2. un audit sur site (étape 2), qui contrôle la mise en œuvre réelle des mesures.

En cas d’écarts, des actions correctives sont demandées avant délivrance.

Durée de validité et surveillance

Qui délivre la certification ?

La certification est délivrée par des organismes certificateurs accrédités par le COFRAC (ou un organisme d’accréditation équivalent dans l’Union européenne), parmi lesquels AFNOR Certification, Bureau Veritas, le LNE ou Apave Certification. L’ANS pilote le dispositif et publie la liste des hébergeurs certifiés.

HDS 2.0 : le nouveau référentiel et l’échéance du 16 mai 2026

Cette nouvelle version renforce notamment les exigences de souveraineté : localisation physique des données au sein de l’Espace économique européen et transparence sur les éventuels accès depuis des pays tiers. Elle intègre par ailleurs certaines évolutions issues d’ISO/IEC 27001:2022. Pour les acteurs concernés, l’anticipation de cette échéance est un point d’attention majeur.

Comment se préparer

En pratique, une démarche HDS suppose : un état des lieux de la sécurité existante, la construction (ou la mise à niveau) d’un système de management ISO 27001, la formalisation documentaire, des actions de remédiation, puis l’audit. C’est un projet de plusieurs mois, dont la durée et le coût dépendent fortement de la maturité initiale de l’organisation.

Pour la portée de ce dispositif en Nouvelle-Calédonie, lisez « HDS en Nouvelle-Calédonie » ; pour vos responsabilités juridiques, « Obligations légales sur les données de santé ».

Sources : ANS — Certification HDS · Communiqué — nouvelle version du référentiel HDS · arrêté du 26 avril 2024 (JORF du 16 mai 2024).