Foire aux questions sur le HDS

HDS signifie « Hébergeur de Données de Santé ». Par extension, le terme désigne la certification française à laquelle ces hébergeurs sont soumis depuis le 1er avril 2018, en application de l'article L.1111-8 du Code de la santé publique.

C'est toute information relative à la santé physique ou mentale d'une personne, passée, présente ou future, permettant de l'identifier. Le RGPD la classe parmi les données sensibles (article 9), dont le traitement est en principe interdit sauf exceptions encadrées.

En France métropolitaine, oui : héberger des données de santé pour le compte de tiers exige la certification HDS. En Nouvelle-Calédonie, le dispositif national n'est pas opposable de plein droit (article L.1541-3), mais la loi du pays n° 2026-5 du 5 mai 2026 a créé un régime local : l'hébergement de données de santé y est désormais conditionné à un agrément du gouvernement de la Nouvelle-Calédonie, incluant une certification par un organisme accrédité.

Oui, depuis la loi du pays n° 2026-5 du 5 mai 2026. Son article Lp. 2111-1 conditionne l'hébergement des données de santé à un agrément délivré par le gouvernement de la Nouvelle-Calédonie, sous cinq conditions : référentiel technique local, localisation des données en NC (ou dans un État à protection équivalente), certification par un organisme accrédité, assurance, et siège social en NC. L'agrément vaut trois ans.

1) sites physiques d'hébergement de l'infrastructure matérielle ; 2) infrastructure matérielle ; 3) infrastructure virtuelle ; 4) plateforme d'hébergement d'applications ; 5) administration et exploitation du système d'information ; 6) sauvegarde des données de santé. Elles se regroupent en deux familles : hébergeur d'infrastructure physique et hébergeur infogéreur.

La norme ISO/IEC 27001 (management de la sécurité de l'information) constitue le socle principal, complétée par l'ISO/IEC 20000-1, l'ISO/IEC 27018 et des exigences santé définies par l'Agence du Numérique en Santé. L'essentiel de l'effort de mise en conformité porte sur l'ISO 27001.

Le certificat est valable 3 ans, sous réserve d'un audit de surveillance annuel. La certification se maintient donc dans le temps et n'est pas acquise définitivement.

Des organismes certificateurs accrédités par le COFRAC (ou un organisme équivalent dans l'UE), comme AFNOR Certification, Bureau Veritas, le LNE ou Apave Certification. L'Agence du Numérique en Santé pilote le dispositif et publie la liste des hébergeurs certifiés.

Le nouveau référentiel a été fixé par l'arrêté du 26 avril 2024, publié au Journal officiel le 16 mai 2024. Les nouveaux candidats sont évalués sur cette version depuis le 16 novembre 2024, et les hébergeurs déjà certifiés doivent migrer au plus tard le 16 mai 2026. Il renforce la souveraineté (localisation dans l'EEE) et s'aligne sur ISO/IEC 27001:2022.

L'article L.1115-1 du Code de la santé publique punit de 3 ans d'emprisonnement et 45 000 € d'amende le fait de fournir une prestation d'hébergement de données de santé sans le certificat requis. Ce texte vise le prestataire d'hébergement. Pour une personne morale, l'amende peut être portée à 225 000 €. S'y ajoute le régime de sanctions du RGPD.

Oui. La loi Informatique et Libertés, qui met en œuvre le RGPD, est applicable en Nouvelle-Calédonie depuis le 1er juin 2019 (ordonnance n° 2018-1125 du 12 décembre 2018), et la CNIL y est compétente.

La loi du pays n° 2026-5 prévoit, à son article Lp. 2113-2, une sanction administrative pouvant atteindre 1 000 000 F CFP pour le fait de confier une prestation d'hébergement de données de santé à une personne non titulaire de l'agrément du gouvernement de la Nouvelle-Calédonie. L'agrément peut également être retiré si ses conditions ne sont plus remplies.

Le RGPD fixe les règles générales de protection des données ; l'ISO 27001 est une norme de sécurité de l'information ; le HDS combine l'ISO 27001 et des exigences santé spécifiques pour l'hébergement des données de santé. Le HDS s'ajoute au RGPD, il ne le remplace pas. Il se distingue aussi de SecNumCloud, plus exigeant sur la souveraineté.