Le HDS expliqué

Tout comprendre du dispositif HDS : définition, périmètre et certification.

Mis à jour le 24 juin 2026 · sources officielles citées en bas de page

Dès qu’un cabinet, une clinique, un éditeur de logiciel ou une collectivité confie l’hébergement de données médicales à un prestataire, la loi exige que ce prestataire soit certifié HDS. Voici, en clair, ce que recouvre ce dispositif, qui il concerne et ce qu’il garantit.

Qu’est-ce que le HDS exactement ?

Le sigle HDS signifie « Hébergeur de Données de Santé » — et, par extension, la certification à laquelle ces hébergeurs sont soumis. Le cadre repose sur l’article L.1111-8 du Code de la santé publique et sur le décret n° 2018-137 du 26 février 2018. L’objectif est simple : garantir la sécurité, la confidentialité et la disponibilité des données de santé lorsqu’elles ne sont plus stockées en interne mais confiées à un tiers.

Avant 2018, ces hébergeurs devaient obtenir un agrément ministériel. Depuis le 1er avril 2018, ce régime a été remplacé par une certification délivrée par des organismes indépendants accrédités. Un point important : l’archivage électronique à valeur probante reste, lui, soumis à un agrément distinct du ministère chargé de la culture — il ne faut pas confondre les deux régimes.

Qu’est-ce qu’une « donnée de santé » ?

Cette qualification est large : résultats d’analyses, dossier patient, données d’un objet connecté médical, mais aussi, selon le contexte, une simple information permettant de déduire un état de santé. C’est cette sensibilité qui justifie un niveau d’exigence supérieur au droit commun de la protection des données.

Qui est concerné — et qui ne l’est pas

La certification vise le prestataire qui héberge les données pour le compte d’un tiers : datacenters, fournisseurs de cloud, infogéreurs, éditeurs SaaS du secteur santé. En revanche, une structure qui héberge ses données en interne, pour son propre compte, n’entre pas dans le champ de l’obligation de certification (elle reste néanmoins pleinement soumise au RGPD).

Autrement dit : c’est l’hébergeur qui doit être certifié, pas nécessairement le professionnel de santé client. Mais ce dernier engage sa responsabilité s’il confie ses données à un prestataire non certifié — un point que nous détaillons dans le guide des obligations légales sur les données de santé.

Les 6 activités d’hébergement

Le périmètre de la certification est découpé en six activités (article R.1111-9 du Code de la santé publique). Un hébergeur est certifié pour une ou plusieurs d’entre elles :

  1. la mise à disposition et la maintenance de sites physiques permettant d’héberger l’infrastructure matérielle ;
  2. la mise à disposition et la maintenance de l’infrastructure matérielle du système d’information ;
  3. la mise à disposition et la maintenance de l’infrastructure virtuelle ;
  4. la mise à disposition et la maintenance d’une plateforme d’hébergement d’applications ;
  5. l’administration et l’exploitation du système d’information contenant les données de santé ;
  6. la sauvegarde des données de santé.

Ces six activités se regroupent en deux familles de certificats : « hébergeur d’infrastructure physique » (activités 1 et 2) et « hébergeur infogéreur » (activités 3 à 6). Comprendre ce découpage est essentiel pour vérifier qu’un prestataire est certifié pour ce dont on a réellement besoin.

HDS, RGPD, ISO 27001, SecNumCloud : ne pas confondre

Le HDS ne remplace pas le RGPD : il s’y ajoute. Le RGPD fixe les règles générales de protection des données personnelles ; le HDS impose, en plus, un niveau de sécurité technique et organisationnel pour l’hébergement des données de santé.

La certification s’appuie d’ailleurs sur des normes internationales — au premier rang desquelles l’ISO/IEC 27001 (sécurité de l’information), complétée par l’ISO/IEC 20000-1 et l’ISO/IEC 27018, et par des exigences propres au secteur santé définies par l’Agence du Numérique en Santé (ANS).

Enfin, HDS et SecNumCloud sont deux dispositifs distincts : un hébergeur HDS n’est pas automatiquement qualifié SecNumCloud, qui vise une exigence de souveraineté plus stricte (notamment l’immunité aux législations extra-européennes). La loi SREN du 21 mai 2024 impose d’ailleurs SecNumCloud pour certaines données sensibles de l’État. Le détail de la mécanique de certification est expliqué dans notre guide « Certification HDS : comment ça marche ».

Pourquoi c’est un enjeu — y compris en Nouvelle-Calédonie

La donnée de santé est l’une des plus convoitées et des plus sensibles qui soient. Sa fuite est irréversible. Le HDS apporte aux patients comme aux professionnels une garantie vérifiable par un tiers indépendant. En Nouvelle-Calédonie, l’articulation entre ce dispositif national et le droit local soulève des questions spécifiques que nous traitons dans le dossier « HDS en Nouvelle-Calédonie ».

Pour aller plus loin, consultez aussi notre glossaire des termes du HDS et la foire aux questions.

Sources : Légifrance — art. L.1111-8 CSP · Agence du Numérique en Santé — Certification HDS · décret n° 2018-137 du 26 février 2018.