Héberger des données de santé n'est pas un choix : c'est une obligation encadrée
Dossiers patients, comptes rendus médicaux, bulletins de paie contenant des arrêts maladie, résultats d'analyses de médecine du travail : les données de santé circulent bien au-delà des murs des hôpitaux. Toute organisation qui héberge, manipule ou archive des données de santé à caractère personnel est soumise à un cadre réglementaire strict, dont la certification HDS (Hébergement de Données de Santé) est la pierre angulaire.
Pourtant, beaucoup d'entreprises ignorent qu'elles sont concernées. Un cabinet comptable qui traite les paies d'un établissement de santé, une ETI industrielle dont le service de médecine du travail conserve des dossiers médicaux, un éditeur logiciel dont la solution stocke des données patients — tous entrent dans le périmètre HDS dès lors que les données qu'ils hébergent permettent de déterminer l'état de santé d'une personne.
Cet article fait le point sur ce qu'est la certification HDS, qui est réellement concerné, et comment choisir un prestataire qui vous met en conformité sans complexifier votre infrastructure.
Qu'est-ce que la certification HDS et que couvre-t-elle
La certification HDS est un dispositif réglementaire français, défini par l'article L.1111-8 du Code de la santé publique et précisé par le décret n°2018-137 du 26 février 2018. Elle remplace l'ancien agrément ministériel et impose à tout hébergeur de données de santé à caractère personnel de se faire certifier par un organisme accrédité par le COFRAC.
La certification HDS couvre deux périmètres distincts. Le premier concerne l'hébergeur d'infrastructure physique : il gère les datacenters, l'alimentation électrique, la climatisation, la sécurité physique des serveurs. Le second concerne l'hébergeur infogéreur : il administre les systèmes, les réseaux, les sauvegardes et les applications qui traitent les données de santé.
Un prestataire peut être certifié sur l'un ou les deux périmètres. Le référentiel de certification est basé sur la norme ISO 27001 (sécurité de l'information), enrichie d'exigences spécifiques aux données de santé : gestion du consentement, traçabilité renforcée, notification des incidents, portabilité des données, et localisation de l'hébergement sur le territoire de l'Union européenne.
La certification HDS n'est pas une option ni un label marketing. C'est une obligation légale. Tout organisme qui héberge des données de santé à caractère personnel sans être certifié HDS — ou sans recourir à un prestataire certifié — s'expose à des sanctions pénales pouvant aller jusqu'à 3 ans d'emprisonnement et 150 000 € d'amende, en plus des sanctions RGPD.
Qui est concerné : bien au-delà du secteur médical
L'erreur la plus fréquente est de penser que la certification HDS ne concerne que les hôpitaux et les cliniques. En réalité, le périmètre est beaucoup plus large.
Les établissements de santé (hôpitaux, cliniques, EHPAD, laboratoires) sont évidemment concernés pour l'hébergement des dossiers patients, des comptes rendus, de l'imagerie médicale et des prescriptions.
Les mutuelles et assureurs qui traitent des données de remboursement liées à des actes médicaux hébergent des données de santé au sens de la loi.
Les entreprises de toute taille qui gèrent en interne la médecine du travail et conservent des dossiers médicaux de leurs salariés (visites médicales, aptitudes, restrictions) doivent s'assurer que ces données sont hébergées chez un prestataire certifié HDS.
Les prestataires IT, éditeurs logiciels et intégrateurs dont les solutions stockent ou transitent des données de santé (logiciels de paie intégrant des données d'arrêt maladie, plateformes de téléconsultation, GED contenant des dossiers médicaux) doivent être certifiés HDS ou recourir à un hébergeur qui l'est.
Les cabinets comptables et les gestionnaires de paie externalisés qui traitent les bulletins de paie d'établissements de santé manipulent des données permettant de déduire l'état de santé des personnes et entrent dans le champ d'application.
La règle est simple : si les données que vous hébergez, même indirectement, permettent de déterminer l'état de santé d'une personne physique identifiée ou identifiable, vous êtes dans le périmètre HDS.
Comment choisir un prestataire certifié HDS
Le choix d'un prestataire HDS ne se limite pas à vérifier qu'il possède le certificat. Plusieurs critères doivent guider votre décision.
Vérifiez la validité et le périmètre du certificat. La certification HDS est délivrée pour 3 ans, avec un audit de surveillance annuel. Demandez le certificat en cours de validité et vérifiez qu'il couvre le périmètre dont vous avez besoin (infrastructure physique, infogérance, ou les deux). La liste des hébergeurs certifiés est publiée par l'Agence du Numérique en Santé (ANS).
Évaluez la localisation des données. Le référentiel HDS exige que les données soient hébergées dans l'Union européenne. Mais au-delà de cette obligation minimale, privilégiez un hébergement en France pour simplifier le cadre juridique applicable et rassurer vos parties prenantes.
Examinez les garanties de réversibilité. En cas de changement de prestataire, vous devez pouvoir récupérer l'intégralité de vos données dans un format exploitable, dans un délai raisonnable. Cette clause doit figurer dans le contrat.
Vérifiez l'intégration avec votre chaîne documentaire. Un hébergeur HDS isolé crée un silo. L'idéal est un prestataire dont la certification HDS couvre l'ensemble de votre chaîne : archivage électronique, gestion du courrier entrant (numérisation de courriers médicaux), et GED avec des droits d'accès granulaires adaptés aux données sensibles.
ClearDoc Solutions est certifié HDS sur l'ensemble de son infrastructure d'archivage et de traitement documentaire. Cette certification couvre l'archivage électronique à valeur probante, la numérisation sécurisée du courrier entrant, et le coffre-fort numérique pour les bulletins de paie. L'intégration avec DocuWare permet de gérer les droits d'accès de manière fine : seuls les utilisateurs habilités accèdent aux documents contenant des données de santé.
Les bonnes pratiques pour sécuriser vos données de santé
Au-delà du choix du prestataire, la conformité HDS implique des pratiques internes rigoureuses.
Cartographiez vos flux de données de santé. Identifiez précisément où ces données sont créées, traitées, stockées et archivées dans votre organisation. Cette cartographie est aussi une exigence du RGPD (registre des traitements) et constitue le socle de votre conformité.
Cloisonnez les accès. Les données de santé ne doivent être accessibles qu'aux personnes habilitées, dans le cadre strict de leurs missions. Mettez en place des droits d'accès granulaires dans votre GED, avec une authentification forte et une traçabilité complète des consultations.
Chiffrez systématiquement. Les données de santé doivent être chiffrées au repos (dans les bases de données et les archives) et en transit (lors des transferts entre systèmes). Le chiffrement n'est pas une option : c'est une exigence du référentiel HDS et une recommandation forte de la CNIL.
Formez vos collaborateurs. La faille de sécurité la plus fréquente reste humaine. Sensibilisez vos équipes aux règles de manipulation des données de santé : pas d'envoi par email non chiffré, pas de stockage sur des supports personnels, signalement immédiat de tout incident.
Préparez-vous aux contrôles. La CNIL intensifie ses contrôles sur les données de santé. Documentez vos mesures de sécurité, conservez les preuves de conformité (certificats HDS de vos prestataires, politique de sécurité, registre des traitements), et désignez un DPO si ce n'est pas encore fait.
FAQ
La certification HDS est-elle obligatoire pour toutes les entreprises ? Non, elle est obligatoire uniquement pour les organismes qui hébergent des données de santé à caractère personnel pour le compte de tiers ou dans le cadre de leur activité. Mais le périmètre est large : il inclut les établissements de santé, les prestataires IT, les gestionnaires de paie, et toute entreprise dont les systèmes stockent des données permettant de déterminer l'état de santé d'une personne.
Quelle est la différence entre HDS et ISO 27001 ? ISO 27001 est une norme internationale de management de la sécurité de l'information. La certification HDS est construite sur ISO 27001 mais ajoute des exigences spécifiques aux données de santé : consentement, notification des incidents, localisation des données dans l'UE, portabilité et réversibilité. Un hébergeur ISO 27001 n'est pas nécessairement certifié HDS.
Peut-on utiliser un cloud public (AWS, Azure, GCP) pour héberger des données de santé ? Oui, à condition que le service cloud utilisé soit lui-même certifié HDS sur le périmètre concerné et que les données soient hébergées dans l'Union européenne. Cependant, la certification du cloud provider ne dispense pas l'entreprise utilisatrice de ses propres obligations en matière de sécurité, de gestion des accès et de conformité RGPD. Contactez-nous pour évaluer la meilleure architecture pour votre cas.
---
Vous souhaitez en savoir plus ? Planifiez votre audit gratuit avec ClearDoc Solutions.
