Or check our Popular Categories...

redaction January 26, 2026 81

Hébergement HDS pour Données de Santé : Obligations Légales et Hébergeurs Certifiés

« Le nouveau référentiel HDS 2024 renforce significativement les exigences en matière de souveraineté numérique, imposant désormais un hébergement physique…

« Le nouveau référentiel HDS 2024 renforce significativement les exigences en matière de souveraineté numérique, imposant désormais un hébergement physique exclusif dans l’Espace Économique Européen »

CMS Francis Lefebvre Avocats, Analyse du référentiel HDS 2024

Qui est concerné par l’obligation HDS ?

Acteurs obligés de recourir à un hébergeur certifié

L’obligation de certification HDS concerne tous les acteurs du secteur de la santé qui externalisent l’hébergement de données médicales :

📑 Sommaire de l’article

  • Établissements de santé : hôpitaux publics et privés, cliniques, centres de soins
  • Professionnels de santé libéraux : médecins, dentistes, kinésithérapeutes, infirmiers
  • Laboratoires d’analyses médicales et centres de radiologie
  • Éditeurs de logiciels médicaux (DPI, logiciels de gestion de cabinet)
  • Plateformes de télémédecine et applications de santé
  • Organismes d’assurance santé : mutuelles, complémentaires santé, assurances
  • Associations agréées pour la représentation des usagers du système de santé
  • Structures médico-sociales : EHPAD, établissements pour personnes handicapées

Exceptions et cas particuliers

Certaines situations échappent à l’obligation de certification HDS :

  • Hébergement en interne : un établissement hébergeant ses propres données patients dans sa propre infrastructure n’a pas besoin de certification HDS, mais doit respecter le RGPD
  • Données anonymisées : les données ayant fait l’objet d’une anonymisation complète et irréversible ne sont plus considérées comme des données de santé à caractère personnel
  • Durée de conservation : l’obligation s’applique pendant toute la durée de conservation des données, y compris pour les archives

Les exigences techniques et organisationnelles de la certification HDS

Sécurité et protection des données

Les hébergeurs certifiés HDS doivent mettre en œuvre des mesures de sécurité strictes :

  • Chiffrement des données : en transit (TLS 1.2 minimum) et au repos (algorithmes robustes)
  • Contrôle d’accès : authentification forte, gestion des habilitations, traçabilité complète
  • Cloisonnement : séparation logique et physique des environnements clients
  • Supervision 24/7 : détection des intrusions, monitoring des incidents de sécurité
  • Plans de continuité : PRA (Plan de Reprise d’Activité) et PCA (Plan de Continuité d’Activité) testés régulièrement
  • Sauvegardes : multiples, chiffrées, stockées sur sites distants avec tests de restauration

Souveraineté numérique et localisation des données

Le référentiel HDS 2024 renforce considérablement les exigences en matière de souveraineté :

  • Hébergement physique obligatoire dans l’EEE (Espace Économique Européen) : les données collectées en France doivent être hébergées exclusivement sur le territoire européen
  • Transferts hors EEE : strictement encadrés, nécessitant information des clients, cartographie des risques et mesures de protection renforcées
  • Datacenters : doivent respecter des normes de sécurité physique strictes (contrôles d’accès, vidéosurveillance, redondance énergétique)
  • Personnel : soumis au secret professionnel, formation obligatoire à la sécurité des données de santé

Conformité ISO 27001 et audits

La certification HDS intègre environ 80 % des exigences de la norme ISO 27001:2022, ce qui permet aux hébergeurs déjà certifiés ISO 27001 de bénéficier d’une reconnaissance partielle lors de l’audit HDS.

Les hébergeurs doivent se soumettre à :

  • Audit initial en deux étapes : documentation puis audit sur site
  • Audits de surveillance annuels : vérification du maintien des exigences
  • Durée de validité : 3 ans, avec renouvellement nécessaire
  • Organismes certificateurs accrédités : AFNOR, BSI, Bureau Veritas, etc.

Liste des hébergeurs certifiés HDS en France

Comment consulter la liste officielle ?

L’Agence du Numérique en Santé publie et met à jour mensuellement la liste exhaustive des hébergeurs certifiés HDS sur son portail officiel : esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies

Cette liste indique pour chaque hébergeur :

  • La dénomination sociale complète
  • Les activités certifiées (1 à 6)
  • La version du référentiel appliquée (1.1, 2.0 ou 2024)
  • La date de validité de la certification
  • L’organisme certificateur avec lien de vérification

Principaux hébergeurs HDS du marché français

Le marché français de l’hébergement HDS compte aujourd’hui plus de 300 acteurs certifiés, allant de grands groupes internationaux à des spécialistes français. Parmi les acteurs majeurs :

Hébergeur Type Activités certifiées Spécificités
OVHcloud Cloud public/privé 1 à 6 Leader européen, datacenters français, offres VMware HDS
Docaposte Filiale La Poste 1 à 6 100% français, médecin hébergeur, souveraineté garantie
SFR Business Opérateur télécom 1 à 6 IaaS certifié ISO 27001, 99,99% disponibilité
Microsoft Azure Cloud hyperscaler Variable Régions France, mais souveraineté questionnée
BT Blue (anciennement Business & Decision) Intégrateur spécialisé 1 à 6 Expert e-santé, infogérance 24/7, double datacenter France
Nexeren Cloud souverain 1 à 6 Spécialiste santé, infrastructure française
Evolucare Éditeur logiciels santé 1 à 6 Cloud métier intégré, modèle OPEX

Critères de sélection d’un hébergeur HDS

Pour choisir le bon hébergeur certifié HDS, plusieurs critères doivent être évalués :

  • Périmètre de certification : vérifier que toutes les activités nécessaires sont couvertes
  • Localisation géographique : privilégier les datacenters français pour une souveraineté optimale
  • Performance et disponibilité : SLA (Service Level Agreement) garantissant au minimum 99,9% de disponibilité
  • Sécurité : certifications complémentaires (ISO 27001, SecNumCloud)
  • Tarification : transparence des coûts, modèle OPEX prévisible
  • Support technique : disponibilité 24/7, expertise métier santé
  • Réversibilité : facilité de récupération et migration des données
  • Références clients : retours d’expérience d’établissements similaires

« Le choix d’un hébergeur HDS ne doit pas se limiter au critère tarifaire. La souveraineté des données, la qualité du support et l’expertise métier sont des facteurs déterminants pour garantir la pérennité et la sécurité du système d’information de santé »

Docaposte, Guide du choix de l’hébergeur HDS 2025

Tarifs et modèles économiques de l’hébergement HDS

Fourchettes de prix selon les configurations

Les tarifs de l’hébergement HDS varient considérablement selon l’infrastructure choisie et les services inclus. Les solutions certifiées HDS sont généralement 3 à 4 fois plus coûteuses que les hébergements cloud standards, en raison des exigences strictes de conformité et de sécurité.

Pour un serveur unique : les coûts s’échelonnent de 300 à 1 000 € par mois selon les ressources allouées.
Pour des infrastructures VMware certifiées HDS (prix mensuels HT) :

Configuration RAM CPU Prix/mois Adapté pour
PRE 48 HDS 48 Go 12c/24t – 2,2 GHz 812 € Cabinet médical, petit établissement
PRE 96 HDS 96 Go 12c/24t – 2,2 GHz 972 € Structure pluridisciplinaire
PRE 192 HDS 192 Go 16c/32t – 2,8 GHz 1 059 € Clinique moyenne
SDDC 384 HDS 384 Go 40c/80t – 3,1 GHz 10 828 € Grand établissement
SDDC 768 HDS 768 Go 40c/80t – 3,1 GHz 13 999 € CHU, hôpital

Modèle OPEX versus CAPEX

L’hébergement HDS fonctionne majoritairement sur un modèle OPEX (dépenses opérationnelles), offrant plusieurs avantages financiers :

Avantages du modèle OPEX :

  • Pas d’investissement initial : élimination des coûts d’acquisition de serveurs, baies, onduleurs, licences OS
  • Coûts prévisibles : abonnement mensuel ou annuel incluant maintenance, mises à jour, sauvegardes
  • Évolutivité financière : ajustement des ressources selon les besoins sans investissement lourd
  • Pas de coûts cachés : gestion informatique, sécurité et conformité incluses

Composantes incluses dans les tarifs HDS :

  • Infrastructure matérielle et virtualisation
  • Licences systèmes et middleware
  • Sauvegardes automatisées et externalisées
  • Maintenance et mises à jour de sécurité
  • Supervision et support technique
  • PRA/PCA et tests de continuité
  • Audits de conformité

Justification de la prime tarifaire HDS

Le surcoût de 300 à 400 % par rapport à un hébergement standard se justifie par :

  • Conformité réglementaire : audits réguliers, maintien de la certification HDS, veille juridique
  • Sécurité renforcée : chiffrement, authentification forte, détection d’intrusions avancée
  • Infrastructure dédiée : datacenters Tier III/IV, redondance, climatisation spécifique
  • Expertise métier : personnel formé aux spécificités de la santé, médecin hébergeur
  • Continuité de service : SLA élevés, PRA/PCA testés, support 24/7/365
  • Responsabilité juridique : engagement contractuel fort, assurances professionnelles spécifiques

Processus d’obtention de la certification HDS

Les étapes pour devenir hébergeur certifié

Pour les prestataires souhaitant obtenir la certification HDS, le processus comprend plusieurs phases :

1. Évaluation préliminaire et gap analysis : audit interne pour identifier les écarts avec le référentiel HDS, estimation du budget et du calendrier (3 à 12 mois selon la maturité).
2. Préparation documentaire : constitution du dossier incluant politique de sécurité, procédures opérationnelles, registre des traitements RGPD, plans de continuité, analyses de risques.
3. Choix de l’organisme certificateur : sélection parmi les organismes accrédités COFRAC (AFNOR Certification, BSI, Bureau Veritas, LRQA, SGS ICS).
4. Audit initial en deux étapes :

  • Étape 1 : revue documentaire hors site (1-2 jours)
  • Étape 2 : audit sur site avec vérification des pratiques effectives (2-5 jours selon le périmètre)

5. Traitement des non-conformités : mise en œuvre des actions correctives dans les délais impartis (majeur : 3 mois, mineur : 6 mois).
6. Délivrance du certificat : valable 3 ans avec publication sur la liste officielle de l’ANS.
7. Audits de surveillance : annuels pour vérifier le maintien des exigences pendant la durée de validité.

Coûts d’obtention et de maintien de la certification

L’investissement pour obtenir et maintenir la certification HDS représente un budget conséquent :

  • Audit de certification initial : 15 000 à 40 000 € selon le périmètre et le nombre d’activités
  • Audits de surveillance annuels : 8 000 à 20 000 € par an
  • Renouvellement (tous les 3 ans) : équivalent à l’audit initial
  • Accompagnement consultant (optionnel) : 20 000 à 100 000 € selon les besoins
  • Investissements techniques : variables selon l’existant (infrastructure, outils de supervision, SIEM, etc.)

Durée de validité et renouvellement

La certification HDS est délivrée pour une durée de 3 ans. Le processus de renouvellement doit être engagé au moins 6 mois avant l’échéance pour garantir la continuité de la certification et éviter toute interruption de service.

Les hébergeurs certifiés sur l’ancienne version du référentiel disposent d’une période de transition pour se conformer au référentiel 2024, avec une date limite fixée au 16 mai 2026.

Sanctions et risques en cas de non-conformité

Cadre juridique des sanctions

Le non-respect de l’obligation d’hébergement HDS expose les acteurs de santé à des sanctions importantes :

Sanctions administratives de la CNIL :

  • Avertissement public
  • Mise en demeure avec délai de mise en conformité
  • Limitation temporaire ou définitive du traitement
  • Amendes administratives pouvant atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (montant le plus élevé retenu)

Sanctions des Agences Régionales de Santé (ARS) :

  • Contrôles ciblés sur les établissements de santé
  • Injonctions de mise en conformité
  • Suspension d’autorisation d’activité dans les cas graves

Responsabilité civile et pénale :

  • Indemnisation des préjudices en cas de fuite de données
  • Sanctions pénales en cas de violation du secret médical (article 226-13 du Code pénal : 1 an d’emprisonnement et 15 000 € d’amende)

Risques opérationnels et réputationnels

Au-delà des sanctions légales, le non-respect de la certification HDS entraîne des risques majeurs :

  • Perte de confiance des patients : impact sur la réputation et la fréquentation
  • Fuite de données de santé : conséquences dramatiques pour les personnes concernées (discrimination, usurpation d’identité)
  • Interruption d’activité : en cas d’incident de sécurité majeur
  • Responsabilité professionnelle : mise en cause de l’établissement et de ses dirigeants
  • Exclusion de partenariats : impossibilité de participer à certains projets de e-santé

« Les cyberattaques contre le secteur de la santé ont augmenté de 55 % en 2023. La certification HDS constitue un rempart indispensable face à ces menaces croissantes, mais ne dispense pas d’une vigilance permanente »

ANSSI, Rapport sur la cybersécurité des établissements de santé 2023

Perspectives et évolutions du cadre HDS

Intégration de l’IA et des nouvelles technologies

L’évolution rapide des technologies de santé numérique pose de nouveaux défis pour le cadre HDS :

  • Intelligence artificielle : les algorithmes d’IA traitant des données de santé devront respecter les exigences HDS
  • Blockchain : hébergement des registres distribués contenant des données médicales
  • Internet des objets médicaux : collecte et transmission sécurisée depuis dispositifs connectés
  • Télémédecine : sécurisation des flux vidéo et des consultations à distance

Le référentiel HDS devra s’adapter pour intégrer ces technologies émergentes tout en maintenant le niveau de sécurité exigé.

Harmonisation européenne et Health Data Space

L’Union européenne travaille à la création d’un Espace européen des données de santé (EHDS – European Health Data Space) visant à faciliter le partage sécurisé des données médicales entre États membres.

Cette initiative pourrait conduire à :

  • Harmonisation des certifications d’hébergement entre pays européens
  • Reconnaissance mutuelle des certifications nationales
  • Standards techniques communs pour l’interopérabilité
  • Facilitation de la recherche médicale à l’échelle européenne

La France, avec son dispositif HDS mature, est bien positionnée pour jouer un rôle moteur dans cette harmonisation.

Renforcement de la souveraineté numérique

Les débats récents sur la dépendance aux hébergeurs américains (notamment l’affaire Microsoft pour la Plateforme des données de santé) ont mis en lumière l’importance de la souveraineté numérique en santé.

Les tendances pour les prochaines années incluent :

  • Préférence accrue pour les hébergeurs français ou européens
  • Développement de solutions cloud souveraines (comme Gaia-X dans le secteur santé)
  • Encadrement renforcé des transferts de données hors UE
  • Soutien public aux acteurs nationaux de l’hébergement HDS

FAQ : Questions fréquentes sur l’hébergement HDS

Quelle est la différence entre certification HDS et agrément ASIP Santé ?

L’agrément délivré par l’ASIP Santé (devenue Agence du Numérique en Santé) a été remplacé par la certification HDS en 2018. La certification offre plus de flexibilité avec six activités certifiables indépendamment, contre un agrément unique auparavant. Les organismes de certification accrédités délivrent désormais les certificats, au lieu d’un agrément ministériel direct.

Un hébergeur HDS peut-il sous-traiter certaines activités ?

Oui, mais avec un encadrement strict. Si un hébergeur certifié HDS sous-traite une activité certifiée à un tiers, ce dernier doit également être certifié HDS pour la même activité. La responsabilité finale reste portée par l’hébergeur principal qui doit s’assurer contractuellement de la conformité de ses sous-traitants et en informer ses clients.

Les données hébergées chez un prestataire HDS peuvent-elles être transférées hors de France ?

Le référentiel HDS 2024 impose un hébergement physique exclusif dans l’Espace Économique Européen. Les transferts hors EEE sont strictement encadrés et nécessitent l’information préalable des clients, une analyse de risques documentée et la mise en œuvre de mesures de protection spécifiques (clauses contractuelles types, BCR, décision d’adéquation).

Combien de temps faut-il pour obtenir la certification HDS ?

Le délai d’obtention varie de 3 à 12 mois selon le niveau de maturité initial de l’organisation. Une structure déjà certifiée ISO 27001 peut réduire significativement ce délai (3-6 mois), tandis qu’une organisation partant de zéro devra prévoir 9-12 mois pour mettre en place l’ensemble des processus, former les équipes et préparer l’audit.

Quel est le coût mensuel moyen d’un hébergement HDS pour un cabinet médical ?

Pour un cabinet médical de petite taille (3-5 praticiens), les coûts d’hébergement HDS se situent généralement entre 300 et 800 € par mois selon les ressources nécessaires (stockage, nombre d’utilisateurs, services inclus). Pour une structure pluridisciplinaire plus importante, compter entre 800 et 2 000 € mensuels. Ces tarifs incluent généralement l’infrastructure, les sauvegardes, la maintenance et le support.

Conclusion

La certification HDS représente bien plus qu’une simple obligation réglementaire : elle constitue le fondement de la confiance numérique dans le secteur de la santé. Avec plus de 300 hébergeurs certifiés et un référentiel renforcé en 2024, la France dispose d’un écosystème mature pour protéger les données médicales les plus sensibles.

Pour les établissements de santé et professionnels médicaux, le choix d’un hébergeur certifié HDS est une décision stratégique qui engage la sécurité des patients, la conformité légale et la pérennité de leur activité. Au-delà du simple respect réglementaire, c’est un investissement dans la protection des données et la souveraineté numérique qui garantit la maîtrise à long terme de l’information médicale.

Face à l’intensification des cybermenaces et à l’évolution rapide des technologies de santé, le cadre HDS continuera de s’adapter pour offrir le plus haut niveau de protection possible tout en facilitant l’innovation et le partage sécurisé des données au service de la qualité des soins.

hébergement HDS, données de santé, certification HDS, hébergeur certifié, obligations légales santé, RGPD santé, ANS certification, sécurité données médicales, cloud santé

Sources et références

  1. Agence du Numérique en Santé – Liste officielle des hébergeurs certifiés HDS (esante.gouv.fr)
  2. Code de la santé publique – Article L.1111-8 sur l’hébergement des données de santé (legifrance.gouv.fr)
  3. CMS Francis Lefebvre Avocats – Nouveau référentiel de certification HDS 2024 (cms.law)
  4. Ministère de l’Économie – Publication du référentiel HDS version 2024 (presse.economie.gouv.fr)
  5. Docaposte – Guide du choix de l’hébergeur de données de santé (docaposte.com)
  6. GM Insights – Taille du marché de la santé numérique 2024-2025 (gminsights.com)
  7. Infogene – Sécuriser l’hébergement des données de santé : précautions et coûts (infogene.fr)
  8. AFNOR Certification – Certification HDS, obligations et processus (certification.afnor.org)

redaction

Write a Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Related Posts
1 Min Read
redaction January 26, 2026

Datacenters à Aubervilliers et Saint-Denis : Le Hub Cloud du 93

La Seine-Saint-Denis s’est imposée comme le principal pôle français de datacenters, avec plus de 23 installations en exploitation concentrées principalement…
Discover More
1 Min Read
redaction January 23, 2026

Colocation pour Trading Haute Fréquence à Paris : Latence Ultra-Faible et Proximité Euronext

La colocation pour le trading haute fréquence (HFT) représente un avantage stratégique décisif dans un environnement où chaque microseconde peut…
Discover More
1 Min Read
redaction January 28, 2026

Refroidissement par Immersion en Datacenter : Fonctionnement, Avantages et Datacenters Équipés en France

Le refroidissement par immersion transforme radicalement la gestion thermique des datacenters en plongeant les serveurs dans des liquides diélectriques non…
Discover More
1 Min Read
redaction January 24, 2026

Housing Serveurs Supermicro en France : Datacenters Compatibles et Configurations Recommandées

Critères de Compatibilité des Datacenters Français pour Supermicro Exigences en Alimentation Électrique Les serveurs Supermicro nécessitent une infrastructure électrique adaptée…
Discover More
1 Min Read
redaction January 26, 2026

Thésée Datacenter : Premier Site Tier IV de France à Aubergenville, Spécifications et Tarifs

Thésée Datacenter, inauguré en 2021 à Aubergenville dans les Yvelines, représente le premier datacenter de colocation en France certifié Tier…
Discover More
1 Min Read
redaction January 24, 2026

Kubernetes Bare Metal vs Managé : Pourquoi Choisir la Colocation pour Vos Clusters

Le déploiement de Kubernetes en bare metal dans un datacenter en colocation représente une alternative stratégique aux solutions managées dans…
Discover More
1 Min Read
redaction January 23, 2026

Refroidissement Liquide en Datacenter : Direct-to-Chip vs Immersion Cooling en 2026

Cette approche hybride combine généralement le refroidissement liquide pour les composants critiques (processeurs) et le refroidissement par air pour les…
Discover More
1 Min Read
redaction January 18, 2026

Meet-Me-Room (MMR) : Comment les Salles d’Interconnexion Optimisent Votre Connectivité

Les Meet-Me-Rooms (MMR) sont devenues des infrastructures critiques pour l’interconnexion des datacenters modernes. Ces espaces centralisés permettent aux entreprises de…
Discover More
1 Min Read
redaction January 18, 2026

Housing Serveur pour PME : Est-ce Plus Rentable que l’Hébergement Dédié ?

Le housing de serveur permet aux PME d’économiser entre 20 et 40 % sur leur budget IT tout en conservant…
Discover More
1 Min Read
redaction January 26, 2026

Refroidissement par Immersion en Datacenter : Acteurs et Solutions en France

Le refroidissement par immersion s’impose comme une révolution technologique pour les datacenters confrontés aux défis de l’IA et du calcul…
Discover More