HDS - Certification Hébergeur de Données de Santé

Un gage de qualité pour sécuriser les données de santé

Qu’est-ce que la certification HDS ?

Vos données de santé sont précieuses : elles doivent être protégées tout au long de leur cycle de vie. Leur caractère sensible justifie la mise en place d’un cadre de loi pour protéger les droits des personnes. Les hébergeurs de données santé (HDS) doivent donc se conformer à des exigences de sécurité optimales en recevant une certification HDS. 

Sur support numérique, l’hébergement de données de santé doit être réalisé par un hébergeur certifié. Depuis 2018, la certification HDS remplace l’agrément qui était délivré par le ministère.  
Pour les industriels, cette certification est devenue un critère d'achat des Directeurs des Systèmes d’Information (DSI) d'établissements de santé. À noter, les Groupements Hospitaliers de Territoire (GHT) peuvent en être exemptés sous certaines conditions. 

La certification HDS offre 3 garanties essentielles aux fournisseurs de solutions numériques : 

  • protéger et sécuriser les données de santé sensibles ;
  • aligner la réglementation des établissements HDS ;
  • garantir une sécurité pour l'établissement (sanitaire, laboratoire, PSL) s'il n’existe pas d’obligation particulière.

La certification HDS en 1 clic

Comprendre l’hébergement des données santé (HDS) en bref

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.

Les hébergeurs de données peuvent déposer une demande de certificat HDS auprès de tout organisme de certification approuvé par le COFRAC (Comité Français d’Accréditation).

L'hébergement des données santé (HDS) en quelques chiffres

302 hébergeurs certifiés HDS en 2024

9 organismes de certification habilités à délivrer des certificats HDS

La certification HDS : comment ça fonctionne ?

Retrouvez la liste des organismes de certification accrédités

Retrouvez la liste des hébergeurs certifiés

Le processus de certification HDS en 6 étapes

Etape 1 : Choisir un organisme certificateur

Celui-ci doit être accrédité par le COFRAC ou une instance équivalente au niveau européen

Etape 2 : Audit documentaire

L’organisme certificateur vérifie que votre système d'information répond aux exigences du référentiel de certification

Etape 3 : Audit sur site

Les preuves d’audit sont évaluées, dans les conditions définies par le référentiel de certification

Etape 4 : Corriger les non-conformités

Vous disposez de 3 mois après l’audit sur site pour apporter des corrections et les faire auditer

Etape 5 : Recevoir son certificat

Le certificat est délivré par l’organisme certificateur pour une durée de 3 ans

Etape 6 : Audit de surveillance

Un audit de surveillance est effectué chaque année chez tous les hébergeurs certifiés

L’ANS met à disposition toute la documentation nécessaire

Consultez les référentiels de certification et d’accréditation (version FR)

Les versions anglaises des référentiels seront très prochainement disponibles.

Exigences spécifiques pour l’accréditation des organismes procédant à la certification de systèmes de management dans le domaine des technologies de l’information (pdf - 262.25 Ko)

La certification pour l’hébergement des données de santé à caractère personnel (pdf - 480.67 Ko)

Plaquette d’information qui inclut le cadre juridique de l'HDS

Modalités de transition vers les référentiels d'accréditation et de certification HDS v2 (site du COFRAC)

Dates clés du service

2024

Publication des référentiels de certification et d’accréditation HDS V2

2018

Ouverture du schéma d'accréditation HDS sur support numérique ; c’est la fin progressive des agréments

2017

Le référentiel de certification et d’accréditation est publié sur le site de l’ANS

Vidéos

Comment savoir si l'on doit être certifié HDS ?

Le cas particulier des applis smartphones

CNIL | Les clés pour comprendre la réglementation liée aux données de santé - 06/21

Découvrez toutes nos vidéos dédiées à la certification HDS

Les questions que vous vous posez

L’ANS répond aux questions les plus fréquemment posées sur la certification HDS

Consultez la FAQ dédiée à la certification HDS

[ Date de mise à jour : ]

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de (liste non exhaustive) :

  • des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
  • des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
  • des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : ]

Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de (liste non exhaustive) :

  • des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
  • des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
  • des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : ]

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement : 

  1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ; 
  2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé.

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de  son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI. 

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : ]

L’obligation de disposer d’un certificat de conformité mentionnée à l’article L.1111-8 du code de la santé publique s’applique à toute entité qui propose un service d’hébergement : 

  1. portant sur des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social ; 
  2. pour le compte du patient ou pour le compte des professionnels de santé, des établissements et services de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social à l’origine de ces données.

Ces conditions sont cumulatives et l'obligation s'applique à toute personne (physique ou morale), qu’elle relève du droit public ou du droit privé.

Tout professionnel de santé, tout établissement et service de santé et tout autre organisme réalisant des missions de prévention, de soins, de suivi médico-social et social (personnes physiques ou morales) doit apprécier au cas par cas si ces données de santé dont il entend confier l’hébergement à un tiers proviennent de  son activité de prévention, de diagnostic, de soins ou de suivi social et médico-social.

En outre, tout projet de système d’information (SI) portant sur l’exploitation des données susmentionnées nécessite de s’interroger au cas par cas sur l’application de la législation relative à l’hébergement des données de santé. Il incombe donc au responsable du système d’information de veiller au respect de cette législation dès que l’une des fonctionnalités du SI concerne des données de santé répondant aux critères ci-dessus.

Par exemple, un établissement de santé exploitant un DPI est tenu de recourir à un hébergeur certifié HDS en cas d’externalisation de l’hébergement de ce DPI. 

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : ]

Le règlement européen sur la protection des données personnelles donne une définition depuis avril 2016. Ce sont les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Des précisions sont apportées par la CNIL.

Consultez le site de la CNIL

Cette réponse vous a-t-elle été utile ?

Partenaires

Cette page vous a-t-elle été utile ?

Les informations recueillies dans le questionnaire sont enregistrées dans un fichier informatisé par l'ANS afin d’optimiser le site et satisfaire à vos attentes.

Les informations enregistrées sont destinées à l’usage de l’ANS et ne sont rendues accessibles qu’à ses services, personnels, prestataires externes ou partenaires habilités à en prendre connaissance.

Dans le respect de la réglementation applicable en matière de protection des données personnelles, vous disposez notamment d’un droit d’accès, de rectification et d’effacement de vos données.
Vous pouvez exercer ces droits en contactant le délégué à la protection des données de l’ANS, dans les conditions décrites sur la page dédiée Politique de protection des données personnelles du site de l’ANS.

CAPTCHA
Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.