Hébergement données santé (HDS)

Hébergeur de données de santé

Nos autres normes

Qu’est-ce que la certification HDS ?

La certification HDS « Hébergeur de données de santé » est définie par le décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données personnelles de santé sur support numérique.

La donnée personnelle de santé est définie par le RGPD comme une donnée sensible.

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet« .

En 2024, le référentiel HDS publié par l’Agence du Numérique en Santé (ex ASIP) est sorti dans sa version 2.

Cette nouvelle version du référentiel permet :

D’améliorer la lisibilité des garanties apportées par un hébergeur certifié.
De clarifier le périmètre et les obligations contractuelles de l’hébergeur.
D’intégrer dans le référentiel de certification HDS certaines évolutions de la norme ISO 27001.
De renforcer les exigences de protection des données personnelles en cas de transfert en dehors de l’Union Européenne.

À quelles entreprises s’adresse cette certification ?

Les organisations qui veulent pouvoir héberger des données de santé pour des tiers (établissements de soins, laboratoires d’analyses médicales, patients etc.).

L’article L.1111-9 du code de la santé publique définit les 6 activités d’hébergement de données personnelles de santé comme suit :

La mise à disposition et le maintien en condition opérationnelle de sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information.
L’administration et l’exploitation du système d’information contenant les données de santé. L’activité d’administration et exploitation du système d’information contenant les données de santé consiste en la maitrise des interventions sur les ressources mises à la disposition du client de l’Hébergeur.
La sauvegarde des données de santé. L’activité 6 de sauvegarde des données doit être interprétée comme comprenant uniquement les sauvegardes externalisées. Les sauvegardes intrinsèquement nécessaires aux activités 1 à 5 sont dans le périmètre des activités 1 à 5.

Ainsi les organisations qui veulent être certifiées HDS doivent exprimer leur périmètre de certification sur tout ou partie des 6 niveaux définis.

Les bénéfices de la certification HDS

La certification HDS a pour vocation de renforcer la protection des données personnelles de Santé et de construire un environnement de confiance autour de l’eSanté et du suivi des patients.

En particulier pour tous les professionnels de la santé qui ont besoin de faire héberger et infogérer les données qui leur sont confiées dans le cadre de leurs activités.

Les grandes étapes pour mettre en œuvre & obtenir la certification HDS

La stratégie la plus efficace pour être certifié HDS est de déployer conjointement les exigences de l’ISO 27001 en incluant les exigences spécifiques HDS V2.

Pour une organisation déjà certifiée ISO 27001 V2022, il faut ajouter les exigences spécifiques HDS.