Choisir son hébergeur de données de santé : critères, certifications et points de vigilance contractuels

Article rédigé par
Clémentine Beaussier
Clémentine Beaussier
Associée

Nous contacter

Sommaire
Heading 2

L'hébergement des données de santé représente un défi technique et juridique majeur pour les entreprises du secteur. Entre évolution réglementaire, renforcement des exigences de souveraineté et multiplication des certifications, choisir son prestataire d'hébergement nécessite une approche méthodique et une compréhension fine des enjeux contractuels. Cet article détaille les critères essentiels de sélection, analyse les certifications disponibles et identifie les points de vigilance contractuels incontournables ainsi que les actualités pertinentes, qu'il s'agisse de maintenir une certification HDS existante ou d'entamer un processus de certification.

Les fondamentaux de la certification HDS : périmètre et évolutions récentes

Un cadre réglementaire consolidé avec HDS V2

La certification Hébergeur de données de santé (HDS) s'impose à tout prestataire hébergeant pour le compte d'un tiers des données de santé à caractère personnel. Adoptée initialement par l'arrêté du 11 juin 2018, la première version du référentiel a été substantiellement actualisée par l'arrêté du 26 avril 2024, donnant naissance au référentiel HDS V2.

Cette évolution n'est pas cosmétique. Le référentiel HDS V2 intègre de nouvelles exigences de souveraineté numérique et renforce les obligations de transparence contractuelle, marquant un changement de paradigme dans l'approche française de l'hébergement des données de santé.

Le périmètre de certification couvre désormais six activités distinctes, listées à l'article R. 1111-9 du Code de la santé publique modifié par le décret n°2026-209 du 24 mars 2026 :

  • La mise à disposition et le maintien en condition opérationnelle des sites physiques d'hébergement
  • La mise à disposition et le maintien en condition opérationnelle de l'infrastructure matérielle  
  • La mise à disposition et le maintien en condition opérationnelle de l'infrastructure virtuelle
  • La mise à disposition et le maintien en condition opérationnelle de la plateforme d'hébergement d'applications
  • L'administration et l'exploitation du système d'information contenant les données de santé
  • La sauvegarde des données de santé, notamment leur conservation dans le cadre d'un archivage électronique

La suppression de la distinction hébergeur/infogéreur

Le référentiel HDS V2 supprime la distinction historique entre "hébergeur d'infrastructure physique" et "hébergeur infogéreur". Cette simplification administrative masque une réalité complexe : les entreprises détentrices d'anciens certificats doivent porter une attention particulière à la transition, la numérotation des activités ayant évolué.

Une vigilance s'impose lors de l'audit de conformité des prestataires existants. Un hébergeur certifié sous l'ancien référentiel pour certaines activités peut nécessiter une mise à niveau de sa certification pour maintenir la couverture de l'ensemble de ses prestations.

L'activité 5 clarifiée : administration et exploitation des systèmes

Une définition précisée pour éviter les ambiguïtés contractuelles

L'activité 5, relative à l'administration et à l'exploitation du système d'information, avait longtemps généré des incertitudes contractuelles. Le référentiel HDS V2 apporte une clarification décisive : cette activité recouvre spécifiquement la définition d'un processus d'attribution et de revue annuelle de droits d'accès nominatifs, la sécurisation de la procédure d'accès, la collecte et conservation des traces d'accès et la validation préalable des interventions.

Surtout, le référentiel établit que les processus d'attribution, de sécurisation et de validation des accès sont intrinsèques aux activités 1 à 4. Un hébergeur qui les met en œuvre uniquement parce qu'elles sont consubstantielles à ses activités d'infrastructure n'est pas tenu d'être certifié au titre de l'activité 5. Cette clarification met fin aux incertitudes sur le périmètre de certification requis.

Implications pratiques pour les contrats d'hébergement

Cette précision impacte directement la rédaction des contrats. Une entreprise qui confie l'hébergement de ses données de santé à un prestataire certifié pour les activités 1 à 4 n'a pas nécessairement besoin d'exiger une certification pour l'activité 5, sauf si le prestataire exerce cette activité de manière autonome et distincte.

Localisation et souveraineté : les nouvelles exigences HDS V2

Le stockage obligatoire dans l'Espace économique européen

Le référentiel HDS V2 introduit trois exigences majeures en matière de souveraineté nationale :

Le stockage obligatoire des données de santé au sein de l'Espace économique européen (EEE) constitue désormais une obligation absolue. Cette exigence, absente du référentiel initial, répond aux préoccupations croissantes liées aux transferts extra-européens et aux risques d'accès non autorisés par des autorités étrangères.

L'identification et la formalisation contractuelle des accès distants et transferts effectués depuis un pays hors EEE deviennent obligatoires. Cette transparence contractuelle permet aux clients - responsables de traitement d'évaluer les risques associés à la chaîne de sous-traitance.

En outre, la mise à disposition d'une information claire et détaillée relative aux accès distants sur le site internet du prestataire, accessible au public, renforce l'exigence de transparence.

Un changement de paradigme opérationnel

Ces évolutions traduisent un basculement d'une logique d'hébergement vers une logique de maîtrise et gouvernance des données. Le lieu physique de stockage ne suffit plus : l'enjeu porte désormais sur le cadre juridique applicable au prestataire et les conditions d'accès potentiel aux données par des autorités étrangères.

Pour les entreprises certifiées HDS, cette évolution implique une revue complète de leurs contrats avec les sous-traitants et une mise à jour de leurs processus d'information clients. Les entreprises candidates à la certification doivent intégrer ces exigences dès la phase de conception de leur offre.

La certification ISO 27001 : prérequis incontournable

Intégration de la version 2022

Le référentiel HDS V2 intègre la norme ISO 27001 dans sa version 2022, "Sécurité de l'information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l'information - Exigences". Cette certification demeure un prérequis obligatoire à l'obtention de la certification HDS.

La version 2022 de l'ISO 27001 renforce les exigences en matière de gestion des risques liés à la chaîne d'approvisionnement et introduit de nouvelles mesures de sécurité, notamment en matière de sécurité dans le cloud et de télétravail.

Implications pour le processus de certification

Les hébergeurs certifiés selon l'ancienne version de l'ISO 27001 doivent programmer leur transition vers la version 2022. Cette migration nécessite une revue complète du système de management de la sécurité de l'information et peut impliquer des adaptations organisationnelles substantielles.

Processus d'audit renforcé et contrôle des sous-traitants

Nouvelles obligations de contrôle

Le référentiel HDS V2 renforce significativement les obligations d'audit interne et de contrôle des sous-traitants. Les hébergeurs doivent désormais contrôler les changements dans leurs relations avec leurs sous-traitants et formaliser ces engagements contractuels vis-à-vis de leurs clients.

Les audits internes deviennent plus détaillés, avec un échantillonnage obligatoire portant sur l'analyse des traces d'accès des personnes intervenant pour le compte de l'hébergeur. Cette exigence répond aux préoccupations croissantes liées aux accès non autorisés et aux risques d'infogérance mal maîtrisée.

Documentation et traçabilité renforcées

La documentation des processus d'audit et de contrôle devient un enjeu critique. Les hébergeurs doivent mettre en place des procédures formalisées de suivi des sous-traitants et de traçabilité des accès, avec des cycles de révision définis et documentés.

L'émergence de SecNumCloud : vers un standard de souveraineté renforcée

Un visa de sécurité de l'ANSSI

SecNumCloud n'est ni une norme ISO ni un label privé, mais un visa de sécurité délivré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cette qualification atteste qu'un service de cloud computing offre un niveau élevé de sécurité et, surtout, une immunité juridique aux législations extra-européennes.

Le référentiel SecNumCloud impose des exigences structurantes : implantation du siège au sein de l'Union européenne, détention majoritairement européenne du capital social (participation extra-européenne limitée à moins de 24% individuellement et 39% collectivement), impossibilité technique pour les sous-traitants extra-européens d'accéder aux données.

Protection contre les législations extra-européennes

SecNumCloud vise directement les législations permettant aux autorités étrangères d'accéder aux données hébergées en Europe sans autorisation du droit de l'Union, au premier rang desquelles le CLOUD Act américain et le FISA. Cette logique conduit à exclure de fait les filiales européennes des groupes américains (AWS, Microsoft Azure, Google Cloud) de la qualification SecNumCloud.

La CNIL a clairement exprimé son souhait que l'hébergement des données de santé soit doublement sécurisé : certification HDS pour la dimension sectorielle et qualification SecNumCloud pour la dimension souveraineté, particulièrement pour les traitements présentant un risque élevé.

Impact de la loi SREN et du décret d'application

Nouvelles obligations pour les administrations

La loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (loi SREN) et son décret d'application n°2026-272 du 14 avril 2026 encadrent le recours aux services cloud par les administrations pour le traitement de données sensibles.

Le décret définit les données sensibles selon deux approches complémentaires : celles relevant de secrets protégés par la loi et celles nécessaires à l'accomplissement des missions essentielles de l'État (sécurité nationale, ordre public, protection de la santé).

Un référentiel d'exigences techniques à venir

Le décret confie à l'ANSSI la rédaction d'un référentiel d'exigences techniques couvrant dix domaines clés : organisation de la sécurité, gestion des ressources humaines, sécurité des systèmes d'information, gestion des incidents, continuité d'activité, localisation des données et utilisation de la langue française.

Sans nommer explicitement SecNumCloud, le décret vise cette qualification qui offre des garanties renforcées de protection contre toute injonction étrangère. Cette orientation dessine une trajectoire claire pour les administrations et la commande publique, susceptible d'infuser progressivement le secteur de la santé.

Points de vigilance contractuels essentiels

Description précise du périmètre certifié

La rédaction du contrat d'hébergement doit identifier précisément les activités pour lesquelles le prestataire est certifié HDS. Cette identification doit correspondre exactement aux activités listées dans le certificat, en tenant compte de la nouvelle numérotation introduite par HDS V2.

Une attention particulière doit être portée à l'articulation entre les différentes activités, notamment lorsque plusieurs prestataires interviennent dans la chaîne d'hébergement. La responsabilité de chaque intervenant doit être clairement délimitée.

Identification et encadrement des sous-traitants

Le contrat doit lister exhaustivement les sous-traitants susceptibles d'accéder aux données de santé et préciser leur périmètre d'intervention. L'autorisation préalable du responsable de traitement pour tout changement de sous-traitant doit être contractuellement formalisée.

Les exigences de certification des sous-traitants doivent être alignées sur celles du prestataire principal. Une vigilance particulière s'impose pour les sous-traitants établis hors de l'EEE, dont les conditions d'accès doivent être strictement encadrées.

Transparence sur les accès distants et transferts

Conformément aux exigences HDS V2, le contrat doit identifier et formaliser tous les accès distants et transferts effectués depuis un pays hors EEE. Cette obligation de transparence s'étend aux interventions de maintenance, support et supervision.

La documentation contractuelle doit préciser les mesures techniques et organisationnelles mises en œuvre pour sécuriser ces accès et limiter les risques d'exposition aux législations extra-européennes.

Clauses de traçabilité et d'audit

Le contrat doit prévoir des obligations renforcées de traçabilité des accès et des interventions. Les modalités de conservation des logs, leur durée de rétention et les conditions d'accès par le responsable de traitement doivent être précisément définies.

Les droits d'audit du responsable de traitement, incluant les audits sur site et la documentation des processus de sécurité, constituent un élément contractuel essentiel pour maintenir la conformité.

Modalités de réversibilité et fin de contrat

Les clauses de réversibilité doivent garantir la récupération des données dans un format exploitable et sécurisé. Les délais de restitution, les modalités de destruction des copies et les garanties de suppression définitive doivent être contractuellement formalisés. Ces exigences sont également issues du Data Act.

La gestion de fin de contrat doit prévoir la transmission ordonnée des éléments nécessaires au transfert vers un nouvel hébergeur, incluant la documentation technique et les éléments de traçabilité.

Processus de certification HDS : étapes et points d'attention

Phase préparatoire : audit de conformité

La démarche de certification HDS débute par un audit de conformité interne permettant d'identifier les écarts par rapport au référentiel. Cet audit doit couvrir l'ensemble des activités visées et s'appuyer sur une analyse de risques formalisée.

La préparation inclut la mise en conformité avec l'ISO 27001 version 2022, prérequis obligatoire à la certification HDS. Cette étape peut nécessiter plusieurs mois de préparation selon l'état initial de maturité du système de management de la sécurité.

Sélection de l'organisme certificateur

L'organisme certificateur doit être accrédité par le Cofrac pour la certification HDS. Le choix de l'organisme certificateur impacte les délais de certification et doit tenir compte de l'expérience sectorielle et de la disponibilité des auditeurs.

La planification de l'audit de certification doit intégrer les contraintes opérationnelles de l'hébergeur et prévoir les modalités d'audit des sites distants et des sous-traitants.

Audit de certification et suivi

L'audit de certification comprend une revue documentaire, un audit sur site et des tests techniques. L'auditeur évalue la conformité aux exigences du référentiel et la robustesse du système de management de la sécurité.

Le processus inclut des audits de surveillance annuels et un renouvellement de certification tous les trois ans. La planification de ces échéances doit être intégrée dans la stratégie de maintien de la certification.

Maintenir sa certification HDS : enjeux et bonnes pratiques

Surveillance continue et gestion des non-conformités

Le maintien de la certification HDS nécessite une surveillance continue des processus et une gestion proactive des non-conformités. Les hébergeurs certifiés doivent mettre en place un système de veille réglementaire et d'adaptation aux évolutions du référentiel.

La gestion des changements organisationnels, techniques ou contractuels doit faire l'objet de procédures formalisées permettant d'évaluer leur impact sur la conformité HDS.

Formation et sensibilisation des équipes

La sensibilisation des équipes aux exigences HDS constitue un facteur critique de succès. Les programmes de formation doivent couvrir les aspects techniques, organisationnels et contractuels de la certification.

La rotation des équipes et l'évolution des technologies nécessitent une mise à jour régulière des compétences et une documentation à jour des procédures opérationnelles.

Questions fréquentes

Comment évaluer si un prestataire certifié HDS respecte les nouvelles exigences de souveraineté ?

L'évaluation doit porter sur trois points : la vérification de la localisation effective des données dans l'EEE via les contrats et audits, l'analyse des accès distants documentés sur le site internet du prestataire et l'examen des clauses contractuelles relatives aux transferts extra-européens. Une vigilance particulière s'impose sur la chaîne de sous-traitance et les mesures techniques empêchant tout accès non autorisé.

Faut-il privilégier SecNumCloud pour l'hébergement de données de santé ?

La qualification SecNumCloud offre des garanties supérieures d'immunité aux droits extra-européens, particulièrement pertinente pour les données de santé présentant un risque élevé.  Compte tenu de la Circulaire LeCorunu du 5 février 2026, pour la commande publique en santé il est préférable de recourir à un prestaiare cumulant HDS V2 et SecNumCloud. Par ailleurs, c'est la position vivement recommandée par la CNIL.

Cependant, l'offre actuelle en France reste limitée et les surcoûts peuvent être substantiels. La décision doit s'appuyer sur une analyse de risques proportionnée à la sensibilité des données et aux enjeux de l'organisation.

Combien de temps nécessite l'obtention d'une certification HDS ?

Le processus complet, depuis l'audit de conformité initial jusqu'à l'obtention du certificat, nécessite généralement entre 12 et 18 mois pour une première certification. Cette durée inclut la mise en conformité ISO 27001 (6 à 12 mois), la préparation spécifique HDS (3 à 6 mois) et le processus d'audit (2 à 3 mois). Les délais peuvent être réduits si l'organisation dispose déjà d'une certification ISO 27001 à jour.

Un hébergeur HDS peut-il sous-traiter certaines activités à un prestataire non certifié ?

La sous-traitance à un prestataire non certifié HDS est possible sous conditions strictes. Le sous-traitant ne doit pas accéder directement aux données de santé et ses interventions doivent être encadrées par des mesures techniques et organisationnelles garantissant la sécurité. L'hébergeur certifié conserve la responsabilité pleine et entière de la conformité HDS et doit auditer régulièrement ses sous-traitants.

Comment anticiper l'évolution vers d'éventuelles exigences SecNumCloud dans la santé ?

L'anticipation passe par une veille active des positions de la CNIL et de l'ANSSI, une évaluation des prestataires européens qualifiés SecNumCloud dans votre domaine d'activité, et l'intégration des critères de souveraineté dans les appels d'offres futurs. Il est recommandé d'évaluer dès maintenant l'impact technique et financier d'une migration vers des solutions qualifiées SecNumCloud.

Les données de recherche en santé sont-elles soumises aux mêmes exigences d'hébergement ?

Les données de recherche en santé, dès lors qu'elles permettent l'identification directe ou indirecte des personnes, sont soumises aux mêmes exigences d'hébergement que les autres données de santé. La certification HDS s'impose donc aux prestataires hébergeant ces données. Une attention particulière doit être portée aux transferts internationaux dans le cadre de collaborations de recherche, qui doivent respecter les garanties appropriées du RGPD.

Conclusion : une stratégie d'anticipation face aux évolutions réglementaires

Le paysage de l'hébergement des données de santé connaît une accélération réglementaire sans précédent. Entre le renforcement des exigences HDS V2, l'émergence de SecNumCloud comme standard de souveraineté et les évolutions induites par la loi SREN, les entreprises du secteur doivent adapter leur stratégie d'hébergement.

L'approche recommandée privilégie l'anticipation : audit de conformité de l'existant, évaluation des prestataires selon les nouveaux critères de souveraineté, révision des contrats d'hébergement pour intégrer les clauses de transparence obligatoires. Les directions juridiques et compliance ont tout intérêt à conduire dès maintenant cette revue, avant que la pression réglementaire ne s'intensifie davantage avec la transposition de NIS 2 et l'entrée en vigueur de l'EHDS.

Face à cette complexité croissante, la sélection d'un hébergeur ne peut plus reposer sur les seuls critères techniques et financiers. Elle nécessite une expertise juridique approfondie et une vision stratégique des enjeux de souveraineté numérique qui redéfinissent durablement les standards du secteur.

Pour toute question sur la certification HDS ou l'hébergement de vos données de santé, n'hésitez pas à me contacter : cbeaussier@squairlaw.com

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
5 mai 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
International 
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité