Actualité

Référentiel HDS v2.1 : les évolutions à anticiper dès maintenant

15 juillet 2026

La publication de la version 2.1 du référentiel de certification des hébergeurs de données de santé (HDS) est prévue en octobre 2026.

Cette nouvelle version introduit des évolutions ciblées, principalement destinées à renforcer la transparence sur les éventuels transferts de données et la soumission à des législations de pays tiers à l'Union européenne.

Ces nouvelles exigences entreront en vigueur trois mois après la publication du référentiel. Les hébergeurs peuvent toutefois anticiper dès à présent les adaptations nécessaires, notamment concernant leurs contrats.

L’essentiel

Le référentiel de certification des hébergeurs de données de santé évolue !

Les contrats (y compris les contrats déjà signés) doivent, le cas échéant, être modifiés pour apporter plus de transparence sur la soumission à des lois extra européennes.

Aucun audit supplémentaire n’est requis : contrôle et émission du nouveau certificat sont effectués à l’occasion de l’audit de surveillance annuel ou de l’audit de renouvellement.

Pour un hébergeur certifié conforme au référentiel HDS 2.0, quelles sont les modifications à réaliser pour se mettre en conformité avec le référentiel HDS 2.1 ?

Pour les hébergeurs certifiés selon la version v2.0 :

Soumis à aucune législation d’un pays tiers à l’Union Européenne lui imposant un transfert de données de santé à caractère personnel.


Les contrats existants et futurs doivent indiquer cette absence de soumission à des lois extra communautaire imposant un transfert de données vers un pays tiers.
Effectuant un transfert de données de santé à caractère personnel vers un pays tiers à l'Union Européenne ou à l'Espace Economique européen pour lequel il existe une décision d'adéquation de la Commission Européenne.
 
Les contrats existants et futurs doivent comporter les informations relatives à ce transfert (motif du transfert, type de données de santé à caractère personnel, pays vers lequel les données sont transférées, etc.).
Hébergeur ayant une activité de Tiers archiveurs agréés par l’Etat pour l’archivage numérique de données de santé à caractère personnel doivent désormais être également certifiées HDS.Obtention de la certification HDS pour cette activité.

Il convient de noter que : 

  • le référentiel v2.0 exigeait déjà la communication de ces informations par l’hébergeur à ses clients. Les hébergeurs qui réalisent cette communication dans leurs contrats sont déjà conformes à ces nouvelles exigences.
    • un accès distant est considéré comme un transfert.
     

Quels sont les délais pour se mettre en conformité ?

La publication du référentiel v2.1 est prévue en octobre 2026.

Il entre en application trois mois après sa publication, soit en décembre 2026.

A partir de décembre 2026, tous les audits (audit initial, de surveillance, de renouvellement) sont réalisés selon la version v2.1. 
L’absence des mentions exigées sera considérée comme une non-conformité.

En pratique : il n’est pas nécessaire d’organiser un audit spécifique pour évaluer la conformité aux nouvelles exigences du référentiel v2.1. Cette vérification de conformité au référentiel v2.1 peut être faite lors de l’audit de surveillance ou de l’audit de renouvellement qui a lieu après décembre 2026
 

Ce que vous devez faire dès maintenant :

  • Appliquez ces modifications à tous vos nouveaux contrats
  • Vérifiez si vos contrats existants doivent être modifiées et, si nécessaire, anticipez leur mise à jour dès maintenant.