Qu’est ce que la Certification HDS ?
La certification HDS a pour vocation de renforcer la protection des données de Santé à caractère personnel et de construire un environnement de confiance autour de l'eSanté et du suivi des patients.
Elle s’appuie sur des référentiels incluant le respect de normes iso et permet de délivrer une certification par un organisme indépendant accrédité à toute structure ou organisme hébergeant des données de santé.
Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.
Renforcer la protection des données de Santé à caractère personnel et construire un environnement de confiance autour de la e-santé et du suivi des patients.
Quelles utilisations ?
Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet.
L.1111-8 du code de la santé publique, modifié par la loi n° 2016-41 du 26 janvier 2016
Tous les organismes publics ou privés qui hébergent, exploitent le SI de santé, ou réalisent des sauvegardes pour le compte d’un établissement de santé ou d’un tiers de santé doivent être certifiés HDS. à l’exception des services d'archivages informatiques qui ne sont pas concernés par ces obligations. Les établissements de santé qui gèrent leur propre Système d’Information de santé n’ont pas la nécessité d’être certifié HDS.
La certification HDS donne lieu à l’obtention de deux types de certificats :
- La certification « Hébergeur d’infrastructure physique » :
- la mise à disposition, le maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé
- la mise à disposition, le maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé
- La certification « hébergeurs infogéreurs » :
- la mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information de santé
- la mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information
- l’administration et l’exploitation du système d’information contenant les données de santé
- la sauvegarde externalisée des données de santé
Cette certification vient remplacer l'obtention de l’agrément autrefois nécessaire. Les renouvellements d’agréments sont aujourd’hui soumis à la procédure de certification.
Le décret 2018-137 du 26 février 2018 définit la marche à suivre et organise la transition entre l’agrément et le certificat HDS.
L'arrêté du 26 avril 2024 modifiant l'arrêté publié le 29 Juin 2018 approuve la mise en application des référentiels d'accréditation et de certification. Il permet d’ouvrir le schéma d'accréditation HDS. Les candidats hébergeurs doivent déposer leur demande de certificat auprès du Comité français d’accréditation (Cofrac), instance unique d’accréditation au niveau national.
La procédure de certification HDS
La procédure de certification repose sur une évaluation de conformité au référentiel de certification.
L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen).
L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification. Il vérifie notamment l’équivalence des éventuelles certifications ISO 27001 ou ISO 20000 déjà obtenues par l’hébergeur.
Étape 1 : audit documentaire
L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.
Étape 2 : audit sur site
Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.
L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée.
Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué.
Pour aller plus loin, consultez les référentiels et listes liés à la Certification HDS
Les questions que vous vous posez
L’ANS répond aux questions les plus fréquemment posées sur la certification HDS
L’article L. 1111-8 du CSP vise les activités de « prévention ». Pourriez-vous préciser quelle est l’étendue des activités visées par cette disposition ?
Les activités de prévention mentionnées dans le CSP sont les actions menées afin éviter l’apparition ou l’aggravation de maladies. Les principales catégories d'activités de prévention incluent :
- La prévention primaire : ces activités visent à éviter l'apparition de maladies ou d'incidents de santé en réduisant les facteurs de risque. Cela peut inclure i) les vaccinations, ii) les campagnes de sensibilisation (i.e. tabagisme, alimentation, prévention des maladies cardiovasculaires), iii) d'éducation à la santé (promotion des comportements favorables à la santé comme l’activité physique, lutte contre la sédentarité, éducation sur la santé mentale, etc.).
- La prévention secondaire : elles concernent le dépistage précoce de maladies ou de conditions afin de les traiter rapidement. Par exemple, le dépistage prénatal, le dépistage néo-natal, dépistages des troubles du développement, le dépistage pour certains cancers ou maladies chroniques, etc.
- La prévention tertiaire : ces actions visent à diminuer les complications ou les séquelles d'une maladie déjà installée, souvent en rapport avec des soins ou du suivi de rééducation après un incident de santé ou une intervention médicale (réadaptation), sont concernés les programmes d’éducation thérapeutique du patient (diabète, hypertension, etc.).
Toutes ces activités peuvent nécessiter, par différents moyens, la collecte et l'hébergement de données personnelles de santé.
L’article L. 1111-8 du CSP vise les activités de « suivi social et médico-social ». Pourriez-vous préciser quelle est l’étendue des activités visées par cette disposition?
Il s'agit des activités de suivi réalisées par les établissements et services sociaux et médico-sociaux. Ces établissements et services sont listés de façon exhaustive à l’article L.312-1 du code de l’action sociale et des familles.
Source : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000026799356/2025-01-03/
Exemples (liste non exhaustive) de cas n'entrant pas dans l'obligation de certification HDS
Certaines activités d'hébergement ne rentrent pas dans le périmètre établit à l'article L.1111-18 du Code de la santé publique. Il s'agit de :
- des organismes d’assurance maladie obligatoire et complémentaire dans le cadre de leur activité de prise en charge des frais de santé ; ces organismes manipulent des données de santé mais ils n’en sont pas à l’origine ;
- des organismes de recherche dans le domaine de la santé lorsque leurs bases de données ne sont pas initialement constituées à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ;
- des associations qui proposent des activités sportives à des personnes en situation de handicap. Ces associations manipulent des données de santé mais elles n’en sont pas à l’origine.
Si j’héberge des données de santé pseudonymisées, suis-je soumis à l’obligation de certification HDS ?
Oui : la pseudonymisation n'a pas d'impact sur l'obligation de certification. La nature de la donnée de santé à caractère personnel n'est pas modifiée.
Quelles sont les conditions à remplir pour héberger des données de santé à caractère personnel?
L’article L.1111-8 du code de la santé en public distingue trois grandes catégories de services d’hébergement de données de santé :
- l’hébergement de données de santé sur support papier dans le cadre d'un service d'archivage, qui doit être réalisé par un hébergeur agréé par le ministre de la culture ;
- l’hébergement de données de santé sur support numérique (hors cas d’un service d’archivage électronique) qui doit être réalisé par un hébergeur certifié HDS ;
- l’hébergement de données de santé sur support numérique dans le cadre d’un service d’archivage électronique, qui doit être réalisé par un hébergeur certifié HDS et agréé par le ministre de la culture dans des conditions qui seront définies par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils des ordres des professions de santé.