⚠️
Obligation légale depuis 2018 — Article L.1111-8 du Code de la Santé Publique
Toute solution numérique hébergeant des données de santé à caractère personnel en France doit être hébergée par un organisme certifié HDS. Cette obligation s'applique aux éditeurs de logiciels e-santé, plateformes de télémédecine, DMP, et tout système traitant des données de santé de patients.
Qu'est-ce que l'HDS ?
L'Hébergement de Données de Santé (HDS) est une certification française délivrée par un organisme accrédité (COFRAC). Elle garantit que les données de santé à caractère personnel sont hébergées dans des conditions de sécurité conformes aux exigences réglementaires françaises. Elle s'appuie sur la norme ISO 27001 et des exigences spécifiques secteur santé.
1
Hébergeur certifié HDS avec accréditation ISO 27001
Vérifier le certificat HDS de votre hébergeur sur le site de l'ANS (Agence du Numérique en Santé). OVHcloud, Outscale, Microsoft Azure France Central, AWS Paris sont certifiés. Conserver le certificat à jour.
ISO 27001
2
Chiffrement des données au repos — AES-256
Toutes les bases de données, volumes et fichiers contenant des données de santé doivent être chiffrés avec AES-256 minimum. Gestion des clés de chiffrement séparée des données (KMS dédié).
Article 32 RGPD
3
Chiffrement des données en transit — TLS 1.2 minimum
Toutes les communications applicatives doivent utiliser TLS 1.2 ou TLS 1.3. Les certificats SSL/TLS doivent être valides, à jour et signés par une CA reconnue. Désactiver SSLv3, TLS 1.0 et 1.1.
ANSSI RGS
4
Authentification forte avec double facteur (2FA)
L'accès aux données de santé doit nécessiter une authentification forte à deux facteurs pour les professionnels de santé et les administrateurs. Cartes CPS, TOTP ou FIDO2 acceptés.
PGSSI-S
5
Traçabilité complète des accès — conservation 6 mois minimum
Journal d'audit exhaustif : qui a accédé à quelles données, quand, depuis où. Logs immuables et signés. Conservation minimum 6 mois, recommandé 12 mois. Alertes sur accès anormaux.
Article 30 RGPD
6
Gestion stricte des habilitations et contrôle d'accès
Principe du moindre privilège appliqué. Revue trimestrielle des droits d'accès. Révocation immédiate en cas de départ. RBAC (Role-Based Access Control) documenté et audité.
ISO 27001 A.9
7
Plan de Continuité d'Activité — RPO < 24h, RTO < 4h
Documentation complète du PCA et PRA. Tests de reprise réels effectués (au moins annuellement). RPO (point de récupération) inférieur à 24h. RTO (temps de reprise) inférieur à 4h pour les services critiques.
ISO 22301
8
Sauvegardes chiffrées avec tests de restauration
Sauvegardes automatiques quotidiennes chiffrées. Stockage dans au moins 2 sites géographiques distincts. Tests de restauration mensuels documentés. Vérification d'intégrité automatique des sauvegardes.
ISO 27001 A.12.3
9
Contrat d'hébergement conforme avec clauses spécifiques HDS
Le contrat avec l'hébergeur doit explicitement mentionner la conformité HDS. Inclure les clauses de responsabilité, confidentialité, localisation des données en France/UE, procédures d'audit.
Article 28 RGPD
10
Procédure de gestion des incidents avec notification 72h
Processus documenté de détection, qualification et notification des incidents de sécurité. Notification à la CNIL et aux personnes concernées dans les 72h en cas de violation. Exercices de simulation réguliers.
Articles 33-34 RGPD
🏅 Les 2 niveaux de certification HDS
Niveau 1 — Hébergeur d'infrastructure physique
Concerne la mise à disposition de locaux physiques, matériel et réseau. Obligatoire pour les data centers hébergeant des données de santé en France. Portée : hébergement physique, virtualisation, réseau.
Niveau 2 — Hébergeur infogéré + Éditeur de logiciel
Concerne la gestion et l'exploitation des systèmes + le développement logiciel traitant des DCS. Obligatoire pour les éditeurs de solutions e-santé. Portée : infogérance, développement applicatif, sauvegarde.
⚠️ Risques en cas de non-conformité
3 ans d'emprisonnement et 45 000€ d'amende (Article L.1115-1 CSP)
Amende CNIL jusqu'à 20M€ ou 4% du CA mondial (RGPD)
Interdiction d'exercer et fermeture administrative de la plateforme
Responsabilité civile en cas de violation de données patients
1
Audit de conformité initial
Évaluation complète de votre situation actuelle par rapport aux 10 points. Identification des écarts et priorisation des actions. Production d'un rapport détaillé avec plan d'action chiffré.
2
Choix et migration vers un hébergeur certifié HDS
Sélection de l'hébergeur certifié adapté à votre volumétrie et budget. Migration sécurisée sans interruption de service. Signature du contrat d'hébergement conforme avec clauses HDS/RGPD.
3
Mise en conformité technique et organisationnelle
Implémentation du chiffrement, de la traçabilité et de l'authentification forte. Mise en place des procédures documentées (PCA, gestion incidents, habilitations). Formation des équipes.
4
Documentation et préparation à l'audit de certification
Constitution du dossier de preuves de conformité. Tests et validation de tous les contrôles. Accompagnement lors de l'audit par l'organisme certificateur.
Expert HDS & conformité santé
RL Conseil vous accompagne vers la conformité HDS
Audit, architecture sécurisée, migration hébergeur certifié et documentation de conformité : nous prenons en charge votre mise en conformité HDS de A à Z.
OVHcloud HDS
Laravel / PHP
RGPD
Parler de votre projet →