Data Center HDS : Hébergement Données de Santé
DATACUBE SYSTEMS construit des data centers conformes à la certification HDS. Infrastructure certifiée pour l'hébergement de données de santé à caractère personnel, conforme à l'article L.1111-8 du Code de la santé publique.
La certification HDS : cadre réglementaire
Depuis 2018, la certification HDS a remplacé l'ancien agrément ministériel pour l'hébergement de données de santé en France. Tout organisme public ou privé qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, diagnostic, soins ou suivi social et médico-social doit être certifié HDS par un organisme accrédité COFRAC.
Le référentiel de certification repose sur la norme ISO 27001 enrichie d'exigences spécifiques au secteur de la santé. Il distingue deux profils d'hébergeurs : l'hébergeur d'infrastructure physique (activités 1 et 2) et l'hébergeur infogéreur (activités 3 à 6). Chaque profil implique des responsabilités et des contrôles différents lors de l'audit de certification.
Le non-respect de l'obligation HDS expose l'hébergeur à des sanctions pénales pouvant atteindre 3 ans d'emprisonnement et 45 000 euros d'amende (article L.1115-1 du Code de la santé publique), en plus des sanctions administratives de la CNIL au titre du RGPD.
Infrastructure conforme aux exigences HDS
Sites physiques sécurisés
Hébergement sur sites physiques conformes : contrôle d'accès biométrique, vidéosurveillance, détection incendie, redondance électrique et climatique selon les niveaux TIER requis.
Infrastructure matérielle
Serveurs, stockage et réseau maintenus en condition opérationnelle avec SLA garantis. Remplacement proactif des composants, supervision 24/7 et gestion de capacité planifiée.
Plateforme d'hébergement
Virtualisation sécurisée, conteneurisation durcie, isolation des environnements. Mises à jour de sécurité appliquées sous 72h pour les vulnérabilités critiques.
Traçabilité complète
Journalisation de tous les accès physiques et logiques aux données de santé. Pistes d'audit immuables, conservation des logs conformément aux exigences réglementaires.
Gestion des incidents
Procédure de notification des incidents de sécurité à l'ARS et à l'ANS. Temps de détection, qualification et remédiation contractualisés. Retour d'expérience systématique.
Sauvegarde externalisée
Sauvegarde des données de santé sur site géographiquement distant, chiffré et lui-même certifié HDS. Tests de restauration réguliers, RPO et RTO documentés.
Processus de certification HDS
DATACUBE SYSTEMS vous accompagne à chaque étape du processus de certification, de la conception de l'infrastructure physique à l'obtention du certificat :
- Analyse d'écart — Évaluation de la maturité existante par rapport au référentiel HDS et identification des actions correctives nécessaires
- Conception conforme — Architecture du data center intégrant nativement les exigences HDS : sécurité physique, redondance, cloisonnement, traçabilité
- Mise en œuvre du SMSI — Déploiement du Système de Management de la Sécurité de l'Information conforme ISO 27001 avec extensions HDS
- Audit initial phase 1 — Revue documentaire par l'organisme certificateur accrédité COFRAC : politiques, procédures, analyse de risques
- Audit initial phase 2 — Audit sur site vérifiant la mise en œuvre effective des mesures de sécurité et la conformité opérationnelle
- Certification et surveillance — Délivrance du certificat (3 ans), audits de surveillance annuels, audit de renouvellement à échéance
Questions fréquentes
Qu'est-ce que la certification HDS ?
La certification HDS (Hébergeur de Données de Santé) est une obligation légale française définie par l'article L.1111-8 du Code de la santé publique. Elle impose à tout organisme hébergeant des données de santé à caractère personnel d'obtenir une certification délivrée par un organisme accrédité par le COFRAC. Basée sur la norme ISO 27001, elle intègre des exigences spécifiques au secteur de la santé : traçabilité renforcée, gestion des incidents de sécurité, disponibilité garantie et protection renforcée des données patients.
Quelles sont les 6 activités couvertes par la certification HDS ?
La certification HDS couvre 6 activités réparties en deux catégories. L'hébergeur d'infrastructure physique : (1) mise à disposition et maintien en condition opérationnelle des sites physiques, (2) mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle. L'hébergeur infogéreur : (3) mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement, (4) mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle, (5) administration et exploitation du système d'information de santé, (6) sauvegarde externalisée des données de santé.
Combien de temps dure le processus de certification HDS ?
Le processus de certification HDS dure typiquement entre 6 et 18 mois selon le niveau de maturité de l'organisation. Il comprend : la mise en conformité du SMSI (3-12 mois), l'audit initial en deux phases par un organisme accrédité COFRAC (audit documentaire puis audit sur site, environ 2-3 mois), le traitement des non-conformités éventuelles, puis la délivrance du certificat. La certification est valable 3 ans, avec un audit de surveillance annuel et un audit de renouvellement à l'échéance.
Quel est le lien entre HDS et ISO 27001 ?
La certification HDS est construite sur le socle de l'ISO 27001. Un hébergeur HDS doit impérativement disposer d'un Système de Management de la Sécurité de l'Information (SMSI) conforme ISO 27001. La certification HDS ajoute des exigences supplémentaires spécifiques à la santé : gestion des consentements patients, notification des incidents à l'ARS et à l'ANS, obligation de localisation des données, et exigences renforcées de disponibilité avec PCA/PRA documentés et testés.
Conformités & services associés
Prêt à construire votre data center HDS ?
Nos experts conçoivent des infrastructures certifiables HDS pour les acteurs de la santé. Étude de faisabilité et devis gratuit sous 48h.