Hébergement des données de santé (HDS)

L’hébergement des données de santé (HDS) doit être réalisé dans des conditions de sécurité adaptées à leur criticité.

Pour bien commencer

Toute personne physique ou morale qui héberge des données de santé pour le compte de personnes à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit disposer des caractéristiques nécessaires et suffisantes pour en garantir la sécurité et notamment la confidentialité.

​Les données de santé concernées sont les données de santé à caractère personnel, recueillies à l’occasion d’une prise en charge sanitaire ou médico-sociale.

Un certificat de conformité, certificat HDS, délivré par des organismes de certification atteste de la conformité des hébergeurs aux exigences de sécurité définies dans le référentiel HDS.

Ce contrôle se situe dans l’esprit RGPD.

En pratique

Consultez la liste des hébergeurs certifiés HDS, et sélectionnez-en un qui correspond à vos besoins

Quand ?

Quand vous allez traiter des données de santé à caractère personnel réel il sera nécessaire d'avoir un hébergeur certifié "HDS" opérationnel

Conformité

Code de la santé publique

Le cadre légal encadrant l’hébergement des données de santé à caractère personnel s’applique quelle que soit la nature de l’acteur, dès lors que cet acteur offre un service d’hébergement de données de santé à caractère personnel à des tiers.

12 mars 2020 - Article R1111-8-8

L’activité d’hébergement de données de santé à caractère personnel mentionnée au I de l’article L. 1111-8 consiste à héberger les données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social

Consultez l'Art R1111-8-8

12 mars 2020 - Article R1111-9

Est considérée comme une activité d’hébergement de données de santé à caractère personnel sur support numérique, le fait d’assurer pour le compte du responsable de traitement ,tout ou partie des activités suivantes :

1/ La mise à disposition et le maintien en condition opérationnelle des sites physiques ;
2/ La mise à disposition et le maintien en condition opérationnelle de l’infrastructure matérielle ;
3/ La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle ;
4/ La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications ;
5/ L’administration et l’exploitation du système d’information contenant les données de santé ;
6/ La sauvegarde des données de santé.

Consultez l'Art R1111-9

RGPD

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)

Consultez le Règlement (UE) 2016/679

Référentiel de certification HDS

Questions fréquentes

Documentation

Le décret 2018-137 du 26 février 2018 définit la procédure de certification et organise la transition entre l’agrément et la certification. L’arrêté portant approbation des référentiels d’accréditation et de certification publié le 29 juin 2018 permet l’ouverture du schéma d’accréditation HDS. Les hébergeurs pourront déposer une demande de certificat HDS auprès de tout organisme de certification ayant réalisé les démarches d’accréditation auprès du COFRAC (Comité Français d'Accréditation).

Nos experts sur le sujet

Frédéric Law Dune,

Agence du numérique en santé

G_NIUS vous fait gagner du temps

Les outils pour vous aider dans votre projet.

S'orienter dans la doctrine technique

La doctrine technique présente les actions de la feuille de route ministérielle du virage numérique.

Accédez à la boussole de la doctrine