HDS — Hébergement de Données de Santé, définition et obligation
La certification HDS (Hébergeur de Données de Santé) est une accréditation obligatoire pour toute personne physique ou morale hébergeant des données de santé à caractère personnel pour le compte d'un professionnel ou établissement de santé. Elle garantit la sécurité, la confidentialité et la disponibilité des données de santé.
Obligation légale et périmètre
Tout logiciel ou service cloud stockant des données de santé (dossier patient, résultats d'examens, images médicales) doit être hébergé par un prestataire certifié HDS. Cette obligation s'applique aux éditeurs de logiciels médicaux, aux opérateurs de télémédecine et aux plateformes de coordination de soins. Les hébergeurs certifiés sont listés sur le site de l'ANS.
Conséquences pour le praticien
Le professionnel de santé doit s'assurer que ses outils numériques (logiciel de gestion de cabinet, messagerie, stockage cloud) sont hébergés par un prestataire certifié HDS. L'utilisation d'un outil non certifié constitue une violation du RGPD et expose à des sanctions de la CNIL. Le non-respect peut également engager la responsabilité civile et pénale du praticien.
Questions fréquentes
Un cabinet médical doit-il lui-même être certifié HDS ?
Non. C'est l'hébergeur (prestataire de cloud ou éditeur de logiciel) qui doit être certifié HDS. Le cabinet doit simplement s'assurer que ses prestataires ont bien cette certification, en vérifiant les contrats ou la liste officielle de l'ANS.
Google Drive ou Dropbox sont-ils conformes HDS ?
Non pour les offres grand public. Google propose une offre Google Cloud Healthcare certifiée HDS, mais les offres grand public (Gmail, Drive standard) ne peuvent pas être utilisées pour stocker des données de santé. Des solutions spécifiques au secteur médical (Apicrypt, Docubase) sont disponibles.
Qu'est-ce qui distingue HDS du RGPD ?
Le RGPD est un règlement européen général sur la protection des données personnelles. HDS est une certification française spécifique aux données de santé, qui va plus loin que le RGPD sur les exigences techniques et organisationnelles. Le respect d'HDS implique la conformité RGPD mais l'inverse n'est pas vrai.
