Aller au contenu principal
Réglementation Cybersécurité

Certification HDS 2.0 : ce qui change pour les SAAD en mai 2026

Le 16 mai 2026, tous les hébergeurs de données de santé devront être certifiés selon le nouveau référentiel HDS v2. Si votre logiciel de gestion manipule des grilles AGGIR, des plans d'aide ou des comptes-rendus d'intervention, vous êtes concerné. Voici ce que vous devez vérifier — et les questions à poser à votre éditeur.

Sommaire
  1. Données de santé et certification HDS : rappel des fondamentaux
  2. Ce qui change avec le référentiel HDS v2
  3. Pourquoi les SAAD sont directement concernés
  4. Quelles données de santé dans un SAAD ?
  5. Les questions à poser à votre éditeur de logiciel
  6. Checklist de mise en conformité pour les directeurs de SAAD
  7. Comment Alma gère l'hébergement des données de santé
  8. Questions fréquentes

Données de santé et certification HDS : rappel des fondamentaux

En France, toute personne physique ou morale qui héberge des données de santé à caractère personnel sur support numérique doit être certifiée HDS (Hébergeur de Données de Santé). Cette obligation est inscrite à l'article L.1111-8 du Code de la santé publique.

La certification HDS n'est pas un label volontaire. C'est une obligation légale. L'hébergement de données de santé sans certification est passible de 3 ans d'emprisonnement et 45 000 euros d'amende.

Les 6 activités d'hébergement

La certification HDS couvre six activités distinctes, qui correspondent à différents niveaux de responsabilité dans la chaîne d'hébergement :

  1. Mise à disposition et maintien des sites physiques (datacenters).
  2. Mise à disposition et maintien de l'infrastructure matérielle (serveurs, réseau).
  3. Mise à disposition et maintien de l'infrastructure virtuelle (virtualisation, conteneurs).
  4. Mise à disposition et maintien de la plateforme d'hébergement (systèmes d'exploitation, bases de données managées).
  5. Administration et exploitation du système d'information contenant les données de santé.
  6. Sauvegarde externalisée des données de santé.

Un hébergeur cloud comme AWS, OVHcloud ou Scaleway couvre généralement les activités 1 à 4 et 6. L'éditeur de logiciel SaaS, lui, assume typiquement les activités 4 (partiellement) et 5. C'est cette répartition qui détermine qui doit être certifié pour quoi.

À retenir : un éditeur SaaS n'a pas obligatoirement besoin d'être lui-même certifié HDS, à condition que son hébergeur le soit sur les activités concernées et qu'un contrat (addendum HDS) encadre formellement cette relation.

Ce qui change avec le référentiel HDS v2

Le 16 mai 2024, un arrêté publié au Journal officiel a approuvé la nouvelle version du référentiel de certification HDS. Ce référentiel, dit HDS v2 (ou HDS 2.0), remplace la version 1.1 en vigueur depuis 2018.

Les hébergeurs déjà certifiés disposent d'un délai de transition de 24 mois pour se mettre en conformité. L'échéance tombe donc au 16 mai 2026. Les nouveaux candidats à la certification sont évalués selon le référentiel v2 depuis le 16 novembre 2024.

Les quatre changements majeurs

1. Hébergement physique obligatoire dans l'Espace Économique Européen (EEE). C'est sans doute le changement le plus structurant. Le référentiel v2 impose que les données de santé soient physiquement hébergées dans un pays de l'EEE (Union européenne + Norvège, Islande, Liechtenstein). Jusqu'ici, cette exigence n'était pas aussi explicite. Désormais, un hébergeur qui stockerait des données de santé dans un datacenter situé aux États-Unis ou en Asie ne pourrait plus prétendre à la certification.

2. Alignement sur la norme ISO 27001:2022. Le référentiel v1.1 s'appuyait sur la version 2013 de la norme ISO 27001. La v2 intègre la version 2022, qui renforce les contrôles de cybersécurité : gestion des menaces, sécurité du cloud, protection contre les fuites de données et continuité d'activité.

3. Transparence renforcée sur la sous-traitance. Les hébergeurs certifiés doivent désormais documenter précisément leur chaîne de sous-traitance et s'assurer que chaque sous-traitant respecte les mêmes exigences de sécurité. Plus question de déléguer le stockage à un tiers non certifié sans le déclarer.

4. Clarification du périmètre des activités. Le référentiel v2 précise la frontière entre les activités d'hébergement d'infrastructure (activités 1 à 4) et les activités d'infogérance (activités 5 et 6). Cette clarification aide à mieux identifier qui, de l'hébergeur ou de l'éditeur, est responsable de quoi.

Bon à savoir : l'Agence du Numérique en Santé (ANS) publie la liste officielle des hébergeurs certifiés HDS. Vous pouvez y vérifier à tout moment si votre prestataire est en conformité.

Pourquoi les SAAD sont directement concernés

Les Services d'Aide et d'Accompagnement à Domicile manipulent quotidiennement des informations qui entrent dans la catégorie juridique des données de santé à caractère personnel. Ce n'est pas parce qu'un SAAD n'est pas un hôpital ou un cabinet médical que l'obligation HDS ne s'applique pas.

Concrètement, dès lors que votre logiciel de gestion stocke des informations sur l'état de dépendance, les pathologies ou les soins d'un bénéficiaire, ces données sont considérées comme des données de santé au sens du RGPD (article 4, point 15) et du Code de la santé publique.

Si votre éditeur de logiciel héberge ces données chez un prestataire qui n'est pas certifié HDS, ou dont la certification expire faute de mise en conformité v2, vous êtes en infraction — même si vous n'en êtes pas directement responsable. En tant que responsable de traitement au sens du RGPD, c'est à vous de vérifier que la chaîne d'hébergement est conforme.

La réforme SAD renforce l'enjeu

La réforme des Services Autonomie à Domicile (SAD), qui fusionne les SAAD et les SSIAD à compter de 2025, accentue cette obligation. Les structures qui intègrent désormais une activité de soins dans leur périmètre manipulent mécaniquement davantage de données de santé. Le Ségur du numérique, avec l'obligation future du DUI (Dossier Usager Informatisé), rend l'hébergement certifié HDS encore plus incontournable.

Quelles données de santé dans un SAAD ?

Pour bien mesurer l'étendue de l'obligation, voici les données que vous manipulez probablement au quotidien et qui relèvent de la catégorie « données de santé » :

  • Grilles AGGIR et niveaux GIR — elles révèlent le degré de perte d'autonomie d'une personne, ce qui constitue une donnée de santé.
  • Plans d'aide APA et PCH — ils détaillent les besoins liés à une situation de dépendance ou de handicap.
  • Évaluations initiales et réévaluations — elles documentent l'état physique et cognitif du bénéficiaire.
  • Cahiers de liaison et comptes-rendus d'intervention — les observations des intervenants sur l'état du bénéficiaire (alimentation, mobilité, humeur, incidents).
  • Signalements d'incidents — chutes, malaises, hospitalisations.
  • Coordonnées des professionnels de santé rattachés au bénéficiaire (médecin traitant, infirmier, kinésithérapeute).

Toutes ces informations, dès lors qu'elles sont stockées sur un support numérique (votre logiciel de gestion, un tableur, un serveur de fichiers), sont soumises à l'obligation d'hébergement certifié HDS.

Attention : même un simple fichier Excel stocké sur un serveur cloud contenant des évaluations AGGIR entre dans le champ de l'obligation HDS. L'obligation ne se limite pas aux logiciels métier spécialisés.

Vos données de santé sont-elles hébergées en conformité ?

Alma héberge vos données sur AWS Paris (eu-west-3), certifié HDS. Découvrir les tarifs ou essayer gratuitement.

Les questions à poser à votre éditeur de logiciel

Que vous soyez en train de choisir un logiciel de gestion ou que vous souhaitiez vérifier la conformité de votre solution actuelle, voici les questions essentielles à poser à votre éditeur.

1. Où sont hébergées physiquement mes données ?

Exigez une réponse précise : nom de l'hébergeur, région du datacenter, pays. Avec le référentiel v2, les données de santé doivent être physiquement dans l'EEE. Si votre éditeur vous répond « dans le cloud » sans préciser la localisation, c'est un signal d'alerte.

2. L'hébergeur est-il certifié HDS ?

Demandez le certificat HDS de l'hébergeur ou vérifiez sur la liste officielle de l'ANS. Vérifiez en particulier :

  • La date de validité du certificat (un certificat HDS v1.1 expire au plus tard le 16 mai 2026).
  • Les activités couvertes (idéalement 1 à 6, ou au minimum 1 à 4 + 6 si l'éditeur assume les activités 4-5).
  • La version du référentiel (v2 ou v1.1 en cours de transition).

3. Un contrat HDS (addendum) est-il signé entre l'éditeur et l'hébergeur ?

La certification de l'hébergeur ne suffit pas. Il faut un contrat spécifique qui encadre la relation et précise les responsabilités de chacun. Ce contrat (souvent appelé BAA ou addendum HDS) doit être signé et disponible sur demande.

4. Les données sont-elles chiffrées au repos et en transit ?

Le chiffrement en transit (HTTPS/TLS) est un minimum. Le chiffrement au repos (AES-256 sur les bases de données et les fichiers) est une exigence de bonne pratique intégrée au référentiel v2. Demandez les détails : quel algorithme, qui gère les clés, comment sont-elles renouvelées.

5. Quelle est la politique de sauvegarde et de reprise d'activité ?

En cas d'incident (panne, cyberattaque, erreur humaine), vos données doivent être récupérables. Demandez le RPO (Recovery Point Objective : combien de données risquez-vous de perdre) et le RTO (Recovery Time Objective : combien de temps pour rétablir le service).

6. Qui a accès aux données de production ?

Le référentiel v2 renforce la traçabilité des accès. Demandez à votre éditeur combien de personnes ont accès à la base de données de production, si les accès sont nominatifs et journalisés, et si un audit trail est en place.

7. L'éditeur dispose-t-il d'une PSSI et d'une AIPD ?

La Politique de Sécurité du Système d'Information (PSSI) et l'Analyse d'Impact relative à la Protection des Données (AIPD) sont des documents obligatoires pour tout traitement de données sensibles. Si votre éditeur ne peut pas les produire, c'est préoccupant.

Checklist de mise en conformité pour les directeurs de SAAD

Vous n'avez pas besoin d'être expert en cybersécurité pour agir. Voici les étapes concrètes à suivre avant le 16 mai 2026 :

  1. Inventorier vos outils numériques — listez tous les logiciels et supports (y compris tableurs, messageries, espaces de stockage cloud) où transitent des données de bénéficiaires.
  2. Identifier les données de santé — pour chaque outil, déterminez s'il contient des grilles AGGIR, des plans d'aide, des observations sur l'état de santé ou tout autre donnée entrant dans la définition de l'article L.1111-8 CSP.
  3. Vérifier la certification HDS de chaque hébergeur — consultez la liste officielle de l'ANS et demandez les certificats à jour.
  4. Contacter votre éditeur de logiciel — posez-lui les 7 questions détaillées ci-dessus et demandez des réponses écrites.
  5. Vérifier vos contrats — assurez-vous qu'un addendum HDS est signé entre votre éditeur et son hébergeur, et que votre propre contrat avec l'éditeur mentionne la conformité HDS.
  6. Mettre à jour votre registre des traitements — le registre prévu à l'article 30 du RGPD doit mentionner l'hébergeur certifié HDS et la localisation des données.
  7. Désigner un référent RGPD — si ce n'est pas déjà fait, identifiez une personne en interne (ou un DPO externe) chargée du suivi de la conformité données de santé.
  8. Former vos équipes — sensibilisez vos collaborateurs aux bonnes pratiques (mots de passe, accès aux données, signalement d'incidents).

À retenir : la conformité HDS n'est pas uniquement l'affaire de votre éditeur. En tant que responsable de traitement, vous avez l'obligation de vérifier que toute la chaîne est conforme. L'ignorance n'est pas une excuse légale.

Comment Alma gère l'hébergement des données de santé

Chez Alma, la sécurité des données de santé n'est pas une option ajoutée après coup. Elle est intégrée dès la conception de la plateforme.

Voici comment nous répondons concrètement aux exigences du référentiel HDS v2 :

  • Hébergement sur AWS eu-west-3 (Paris) — toutes les données sont physiquement stockées en France, dans l'Espace Économique Européen. AWS est certifié HDS sur la région Paris pour l'ensemble des services utilisés par Alma (ECS, RDS, ElastiCache, ALB).
  • Addendum HDS signé avec AWS — le contrat HDS formalise les responsabilités réciproques entre Alma et son hébergeur, conformément aux exigences du référentiel.
  • Chiffrement de bout en bout — HTTPS/TLS en transit, AES-256 au repos sur les bases de données (RDS) et les volumes de stockage (EBS). Les clés de chiffrement sont gérées via AWS KMS.
  • Contrôle d'accès strict — RBAC (contrôle d'accès par rôle) avec 9 rôles et 6 scopes, authentification forte (JWT + refresh token), double authentification TOTP pour les administrateurs.
  • Journalisation des accès — un audit trail enregistre chaque action sensible sur les données (création, modification, consultation, suppression), avec horodatage et identification de l'utilisateur.
  • Conformité RGPD intégrée — export des données personnelles (article 15) et anonymisation (article 17) disponibles dans l'application.

Alma est disponible gratuitement (offre Starter) pour vous permettre de tester la plateforme avec vos propres données, dans un environnement conforme dès le départ. L'offre Pro à 490 euros par mois inclut l'ensemble des fonctionnalités métier (télégestion, facturation, portail famille, application mobile) avec le même niveau de sécurité.

Questions fréquentes

Mon SAAD doit-il être certifié HDS ?

Non. Le SAAD est responsable de traitement, pas hébergeur. C'est votre éditeur de logiciel (ou l'hébergeur qu'il utilise) qui doit être certifié HDS. Votre obligation est de vérifier que la chaîne d'hébergement est conforme et de le documenter dans votre registre des traitements.

Que se passe-t-il si mon hébergeur n'est pas certifié HDS v2 au 16 mai 2026 ?

Si un hébergeur certifié HDS v1.1 n'obtient pas sa certification v2 avant le 16 mai 2026, son certificat expire. Il ne sera plus autorisé à héberger des données de santé. Si votre éditeur utilise cet hébergeur, vos données ne seront plus hébergées en conformité. Contactez votre éditeur dès maintenant pour connaître son plan de transition.

Les hébergeurs américains (AWS, Azure, GCP) peuvent-ils être certifiés HDS v2 ?

Oui, à condition que les données soient physiquement hébergées dans l'EEE. AWS est certifié HDS sur sa région Paris (eu-west-3). Microsoft Azure est certifié HDS sur ses régions France. Google Cloud Platform est certifié HDS sur ses régions européennes. La nationalité de l'entreprise n'est pas un critère d'exclusion — c'est la localisation physique des données qui compte.

Un logiciel installé sur mon propre serveur est-il concerné ?

Si votre logiciel est installé sur un serveur que vous administrez vous-même (on-premise) et que ce serveur est situé dans vos locaux, la certification HDS ne s'applique pas de la même manière. En revanche, dès que les données sont hébergées chez un tiers (cloud, datacenter externe, infogérance), l'obligation HDS s'applique.

Quel lien entre HDS et Ségur du numérique ?

L'hébergement HDS est un prérequis du référencement Ségur. Pour obtenir le référencement ANS dans le cadre du Ségur du numérique en santé (DUI, INS, MSSanté), le logiciel doit être hébergé chez un prestataire certifié HDS. Les deux démarches sont complémentaires. Pour en savoir plus, consultez notre guide complet sur le Ségur du numérique.

Pour aller plus loin

Consulter nos tarifs · Découvrir les fonctionnalités

Hébergez vos données de santé en toute conformité

Alma est hébergé sur AWS Paris, certifié HDS. Créez votre compte gratuitement et gérez votre agence d'aide à domicile dans un environnement sécurisé dès le premier jour.

Commencer gratuitement
Partager sur LinkedIn Suivez Alma sur LinkedIn →