Echeance HDS v2 du 16 mai 2026: Pourquoi chaque entreprise francaise hebergeant des donnees de sante doit reauditer son prestataire | Arhivix

Echeance HDS v2 du 16 mai 2026: Pourquoi chaque entreprise francaise hebergeant des donnees de sante doit reauditer son prestataire

19 mai 2026 Arhivix Team 8 min
Echeance HDS v2 du 16 mai 2026: Pourquoi chaque entreprise francaise hebergeant des donnees de sante doit reauditer son prestataire

Le 16 mai 2026 met fin a la certification HDS v1.1

Le referentiel HDS (Hebergement de Donnees de Sante) a ete publie en France par l'Arrete du 26 fevrier 2018 et complete par l'Agence du Numerique en Sante (ANS, ex-ASIP). Tous les certificats delivres sous le referentiel v1.1 arrivent a terme le 16 mai 2026, sans renouvellement possible dans l'ancienne version. Les hebergeurs et leurs clients sont obliges de passer a HDS v2, qui integre ISO 27001:2022 (avec ses nouveaux controles cybersecurite), ISO 27017 (cloud), ISO 27018 (donnees personnelles dans le cloud), et ajoute une clause explicite de souverainete des donnees imposant la localisation au sein de l'EEE et la non-applicabilite du CLOUD Act americain.

L'ANS a recense au debut 2026 environ 270 hebergeurs certifies. Sur ce total, seuls 60 a 70 ont deja obtenu la certification v2. Pour les 200 restants, la pression du recertification est concrete: si le certificat expire avant que le nouveau soit emis, l'hebergeur perd le droit d'heberger des donnees de sante pendant le delta de temps, et le client client se retrouve en violation du Code de la Sante Publique.

Qui est concerne au-dela des hopitaux

La definition de "donnee de sante" sous l'article L1111-8 du CSP est large et capture des organisations qui ne se considerent pas comme acteurs de sante. Sont concernes:

  • Services de medecine du travail: dossiers de visite, certificats d'aptitude, donnees d'exposition professionnelle
  • RH d'entreprise: arrets maladie, justificatifs de longue maladie, dossiers d'invalidite
  • Mutuelles et complementaires sante: dossiers de remboursement, factures medicales, ordonnances
  • Laboratoires de recherche et biobanques: echantillons biologiques traces, donnees genomiques
  • Applications de bien-etre et fitness collectant donnees medicales (tension, glycemie, rythme cardiaque continu)
  • Editeurs de DMP / SaaS de tele-consultation
  • Cabinets de medecine du sport, kinesitherapeutes, dietitiens en exercice libéral

Le test pratique est: si l'application stocke une donnee qui revele un etat de sante d'une personne identifiable, et si cette donnee est traitee dans un cloud, l'hebergeur de ce cloud doit etre certifie HDS. Y compris si l'utilisateur final est un salarie et non un patient.

Ce qui change de v1.1 a v2

Le saut technique est plus important qu'il n'y parait sur le papier. Trois familles de controles supplementaires apparaissent:

  1. Cybersecurite avancee selon ISO 27001:2022: gestion des journaux, surveillance continue, reponse a incident dans des delais explicites (notification CNIL et ANSSI sous 72 heures)
  2. Souverainete et localisation: tous les flux de donnees doivent etre traceables, tout transfert hors EEE necessite une analyse formelle de transfert et des garanties supplementaires (clauses contractuelles types et mesures techniques)
  3. Reversibilite: l'hebergeur doit garantir la portabilite des donnees vers un autre prestataire ou vers les serveurs du responsable de traitement, dans un format reutilisable, dans un delai contractuellement defini (en general 30 jours apres demande)

La clause de souverainete est celle qui ferme la porte a plusieurs offres cloud americaines populaires. Un cloud hyperscaler americain peut maintenir la certification HDS uniquement s'il etablit des entites juridiques europeennes distinctes, isolees du CLOUD Act, avec un controle d'acces inaccessible aux entites parentes. Toutes les declarations marketing en la matiere ne se traduisent pas en certification.

Activite 5 contre activite 6: la nuance qui change tout

Le referentiel HDS distingue 6 activites: 1) hebergement physique, 2) hebergement virtuel, 3) hebergement logiciel, 4) hebergement applicatif, 5) administration et exploitation, 6) sauvegarde externalisee. La plupart des SaaS de gestion documentaire qui pretendent etre "compatibles HDS" sont certifies sur les activites 1 et 2 (infrastructure) mais pas sur les activites 5 et 6, qui sont pourtant celles qui couvrent les operations courantes et l'archivage long-terme.

Un cabinet d'avocats specialise en droit de la sante qui externalise l'archivage des dossiers medicaux de ses clients vers un prestataire certifie uniquement infrastructure ne satisfait pas ses obligations. Le prestataire doit etre certifie pour l'activite 6 (sauvegarde) et 5 (administration) au minimum, sinon le sauvegarde des donnees medicales est juridiquement nulle.

NF Z42-013 et HDS: empiler les certifications

La norme NF Z42-013 reste la reference de l'archivage electronique a valeur probante en France, quel que soit le secteur. Pour la sante, NF Z42-013 et HDS se complitent: NF Z42-013 garantit la valeur probante (integrite, lisibilite, perennite), HDS garantit l'hebergement sectoriel (cybersecurite, localisation, reversibilite). Le bon prestataire pour un cabinet de sante porte les deux certifications simultanement. C'est une exigence rare, et le filtre des prestataires se reduit considerablement.

Une commande de marche public sante explicite en 2026 reclame typiquement: HDS v2 activites 1 a 6, NF Z42-013 sur le service d'archivage, ISO 27001:2022 organisationnelle, certification SecNumCloud pour les donnees a forte sensibilite. Les SaaS qui n'ont qu'une partie sont elimines au stade de la qualification administrative.

Sanctions CNIL: jusqu'a 20 millions ou 4 pour cent

L'hebergement de donnees de sante par un prestataire non certifie HDS est une violation du Code de la Sante Publique. La CNIL applique en parallele les sanctions du RGPD, qui montent jusqu'a 20 millions d'euros ou 4 pour cent du chiffre d'affaires mondial. En 2023 et 2024, plusieurs amendes francaises se sont approchees du million d'euros pour des violations d'hebergement, et la tendance est a la hausse. Mai 2026 sera un mois d'arbitrage: les hebergeurs sans certificat v2 ne pourront plus recevoir de nouveaux clients, et les clients existants devront soit attendre la recertification de leur prestataire soit migrer en urgence vers un prestataire deja certifie. Les delais de migration des bases volumineuses (plusieurs To de dossiers radiologiques) atteignent 90 jours, ce qui place la decision a la mi-fevrier 2026 au plus tard.

Articles associés

Lire la suite

Automatisation documentaire pour chaque industrie : comment Arhivix elimine le travail manuel en comptabilite, logistique, construction et droit

Automatisation documentaire pour chaque industrie : comment Arhivix elimine le travail manuel en comptabilite, logistique, construction et droit

Un guide complet des automatisations Arhivix - des regles intelligentes pour les emails et du classement par IA aux alertes de delais et declencheurs de flux de travail - et comment elles resolvent les problemes concrets des cabinets comptables, entreprises logistiques, societes de construction et cabinets juridiques.

Lire la suite
Automatisations dans Arhivix : Notifications automatiques lors de l'archivage, du téléchargement ou de la création de documents

Automatisations dans Arhivix : Notifications automatiques lors de l'archivage, du téléchargement ou de la création de documents

Configurez des notifications automatiques pour votre équipe ou vos clients — quand un document est archivé, une facture créée ou un fichier téléchargé.

Lire la suite
Pourquoi l'e-mail n'est pas fait pour les documents professionnels : 7 problemes que vous ignorez

Pourquoi l'e-mail n'est pas fait pour les documents professionnels : 7 problemes que vous ignorez

Les entreprises ont des documents disperses entre e-mails, Viber et WhatsApp. Voici pourquoi c'est un probleme grave et comment le resoudre une fois pour toutes.

Lire la suite