Toutes les actualités
Conformité20 janvier 202610 min

HDS V2 expliqué : ce que change la nouvelle certification pour vos données de santé

La certification HDS V2 renforce la sécurité opérationnelle, s'aligne sur ISO 27001:2022, précise le périmètre des données concernées et rend obligatoires plusieurs exigences qui étaient recommandées en V1.

Sceau de certification HDS V2 sur dossier patient

HDS V2 expliqué : ce que change la nouvelle certification pour vos données de santé

TL;DR — La certification HDS V2 (référentiel publié par l'ANS en 2024, applicable depuis 2025) renforce la sécurité opérationnelle, aligne sur ISO 27001:2022, précise le périmètre des données concernées, et rend obligatoires plusieurs exigences qui étaient recommandées en V1. Tous les hébergeurs HDS en cours de certification doivent migrer avant la fin de la période transitoire.

Pourquoi HDS V2 existe

La certification HDS (Hébergeur de Données de Santé) date de 2018 dans sa forme actuelle. Le contexte a beaucoup évolué :

  • ISO 27001 a été révisée en 2022 (nouveau jeu de 93 contrôles, vs 114 en 2013).
  • Le RGPD a précisé en jurisprudence ce qui constitue une donnée de santé (sens large : toute donnée traitée dans un contexte médical).
  • Les incidents cyber sur les hôpitaux se sont multipliés (Rouen 2019, AP-HP 2021, Corbeil-Essonnes 2022, plusieurs en 2023-2025).
  • Le Cloud Act US est devenu un risque concret, justifiant une vraie souveraineté technique.

L'ANS (Agence du Numérique en Santé), pilote du référentiel, a publié une V2 plus exigeante et plus actuelle.

Les 6 changements majeurs HDS V1 → V2

1. Alignement complet sur ISO 27001:2022

HDS V2 remplace l'annexe ISO 27001:2013 par ISO 27001:2022. Concrètement :

  • 93 contrôles au lieu de 114 (regroupés en 4 thèmes : Organizational, People, Physical, Technological).
  • Nouveaux contrôles obligatoires : threat intelligence (5.7), secure development life cycle (8.25), configuration management (8.9), information deletion (8.10), data masking (8.11), monitoring activities (8.16).

Pour un hébergeur déjà certifié ISO 27001:2013, la migration vers ISO 27001:2022 est un projet de 6 à 12 mois.

2. Précision du périmètre « activités d'hébergement »

HDS V1 listait 6 activités. HDS V2 les redéfinit plus précisément :

  1. Mise à disposition et maintien en condition opérationnelle (MCO) des sites physiques.
  2. Mise à disposition et MCO de l'infrastructure matérielle.
  3. Mise à disposition et MCO de l'infrastructure virtuelle.
  4. Mise à disposition et MCO de la plateforme logicielle (PaaS, SaaS).
  5. Administration et exploitation des plateformes.
  6. Sauvegarde externalisée des données de santé (nouveau périmètre clarifié).

Un éditeur SaaS qui héberge des données de santé doit viser tous les périmètres pertinents dans son scope de certification (pas juste « infra »).

3. Obligation de tests de pénétration réguliers

HDS V1 « recommandait » les pentests. HDS V2 les rend obligatoires, avec une fréquence :

  • Annuelle sur les périmètres critiques.
  • À chaque évolution majeure (mise en production d'une nouvelle fonctionnalité affectant la sécurité).
  • Avec des rapports archivés disponibles pour l'auditeur.

4. Exigences renforcées sur la détection et la réponse

HDS V2 précise les attendus en matière de :

  • Surveillance 24/7 (équipe ou MSSP) des événements de sécurité.
  • SIEM ou XDR centralisant les logs critiques (auth, accès aux données, activité réseau).
  • Plan de réponse à incident documenté, testé annuellement par exercice de crise.
  • Notification des incidents dans les délais NIS2/RGPD (24h/72h).

C'est ici qu'un SOC managé apporte une valeur immédiate à l'hébergeur ou à l'éditeur SaaS santé — un sujet que nous traitons en profondeur dans notre offre dédiée aux collectivités et établissements de santé.

5. Souveraineté renforcée

HDS V2 précise que :

  • Les données doivent être hébergées en France ou UE (avec préférence France).
  • Le donneur d'ordre doit pouvoir récupérer ses données dans un format standard en cas de fin de contrat.
  • L'hébergeur doit déclarer toute injonction extra-européenne (ex. Cloud Act US) reçue.

Ce dernier point invalide en pratique l'usage de cloud public US (AWS, Azure, GCP) pour héberger des données de santé françaises, sans architecture spécifique de chiffrement avec clés en France.

6. Continuité d'activité (PCA / PRA)

HDS V2 précise les exigences sur :

  • RPO (Recovery Point Objective) maximum.
  • RTO (Recovery Time Objective) maximum.
  • Tests de bascule au moins annuels avec rapport d'exécution.
  • Plan de fin de contrat (réversibilité) documenté et testé.

Calendrier d'application

PériodeStatut
2024Publication du référentiel HDS V2
2025Période transitoire — les hébergeurs HDS V1 peuvent encore renouveler en V1
2026 - 2027Migration obligatoire vers HDS V2 lors du renouvellement
À partir de 2027Toutes les certifications HDS sont en V2

Si vous êtes un éditeur SaaS santé, vérifiez dès maintenant que votre hébergeur a un plan de migration HDS V2.

Impact pour qui ?

Pour un hébergeur (datacenter)

Migration ISO 27001:2022, audit blanc HDS V2, mise à niveau de la SOC interne ou contractualisation d'un MSSP, formalisation de tous les nouveaux contrôles. Projet 12 à 18 mois.

Pour un éditeur SaaS qui s'appuie sur un hébergeur HDS

Vérifier le périmètre exact de la certification de l'hébergeur (les 6 activités), demander l'attestation HDS V2 actuelle, ajuster le contrat. Pour les fonctionnalités SaaS qui sortent du périmètre hébergeur (administration applicative, support métier), envisager une certification HDS propre sur ces périmètres.

Pour un établissement de santé (hôpital, clinique, mutuelle)

Auditer ses fournisseurs SaaS en imposant HDS V2 dans les marchés publiés à partir de 2026. Mettre à jour les analyses d'impact RGPD (AIPD).

L'angle SOC : pourquoi HDS V2 pousse à l'externalisation

Les exigences HDS V2 sur la détection 24/7 + le SIEM/XDR + le plan IR testé + la notification 24h/72h dépassent ce qu'un éditeur SaaS de taille moyenne peut produire en interne. Les options réalistes :

  1. Construire un SOC interne : 1,8 à 3,5 M€/an (cf. notre comparatif SOC interne vs externalisé).
  2. Externaliser à un SOC managé français hébergé en France, capable de fournir les preuves d'audit HDS V2 prêtes à l'emploi.

Pour 95 % des structures concernées, l'option 2 est la seule économiquement viable — c'est le terrain de la plateforme SOC managé UniSOC, conçue pour produire les preuves d'audit HDS V2 sans rework.

Hébergement HDS chez Unitel : un exemple concret

UniSOC est hébergé chez Unitel, datacenter Tier III à Lille, certifié HDS V2 (et ISO 27001:2022, et SecNumCloud sur certains périmètres). C'est l'un des rares opérateurs français à offrir cette combinaison sans dépendance US sous-jacente.

Pour un éditeur santé qui choisit UniSOC :

  • Les données de SOC (logs, alertes, télémétrie) sont stockées en France chez un hébergeur HDS V2.
  • Aucune dépendance Cloud Act dans la chaîne (LLM IA inclus, en local sur GPU souverain).
  • Les preuves de surveillance 24/7 sont fournies clés en main pour l'audit HDS du donneur d'ordre.

Voir l'article dédié à l'hébergement Unitel →.

Conclusion

HDS V2 n'est pas une révolution conceptuelle, mais une mise en cohérence forte avec ISO 27001:2022, NIS2 et la souveraineté numérique. La barre d'entrée monte : surveillance 24/7, pentests annuels, plan IR testé, traçabilité Cloud Act.

Pour les hébergeurs et les éditeurs SaaS santé, c'est l'occasion de remettre à plat leur stratégie SOC et leur dépendance cloud — avant que la migration devienne urgente fin 2026.


Vous êtes éditeur SaaS santé ou établissement HDS ? Demandez un audit gratuit de votre conformité SOC HDS V2 → — questionnaire 30 questions, score + reco, sans engagement.

Sujets abordés

hds v2hébergeur de données de santécertification hds

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.