Le compte à rebours est terminé. Depuis le passage à l’année 2026 , la protection des données de santé en France a franchi un cap décisif avec l’obligation de migrer vers la version 2.0 du référentiel HDS. Est-ce que votre établissement est une forteresse imprenable ou un château de cartes numérique ?
La sécurité n’est plus une simple ligne budgétaire , c’est le garant de la continuité des soins. Ce nouvel article décrypte les bouleversements réglementaires et techniques pour vous assurer une mise en conformité sans faille.
L’échéance du 16 mai 2026 : la fin de la tolérance
Pourquoi tout ce bruit autour de la version 2.0 ? Tout simplement parce que les anciens certificats délivrés sous la version 1.1 deviennent caducs. Selon les directives de l’ Agence du numérique en santé (ANS) , tous les hébergeurs et éditeurs de logiciels hospitaliers doivent avoir migré vers le nouveau référentiel avant le 16 mai 2026. Vous pouvez consulter le calendrier officiel et les textes de référence sur le site de l’ ANS : référentiel de certification HDS .
Cette transition n’est pas qu’une couche de peinture administrative. Elle impose une révision profonde des contrats de sous-traitance et une transparence accrue sur la localisation des données. Si votre prestataire n’est pas à jour , vous naviguez en eaux troubles : le risque juridique est désormais aussi important que le risque technique.
Hébergement interne et interfaçage : une souveraineté retrouvée
Une question brûle souvent les lèvres des DSI : faut-il certifier ses propres serveurs ? Le cadre légal , précisé par l’ article L1111-8 du Code de la santé publique (disponible sur Legifrance : article L1111-8) , est clair : l’hébergement « pour son propre compte » n’est pas soumis à certification.
Pourtant , la réalité est plus subtile :
dès qu’un éditeur de logiciel tiers installe une solution sur vos serveurs et en assure la maintenance , il réalise une activité de gestion d’infrastructure ou d’infogérance ;
l’éditeur doit alors être certifié HDS v2 pour les activités 5 (administration/exploitation du système d’information) et 6 (sauvegarde externalisée) ;
l’interfaçage direct avec votre système d’information hospitalier (SIH) impose que les flux de données soient monitorés selon les nouvelles exigences de la norme ISO 27001 : 2022.
En privilégiant des solutions qui s’interfacent directement avec vos serveurs sécurisés , vous gardez la main sur le coffre-fort tout en déléguant l’expertise technique à des partenaires certifiés.
Les nouveaux standards de sécurité : plus de transparence , moins de risques
Le référentiel v2.0 s’aligne sur la norme internationale ISO 27001 : 2022 , ce qui modifie la manière dont les risques cyber sont évalués. Il ne s’agit plus seulement de mettre un pare-feu , mais de prouver une résilience organisationnelle. Vous trouverez les détails de ces exigences sur le portail de l’ ISO : norme 27001 .
L’autre pilier est la souveraineté. La certification v2 exige une transparence totale sur les transferts de données hors de l’Espace économique européen. Pourquoi ? Pour protéger les patients contre les législations extraterritoriales intrusives. La CNIL rappelle d’ailleurs que la sécurité des données est un droit fondamental du patient , comme précisé dans leurs recommandations sur les données de santé .
FAQ : vos interrogations sur la mise en conformité 2026
Quelle est la différence concrète entre hds v1.1 et v2.0 ? La v2.0 intègre les contrôles de la norme ISO 27001 version 2022 et renforce les exigences de souveraineté. Elle impose une distinction plus nette entre l’hébergeur d’infrastructure (activités 1 et 2) et l’hébergeur infogéreur (activités 3 à 6).
Comment savoir si mon éditeur est certifié pour les bonnes activités ? Il ne suffit pas d’être « certifié HDS ». Un éditeur de logiciel doit être certifié pour les activités d’infogérance applicative (activité 5). Vous pouvez vérifier le périmètre de certification de chaque prestataire sur l’ annuaire officiel des hébergeurs certifiés .
Le support et la maintenance sont-ils inclus dans le périmètre hds ? Oui : dès lors que le technicien accède à l’environnement contenant des données de santé pour assurer le support ou la maintenance , cette action entre dans le cadre de l’activité 5 du référentiel HDS v2.0.
La mise aux normes de votre système d’information est un marathon , pas un sprint. En 2026 , la conformité HDS v2 devient le socle de confiance indispensable entre les patients et les établissements. Avez-vous déjà audité le périmètre de certification de vos éditeurs de logiciels pour vérifier s’ils couvrent bien l’activité 5 ? Je peux vous aider à préparer cette check-list d’audit si vous le souhaitez.
