Retour à la liste
29/5/2025
Data center

Certification HDS : Quels enjeux et obligations ?

La certification réglementaire Hébergeurs de données de santé (HDS) basée sur la norme ISO/IEC 27001 démontre l'engagement des data centers UltraEdge en matière de protection des données de santé à caractère personnel.  Le HDS (Hébergement de Données de Santé) représente aujourd'hui un pilier clé dans la sécurisation des données sensibles des patients. Cette certification encadre strictement tous les acteurs tels que les établissements hospitaliers manipulant des informations médicales. Elle s'inscrit dans une stratégie nationale et a pour objectif de renforcer la souveraineté.

HDS : de quoi s'agit-il ?

Définition de la certification HDS

La certification HDS constitue un cadre réglementaire imposé à toute organisation hébergeant des données de santé à caractère personnel en France.

Elle remplace depuis 2018, l'ancien agrément ministériel pour un processus plus rigoureux et standardisé. De fait, ce nouveau dispositif, issu de l'article L.1111-8 du code de la santé publique repose sur un référentiel mis à jour en mai 2024, avec des obligations plus poussées, notamment sur la souveraineté des données.

Trois aspects fondamentaux à retenir ; la confidentialité des informations, l'intégrité et prévention anti-corruption, et une disponibilité permanente pour les différents professionnels accrédités.

Cette obligation de transparence est d'autant plus stratégique pour les opérateurs de data centers et hébergeurs, notamment sur la cartographie des transferts de données.

À quoi ça sert dans un contexte IT réglementé

Selon un rapport IBM de 2024, le coût moyen d'une violation de données dans le secteur de la santé dépasse avoisine les 5 millions de dollars, et est bien au-delà d'autres industries.

En adoptant cette certification, les data centers de UltraEdge garantissent aux établissements de santé qui hébergent leurs données dans nos data centers d’être en conformité avec la réglementation. Cela pose de nouveaux jalons sur l’utilisation de l’IA sachant qu’environ trois quart des usages ne sont pas sécurisés.

Pour les patients, il s'agit de protéger efficacement leurs informations les plus sensibles. Elle leur permet de démontrer leur conformité aux obligations légales tout en bénéficiant d'infrastructures professionnelles de dernière génération.

Elle participe aussi à la structuration d'un écosystème d'hébergeurs en France et data centers souverains tels UltraEdge, capables de rivaliser avec les hyperscalers globaux tels que Amazon et Google.

Comment se déroule la certification HDS

Le processus de certification : étape par étape

L’obtention de la certification HDS est un processus rigoureux qui nécessite une préparation minutieuse et un engagement fort de la part de l’organisation candidate. La certification HDS est supervisé par les organismes accrédités par le COFRAC (Comité Français d'Accréditation). Le processus se déroule en plusieurs étapes et prend plusieurs mois.

Constitution du dossier de candidature

Pour prétendre à la certification HDS, l’organisme demandeur doit préparer un dossier comprenant :

- Une description détaillée du data center devant héberger les données (détail de l’infrastructure technique).

- Le processus de sécurité en vigueur dans le data center

- Les politiques de gestion des risques

- Le plan de continuité d’activité du data center

- Les contrats et engagements avec les sous-traitants éventuels

Audit certification

Un audit de certification approfondi en deux phases est réalisé par l’organisme certificateur (souvent AFNOR ou BSI) :

- Une revue documentaire pour vérifier la conformité des procédures et politiques

- Un audit on site pour évaluer la mise en œuvre effective des mesures de sécurité

Traitement des non-conformités

En cas de non-conformité identifiée durant l’audit, l’organisation disposera d’un délai pour apporter des correctifs

Délivrance de la certification HDS

Elle n’est effective qu’une fois toutes les exigences satisfaites par l’hébergeur.

Par ailleurs, des audits de surveillance sont réalisés annuellement pour s’assurer du maintien de la conformité tout au long de la période de validité de la certification.

Les exigences de certification couvrent un large spectre de domaines que nous prenons en compte dans nos data centers UltraEdge tels que :

- La gouvernance et la gestion des risques

- La sécurité des systèmes d’information

- La gestion des accès et des habilitations

- La sécurité physique des infrastructures

- La Gestion des incidents et la continuité d’activité

- Le respect de la réglementation en matière de protection des données personnelles

UltraEdge, est un hébergeur responsable en conformité avec les normes et référentiels reconnus (ISO 27001 pour la sécurité, ISO 20000 pour la gestion des services informatiques et ou encore le RGPD pour la protection des données personnelles) en vigueur pour les hébergeurs.

Le certificat délivré est valable pour une durée de trois ans et un audit de surveillance est réalisé annuellement.

Quel public concerné ?

Quels profils pour la certification ?

Elle s'adresse à toute personne physique ou morale qui héberge des données de santé à caractère personnel pour le compte de tiers. Ainsi, le standard HDS englobe des profils variés.

Les hébergeurs d'infrastructure représentent la première catégorie concernée. Ces entreprises exploitent des data centers dédiés à l'hébergement physique des serveurs et équipements. Elles doivent être certifiées pour les activités de mise à disposition et maintien en condition opérationnelle des sites physiques (activité 1) et de l'infrastructure matérielle (activité 2).

Les fournisseurs de services cloud constituent le deuxième profil majeur. Qu'il s'agisse d'infrastructures virtuelles (IaaS), de plateformes (PaaS) ou d'applications (SaaS), ces acteurs doivent obtenir la certification pour les activités correspondantes. Des géants comme Microsoft ou des acteurs français proposent des offres certifiées HDS pour répondre aux besoins du secteur de la santé.

Les éditeurs de logiciels médicaux se trouvent également concernés lorsqu'ils hébergent eux-mêmes les données générées par leurs applications. Un éditeur de dossier patient informatisé qui propose une version SaaS de sa solution doit impérativement être certifié ou s'appuyer sur un hébergeur certifié.

Rôle des Edge data centers dans la chaîne d'hébergement

Les Edge data centers dont UltraEdge est l’un des plus grands fournisseurs sont une part importante de l'écosystème HDS. Ces infrastructures régionales offrent une alternative aux méga centres de données concentrés dans quelques pôles urbains. Pour de nombreux établissements de santé, notamment dans les territoires, la présence locale de data centers de UltraEdge en France constitue un atout majeur.

A travers un réseau dense de 250 data centers et 7 IX data centers (basés à Courbevoie, Vénissieux, Aubervilliers, Bordeaux, Rennes, Strasbourg, Lille), UltraEdge accompagne les acteurs spécialisés afin de réduire la latence pour les applications critiques.

Dans le domaine médical, où quelques millisecondes peuvent faire la différence lors d'une téléconsultation ou d'un accès à l'imagerie, cette proximité locale devient un enjeu stratégique.

La souveraineté territoriale représente le second atout. Les établissements de santé sont de plus en plus sensibles à la localisation physique de leurs données. L’opérateur de data centers que nous sommes garantit un hébergement sur le territoire national, avec une traçabilité complète et une chaîne de responsabilité claire. Ce qui répond aux nouvelles exigences du référentiel HDS en Mai 2024, en matière de souveraineté.

Enfin, le troisième bénéfice est lié à la résilience territoriale. Face aux risques systémiques (coupures énergétiques majeures ou catastrophes naturelle), la distribution locale des infrastructures revêt un impact stratégique. L'implémentation par UltraEdge d'architectures de reprise d'activité via des sites distants et accessibles rapidement facilitent une intervention physique, si nécessaire.

Quelles responsabilités entre hébergeur et hébergé ?

Responsabilités de l'hébergeur certifié

UltraEdge, en tant qu’hébergeur ou data center certifié HDS, endosse des responsabilités accrues qui vont au-delà du seul cadre technique.

La première obligation concerne la sécurisation physique des infras. La mise en œuvre de mesures est proportionnée aux risques identifiés : contrôle d'accès via la biométrie, vidéosurveillance, détection d'intrusion et protection face aux risques environnementaux : incendie, inondation et bien d'autres.

La continuité de service constitue sa deuxième responsabilité critique. UltraEdge ne peut se permettre d'interruptions prolongées qui mettraient en danger la prise en charge des patients. Nous garantissons une disponibilité proche des 99,99% (moins d'une heure d'interruption par an) et mettons en place des architectures redondantes sur tous les composants critiques : alimentation électrique, climatisation, connectivité réseau, stockage.

La protection des données personnelles représente le troisième pilier de nos responsabilités. A UltraEdge nous veillons non seulement au respect des normes RGPD, mais également aux exigences spécifiques au domaine de la santé. Nous garantissons notamment que les données ne soient pas transférées hors de l'Espace Économique Européen sans garanties appropriées et assurons une transparence totale sur leur localisation.

En dernier lieu, la responsabilité contractuelle de UltraEdge peut être engagée dans le contrat de prestation. Des clauses spécifiques sont présentes autour de la confidentialité de la data, la garantie des niveaux de services, les procédures de restitution des données et la politique de sécurité. C'est la base juridique entre UltraEdge et ses clients !

Obligations de l'hébergé

La première obligation consiste à s'assurer des certifications de son partenaire hébergeur. Ce qui doit être documenté et renouvelé chaque 3 ans pour un certificat HDS valide !

Une simple mention contractuelle ne suffit pas ; l'hébergé doit exiger une copie du certificat.

La qualification des données constitue sa deuxième responsabilité. L'hébergé doit déterminer précisément quelles données relèvent du périmètre HDS et nécessitent un hébergement certifié. Cette analyse doit être documentée et mise à jour régulièrement, notamment lors de l'évolution des traitements de données.

Last but not least, la dernière obligation concerne la gestion des accès aux data. Si l'infrastructure est externalisée, l'hébergé reste responsable de déterminer qui peut accéder aux informations et dans quelles conditions. Il doit mettre en place une politique de gestion des identités et des accès rigoureux, avec des revues périodiques des autorisations accordées.

Coordination contractuelle : les bonnes pratiques

La relation entre UltraEdge et ses clients se formalise à travers un contrat respectant des exigences spécifiques. Un contrat bien structuré commence par définir précisément le périmètre d'hébergement : quelles données sont concernées, quelles applications, quels volumes, quelles activités de certification sont couvertes.

Les niveaux de service (SLA) doivent être clairement établis avec des métriques mesurables : disponibilité, temps de réponse, délais d'intervention, temps de résolution des incidents. Ces engagements doivent s'accompagner de pénalités dissuasives en cas de non-respect, pour garantir que l'hébergeur y consacre les ressources nécessaires.

La réversibilité représente un point critique souvent négligé. Le contrat doit prévoir des modalités détaillées pour la restitution des données en fin de prestation. Ces procédures doivent être testées régulièrement pour s'assurer qu'elles fonctionnent effectivement en cas de changement de prestataire.

Enfin, la coordination entre les équipes techniques de UltraEdge et de ses clients doit être formalisée. Des comités de pilotage réguliers, des procédures d'escalade en cas d'incident, et des exercices conjoints de gestion de crise permettent d'établir une collaboration efficace. Cette coordination humaine reste indispensable, même avec les infrastructures les plus automatisées.

Pourquoi les opérateurs de data centers ciblent la certification HDS ?

Des obligations de conformité et sécurité

La certification HDS répond à une exigence réglementaire. En l'absence de cette certification, il est compliqué de capter les dépenses IT générées par les acteurs santé.

Cette obligation s'est renforcée avec la transformation numérique accélérée du secteur médical, notamment depuis la crise sanitaire de 2020.

La certification impose également un niveau de sécurité qui dépasse les standards habituels. L'hébergement de données de santé exige des mesures de protection renforcées : surveillance permanente, contrôles d'accès stricts, redondance des infrastructures critiques, et politique de sécurité rigoureuse.

La certification représente également un vecteur d'amélioration continue. Le processus d'audit réguliers pousse les opérateurs de data center à maintenir leurs infrastructures à jour et en veille par rapport aux technologies d'IA, tout en développant une sécurité intrinsèque dans toute l'organisation.

Valoriser la gestion des données sensibles

Les préoccupations autour de la confidentialité des données étant de plus en plus fortes, la certification HDS est un argument supplémentaire et rassure les établissements de santé à gérer les informations les plus sensibles.

La certification HDS ouvre le champ des possibles en permettant des partenariats stratégiques avec des éditeurs de logiciels médicaux, entre autres. Il est possible de maximiser ces associations ciblées, en proposant une offre intégrée combinant apps spécialisées et un hébergeur certifié HDS.

Cette valeur ajoutée dépasse le simple hébergement et de fait le HDS-Ready est un levier vers des secteurs avec des régulations importantes.

Certaines compétences et infrastructures propres à la santé peuvent être transférées vers des domaines tel que la finance, le public voire la défense.

Cette diversification sectorielle opérée par UltraEdge est un atout de poids dans la stratégie de croissance des Edge data centers en France.

UltraEdge : des Edge data centers sécurisés

Tous les sites UltraEdge bénéficient d'une surveillance H24 et 7 jours sur 7, des contrôles d'accès avec la biométrie et une architecture sécurisée, avec une disponibilité temps réel.

L'approche territoriale avec 250 data centers et 7 IX data centers et les certifications UltraEdge sont une alternative aux géants hyperscalers qui peut s'avérer très performante.

Nous construisons des collaborations avec des éditeurs spécialisés dans divers domaines stratégiques et nos experts cybersécurité accompagnent les clients dans une démarche de conformité et qui accompagnent la transformation numérique. Notre objectif est d'atteindre les exigences de la certification HDS et d'offrir les plus hauts standards de service, en lien avec les enjeux de secteurs cibles : Santé, FinTech et bien d'autres