Retour au blog
HDShealthtechconformité

HDS 2.0 obligatoire au 16 mai 2026 : checklist sécurité pour healthtech

Publié le 2026-04-077 min de lectureCleanIssue

> En bref : Le référentiel HDS 2.0 devient obligatoire. Voici la checklist complète pour préparer votre application de santé.

Le compte à rebours est lancé

Depuis le 16 novembre 2024, le référentiel HDS 2.0 est obligatoire pour les nouveaux certificats. Au 16 mai 2026, tous les anciens certificats HDS 1.1 deviennent invalides. Si votre application héberge des données de santé pour des tiers, vous devez être conforme.

Ce qui change avec HDS 2.0

Stockage EEE obligatoire : les données de santé doivent être stockées dans l'Espace Économique Européen.

Transparence renforcée : obligations de transparence sur les transferts hors EEE.

Sécurité et souveraineté : provisions renforcées sur le chiffrement et le contrôle d'accès.

Checklist sécurité applicative

  • Chiffrement des données de santé en transit (TLS 1.3) et au repos (AES-256)
  • Contrôles d'accès par patient (RLS ou équivalent)
  • Journalisation des accès aux données de santé
  • Politique de rétention et suppression des données
  • Procédure de notification CNIL sous 72h
  • Tests de sécurité réguliers documentés
  • Gestion des identités et authentification forte (2FA)
  • Cegedim Santé : l'exemple à ne pas suivre

    15,8M de dossiers patients exposés, 169 000 patients avec notes médicales en clair (diagnostics VIH, santé mentale). Amende : 800K€ en 2024. La faille : des accès anormaux aux comptes médecins.

    Comment nous pouvons vous aider

    Notre revue externe identifie les expositions de données de santé dans votre application en quelques heures. Le rapport documente les non-conformités HDS et RGPD avec les mesures correctives prioritaires.

    À retenir

  • Les données de santé exigent un hébergement HDS — vérifiez la certification de votre infrastructure.
  • Les liens de téléconsultation doivent expirer automatiquement et ne pas être réutilisables.
  • Auditez les logs applicatifs pour vous assurer qu'aucune donnée médicale n'y est enregistrée en clair.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit