Glossaire
HDS (Hébergement de Données de Santé)
Certification obligatoire en France pour tout hébergeur traitant des données de santé à caractère personnel. La certification HDS garantit un niveau de sécurité renforcé : chiffrement, traçabilité, plan de continuité. Elle est délivrée par des organismes accrédités par le COFRAC. Pour un éditeur de SaaS RH traitant des arrêts maladie ou des aménagements de poste, la question de la certification HDS se pose dès que des données de santé transitent par le système.
Qui doit être certifié HDS
La certification Hébergeur de Données de Santé est obligatoire en France pour toute entité qui héberge des données de santé à caractère personnel pour le compte de tiers (article L.1111-8 du Code de la santé publique). Elle couvre six activités, de la mise à disposition d'infrastructure jusqu'à l'infogérance. Pour un éditeur SaaS, la question clé est : traitez-vous des données de santé ? Arrêts maladie, inaptitudes, handicap (RQTH), visites médicales du travail — des données fréquentes dans un SIRH ou un logiciel de paie — peuvent faire basculer votre produit dans le périmètre santé.
Ce que ça implique pour un SaaS RH
Deux voies principales : héberger chez un cloud certifié HDS (OVHcloud, Scaleway, AWS, Azure et GCP proposent des offres certifiées) en s'assurant que le contrat couvre bien votre usage, ou obtenir soi-même la certification — un chantier lourd (audit ISO 27001 + exigences spécifiques HDS) réservé aux acteurs qui en font un argument commercial. Attention au point souvent oublié : la certification de l'hébergeur ne certifie pas votre application. Vos clients hospitaliers, mutuelles ou services de santé au travail demanderont les deux : un hébergement HDS et des garanties de sécurité applicative.
Le rôle d'un audit de sécurité
CleanIssue n'est pas un organisme certificateur HDS, mais nos audits interviennent en amont et en complément : vérifier que les données de santé sont réellement cloisonnées et chiffrées comme le déclare votre documentation, que les accès sont limités, et que la surface applicative ne contredit pas vos engagements. Un rapport d'audit externe est aussi une pièce solide à joindre aux questionnaires de sécurité des clients du secteur santé.
Questions fréquentes
Mon logiciel RH gère des arrêts maladie : suis-je concerné par HDS ?
Potentiellement, oui. Les données relatives aux arrêts de travail, à l'inaptitude ou aux visites médicales peuvent être qualifiées de données de santé. L'analyse dépend de ce que vous stockez exactement (motif médical ou simple statut administratif). Une qualification juridique précise s'impose avant de conclure — et par prudence, beaucoup d'éditeurs RH choisissent un hébergement certifié HDS.
Utiliser un cloud certifié HDS suffit-il ?
Non. La certification de l'hébergeur couvre l'infrastructure et les activités contractualisées, pas votre application. Une faille applicative (IDOR, RLS mal configuré) expose les données de santé même sur un hébergement certifié. Il faut les deux niveaux : hébergement conforme et sécurité applicative démontrée.
HDS et RGPD, quel rapport ?
Le RGPD classe les données de santé parmi les catégories particulières (article 9), avec des exigences renforcées. HDS est le dispositif français spécifique à l'hébergement de ces données. Être certifié HDS ne dispense d'aucune obligation RGPD : les deux cadres se cumulent.