Hébergement HDS et signature électronique en santé : obligations 2026
Cliniques, EHPAD, cabinets médicaux : pourquoi votre solution de signature doit absolument être hébergée HDS. Cadre légal, obligations et choix de prestataire.
Au sommaire
Qu'est-ce que la certification HDS ?
La certification HDS (Hébergeur de Données de Santé) est une qualification française délivrée par l'Agence du Numérique en Santé (ANS). Elle est obligatoire pour tout hébergeur qui stocke ou traite des données de santé à caractère personnel pour le compte d'un professionnel ou établissement de santé.
Référence légale : article L1111-8 du Code de la Santé Publique, et décret 2018-137 du 26 février 2018.
Pourquoi le HDS est obligatoire en santé
Toute solution numérique manipulant des données de santé (et donc, par extension, leurs signatures) doit être hébergée chez un prestataire certifié HDS. Sont concernés :
- Établissements de santé publics et privés
- EHPAD et SSIAD
- Cabinets médicaux et professionnels libéraux
- Laboratoires d'analyse
- Industrie pharmaceutique (essais cliniques, pharmacovigilance)
- Mutuelles et assurances santé
- Plateformes de télémédecine
Quels documents sont concernés ?
Tout document contenant une donnée à caractère personnel de santé :
- Consentement éclairé (pré-opératoire, anesthésie, examens)
- Convention de séjour (clinique, EHPAD)
- Devis de soins (dentaire, esthétique, optique)
- Mandats SEPA pour soins récurrents
- Contrats de travail médecins et personnel soignant (souvent oublié — mais inclus dès lors que des données santé apparaissent)
- Accords de partage de données avec laboratoires partenaires
- DPA (Data Processing Agreement) avec prestataires
Consentement éclairé électronique
Le consentement éclairé (art. L1111-4 CSP) est l'un des principaux documents santé signables électroniquement. La signature électronique Avancée (AES) eIDAS est parfaitement adaptée :
- Identité patient vérifiée par OTP SMS
- Horodatage qualifié faisant foi de la date d'expression du consentement
- Dossier de preuve archivé à valeur probatoire
- Possibilité de retirer le consentement avec traçabilité
👉 Voir notre page dédiée au secteur santé.
RGPD et données de santé
Les données de santé sont des données sensibles au sens du RGPD (art. 9). Leur traitement est en principe interdit, sauf base légale spécifique :
- Consentement explicite
- Sauvegarde des intérêts vitaux
- Médecine préventive ou diagnostique (art. 9.2.h RGPD)
- Intérêt public dans le domaine de la santé
Le prestataire de signature doit signer un DPA (Data Processing Agreement) explicite avec votre établissement, conforme art. 28 RGPD.
Comment choisir un prestataire HDS
Trois critères impératifs :
- Hébergement HDS certifié par l'ANS — vérifiez le numéro de certification, demandez l'attestation
- Hébergeur situé en France idéalement, ou a minima en UE — exit le Cloud Act américain
- DPA RGPD signable et conforme art. 28 RGPD
Et trois critères différenciants :
- Certifications complémentaires : ISO 27001, SecNumCloud
- Chiffrement AES-256 au repos et TLS 1.3 en transit
- Accès par rôle (RBAC) pour les différents profils (médecin, admin, DAF)
Infrasign est hébergée chez OVHcloud, premier hébergeur HDS français, certifié ISO 27001.
FAQ
Notre EHPAD utilise DocuSign. C'est conforme HDS ?
Non. DocuSign héberge aux États-Unis (AWS US) et n'est pas certifié HDS. C'est une non-conformité majeure qui vous expose à des sanctions CNIL et à un risque réputationnel en cas de contrôle ARS.
Un consentement signé en SES suffit-il ?
Recevable mais risqué. Pour un consentement éclairé opposable, exigez l'AES avec OTP SMS. C'est le standard d'Infrasign.
Devons-nous signer un DPA avec notre éditeur ?
Oui, obligatoirement (art. 28 RGPD). Le DPA précise les obligations du sous-traitant, les durées de conservation, les mesures de sécurité, et la sous-traitance ultérieure éventuelle.
👉 Découvrez Infrasign pour le secteur santé — hébergement HDS, DPA RGPD signé, conforme art. L1111-4 CSP.