HDS pour thérapeute : guide pratique 2026

1. Qu'est-ce que la certification HDS ?

La certification Hébergeur de Données de Santé (HDS) est un référentiel français géré par l'Agence du Numérique en Santé (ANS). Elle remplace l'ancien agrément HDS depuis 2018.

Concrètement, un hébergeur certifié HDS doit prouver qu'il respecte des exigences strictes en matière de :

• Sécurité physique des datacenters (contrôle d'accès, vidéosurveillance, redondance)
• Sécurité logique (chiffrement, gestion des identités, authentification forte)
• Continuité d'activité (sauvegardes, plan de reprise)
• Réversibilité (vous pouvez récupérer vos données si vous quittez l'hébergeur)
• Localisation en France ou en Europe (souveraineté)
• Conformité RGPD de bout en bout

La certification est délivrée par des organismes accrédités (LSTI, BSI, etc.) après un audit complet, et doit être renouvelée tous les 3 ans.

2. La version v2.0 : ce qui change en 2026

Le référentiel HDS a évolué de la v1 à la v2.0. Cette nouvelle version, applicable depuis 2024-2025, renforce :

• Les exigences de chiffrement (TLS 1.2+ minimum, AES-256 au repos)
• L'obligation de notification rapide en cas d'incident
• L'authentification forte des accès (2FA recommandé)
• L'isolation des données par client (multi-tenant strict)
• La traçabilité des accès

En 2026, vérifiez que votre logiciel respecte bien le HDS v2.0 (et non l'ancienne version v1).

3. Êtes-vous concerné en tant que thérapeute ?

Oui, dès que vous traitez des données de santé sur un support numérique.

Le RGPD (article 9) et le Code de la santé publique classent comme données de santé :

• Identité du patient liée à un soin / traitement
• Antécédents médicaux et émotionnels
• Comptes-rendus de séance
• Diagnostics, hypothèses cliniques
• Recommandations thérapeutiques
• Enregistrements audio / vidéo de séance

Cela vaut quelle que soit votre profession : médecin, kiné, psychologue, sophrologue, hypnothérapeute, naturopathe, énergéticien, kinésiologue, etc.

Si vous notez le motif de consultation et le contexte familial d'un patient dans un Google Doc, vous violez probablement le RGPD et l'obligation HDS.

4. Les pratiques courantes... mais illégales

Voici ce que de nombreux thérapeutes font, croyant être conformes :

Pratique	Conforme ?
Dossiers patient dans un Google Drive perso	❌ Non (Drive grand public non HDS)
Notes de séance dans Dropbox ou OneDrive	❌ Non (idem)
Cabinet partagé : dossier sur un PC commun	❌ Non (sans chiffrement, sans HDS)
Dossiers papier dans un classeur fermé	✅ Oui (papier, pas numérique)
Logiciel certifié HDS v2.0	✅ Oui
Notepad iPhone ou WhatsApp	❌ Non
E-mail de notes patient à soi-même	❌ Non (Gmail / Hotmail non HDS)

La plupart des thérapeutes débutants utilisent au moins l'une de ces pratiques. C'est compréhensible (par méconnaissance), mais ce n'est pas conforme.

5. Comment vérifier qu'un logiciel est HDS

1. Demandez à l'éditeur le nom de son hébergeur (Google Cloud, Microsoft Azure, OVH, Outscale, AWS...)
2. Demandez le numéro de certification HDS de cet hébergeur
3. Vérifiez sur le registre officiel ANS des hébergeurs certifiés HDS
4. Demandez sur quelle version il est certifié (v1.1 ou v2.0)
5. Demandez la localisation du datacenter (France ou Europe)

Un éditeur sérieux vous fournira ces informations en quelques heures par e-mail. S'il évite la question, c'est un signal d'alarme.

6. HDS et RGPD : la combinaison gagnante

HDS et RGPD ne se substituent pas : ils sont complémentaires.

Aspect	HDS	RGPD
Type de norme	Certification française	Règlement européen
Périmètre	Hébergement uniquement	Tout traitement de données
Qui est concerné	L'hébergeur	Vous ET l'hébergeur
Sanction	Retrait de la certification	Jusqu'à 4 % du CA

Concrètement, votre logiciel doit respecter les deux : HDS (pour l'hébergement physique des données) et RGPD (pour la manière dont elles sont traitées). Et vous, en tant que thérapeute, devez être en règle avec le RGPD (registre des traitements, DPA signé, droits des patients).

Voir notre guide RGPD pour thérapeutes pour les obligations de votre côté.

7. Les principaux hébergeurs HDS en France en 2026

Hébergeur	Localisation	Version HDS
Google Cloud Platform	France, Belgique	v2.0
Microsoft Azure	France	v2.0
OVHcloud (offre HDS)	France	v2.0
Outscale	France	v2.0
AWS (offre dédiée)	France, UE	v2.0
Atos / Eviden	France	v2.0

Liste indicative. Pour la liste officielle complète et à jour, consultez le registre des hébergeurs certifiés HDS sur esante.gouv.fr.

8. Que se passe-t-il en cas de fuite de données ?

Un hébergeur certifié HDS doit notifier toute fuite de données dans les 72 heures aux autorités compétentes (CNIL et ANS). En tant que thérapeute, vous êtes responsable d'informer également :

• La CNIL via leur formulaire en ligne (sous 72 h)
• Vos patients concernés sans délai si la fuite présente un risque pour eux

L'avantage d'un hébergement HDS : les données sont chiffrées au repos (AES-256). Même en cas d'intrusion, les données sont inaccessibles sans la clé. La sanction CNIL est généralement réduite si vous prouvez que vous avez fait le nécessaire.

9. Conclusion : que faire dès demain ?

Si vous êtes thérapeute et que vous stockez des données patient ailleurs que dans un logiciel HDS :

1. Listez où sont vos données aujourd'hui (Drive, Dropbox, mail, papier, logiciel actuel)
2. Choisissez un logiciel certifié HDS v2.0 qui couvre vos besoins (agenda, dossier patient, comptes-rendus, facturation)
3. Migrez progressivement vos dossiers (papier → scan → logiciel ; Drive → export → logiciel)
4. Supprimez les copies sur les services non conformes après migration
5. Informez vos patients du nouveau cadre (signe de sérieux et de respect)

Ce travail prend 1 à 2 weekends. Investissement : ~30 €/mois pour un logiciel HDS conforme. Retour : tranquillité d'esprit légale et image professionnelle renforcée.