Méthodologie publique du comparateur
Ce comparateur recense les 404 hébergeurs certifiés HDS publiés par l'Agence du Numérique en Santé et présente, pour chacun, les éléments factuels publiquement vérifiables. Mise à jour trimestrielle.
Périmètre
Tous les hébergeurs inscrits à la liste officielle HDS de l'ANS sont référencés. La certification HDS est encadrée par le décret 2018-137 du 26 février 2018 et son référentiel v2.0 (en vigueur). À la date de cette méthodologie : 404 hébergeurs.
Les 6 activités HDS (référentiel ANS v2.0)
La certification HDS est délivrée par activité. Un hébergeur peut être certifié sur tout ou partie des six activités définies par l'ANS :
- Activité 1 — Mise à disposition et maintien en condition opérationnelle des sites physiques
- Activité 2 — Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle
- Activité 3 — Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement applicative
- Activité 4 — Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle
- Activité 5 — Administration et exploitation du système d'information contenant les données de santé
- Activité 6 — Sauvegarde externalisée des données de santé
Pour comprendre en détail ce que chaque activité permet et n'autorise pas, voir la page dédiée Comprendre les 6 activités HDS.
Règle de cohérence entre critères et périmètre HDS
Sur les fiches de ce comparateur, un critère ne peut être considéré comme acquis qu'à la condition que l'activité HDS correspondante figure dans le périmètre certifié officiel de l'hébergeur. Concrètement :
- « Sauvegarde immutable », « Sauvegarde offline LTO », « Sauvegarde géo-distribuée » → exigent l'activité 6
- « MSSP / SOC managé », « Administration SI déléguée », « Hot-line technique métier » → exigent l'activité 5
- « PCA / PRA managé » → exige la combinaison 5 + 6
- « VM IaaS souverain », « Kubernetes managé » → exigent l'activité 4
- « Plateforme PaaS managée », « Bases de données managées » → exigent l'activité 3
- « Datacenter France en propre » → exige l'activité 1 ; à défaut, l'hébergeur doit s'appuyer sur des datacenters partenaires HDS certifiés sur l'activité 1
Quand un hébergeur revendique un service hors de son périmètre HDS certifié, la fiche le signale explicitement : il s'agit alors d'une offre proposée hors couverture HDS (à vérifier auprès de l'éditeur), ou d'une sous-traitance à un acteur certifié sur l'activité requise (à documenter).
Sources de vérification
Pour chaque critère, les sources de vérification utilisées sont :
| Critère | Source primaire |
|---|---|
| Périmètre HDS (activités, version du référentiel) | Liste officielle ANS |
| SecNumCloud (qualifié ANSSI) | Catalogue ANSSI |
| ExpertCyber | cybermalveillance.gouv.fr |
| Capital, dirigeants, structure juridique | Pappers, Infogreffe, INSEE Sirene |
| ISO 27001, 27017, 27018, 27701, 42001 | Certificats publiés par les organismes certificateurs (AFNOR, BSI, Bureau Veritas, LSTI, etc.) + page conformité de l'hébergeur |
| Datacenters, offres techniques, marchés cibles | Site officiel de l'hébergeur, pages dédiées (conformité, infrastructure, secteurs) |
| NIS2, DORA, HIPAA | Textes réglementaires officiels (Eur-Lex pour NIS2 et DORA, HHS pour HIPAA) + revendications publiques de l'hébergeur |
Sémantique des critères NIS2, HIPAA, DORA
Ces trois cadres réglementaires ne sont pas des certifications optionnelles. Le comparateur les présente contextuellement et non comme des « oui/non » pénalisants :
- NIS2 — Directive UE 2022/2555. Le secteur santé est qualifié « essentiel », les obligations s'appliquent. Statut affiché : « Conformité revendiquée » lorsque l'hébergeur la mentionne publiquement, « à confirmer » sinon.
- HIPAA — Loi US Public Law 104-191. Pertinent uniquement pour les acteurs qui servent des clients américains. Statut affiché : « Non concerné — marché EU » pour les acteurs français purs, et n'est pas une faiblesse.
- DORA — Règlement UE 2022/2554. Champ d'application : secteur financier. Pertinent pour les hébergeurs qui servent banques, assurances, prestataires critiques de ces secteurs. Statut affiché : « Non concerné — marché santé » pour les hébergeurs santé purs, et n'est pas une faiblesse.
Limites connues de ce comparateur
- Les informations proviennent de sources publiques. Si un hébergeur ne mentionne pas un critère publiquement, il est marqué « non observé » — l'absence d'information ne signifie pas l'absence du service.
- Le périmètre HDS est la source de vérité officielle (Agence du Numérique en Santé). Les critères évalués sont contraints par ce périmètre (un hébergeur certifié sur les activités 1+2 ne peut pas se voir attribuer un acquis sur des critères qui requièrent les activités 5 ou 6 sans déclaration explicite de sous-traitance).
- Les verbatim cités sont extraits automatiquement des sites officiels au moment du recueil ; certains peuvent contenir des erreurs typographiques ou des coupes. Un travail de revue manuelle est mené prioritairement sur les cinquante acteurs structurants du marché HDS français.
- Ce comparateur est édité par Hasgard SARL, qui appartient au même groupe industriel que Guardis.fr (hébergeur HDS évalué) ; la même méthode et les mêmes sources sont appliquées à tous les acteurs, y compris Guardis.fr. Les profils utilisateurs où Guardis.fr n'est pas le bon choix sont documentés explicitement sur la page profils utilisateurs.
- En cas de doute, le contact direct avec l'hébergeur concerné reste la voie de référence pour la documentation officielle.
Fréquence de mise à jour
- Trimestrielle minimum : revue complète des listes ANS et ANSSI.
- Au fil de l'eau : intégration des nouvelles certifications annoncées par les hébergeurs.
- Annuelle : refonte structurelle si évolution majeure (nouveau référentiel HDS, application progressive de l'AI Act, etc.).
Signaler une erreur ou compléter une fiche
Si vous représentez un hébergeur HDS et souhaitez corriger ou ajouter des informations, ou si vous êtes un acheteur qui constate une imprécision : la marche à suivre est documentée sur la page contact. Indiquez l'URL de la fiche concernée, le critère concerné et la source officielle vérifiable (URL et extrait verbatim).
Réponse sous cinq jours ouvrés, correction sous quinze jours après vérification.
Licence et open data
Le contenu éditorial du comparateur est publié sous licence Creative Commons CC BY-SA 4.0. Le code source du site est sous licence MIT. Les marques tierces sont propriétés de leurs détenteurs respectifs.