← Comparateur

Comprendre les 6 activités HDS du référentiel ANS

La certification d'Hébergeur de Données de Santé (HDS) est délivrée en France par l'Agence du Numérique en Santé sur la base du référentiel ANS, dans sa version 2.0 en vigueur. La certification se découpe en six activités distinctes. Un hébergeur peut être certifié sur tout ou partie de ces six activités, et cela change radicalement ce qu'il peut, ou ne peut pas, faire.

Cette page explique chaque activité, son objet exact, les acteurs qu'elle concerne typiquement, et ce qu'elle ne permet pas. Elle est destinée aux acheteurs santé (DSI, RSSI, directeurs des achats, RSSI mutuelles, EPCI) qui veulent lire correctement la certification d'un hébergeur avant de signer.

Activité 1 — Sites physiques

Objet. Mise à disposition et maintien en condition opérationnelle des sites physiques destinés à héberger l'infrastructure matérielle du système d'information utilisé pour le traitement des données de santé. Concerne le datacenter lui-même : bâtiment, alimentation électrique, climatisation, sécurité physique, contrôle d'accès, vidéosurveillance, détection incendie.

Concerne typiquement. Les exploitants de datacenters (Equinix, Telehouse, Etix Everywhere, UltraEdge, Atelka, et certains opérateurs qui exploitent leurs propres salles).

Ne permet pas de. Héberger directement des données de santé, gérer du stockage logique, exploiter un système d'information. La certification activité 1 seule signifie que l'acteur tient les murs, pas qu'il s'occupe de l'informatique qui tourne dedans.

Activité 2 — Infrastructure matérielle

Objet. Mise à disposition et maintien en condition opérationnelle de l'infrastructure matérielle : serveurs physiques, stockage en réseau (SAN, NAS), équipements réseau, équipements de sécurité périmétrique.

Concerne typiquement. Les fournisseurs d'infrastructure à bas niveau, la colocation managée.

Ne permet pas de. Fournir une plateforme applicative (activité 3), exploiter un système d'information au sens métier (activité 5), proposer une sauvegarde externalisée comme service (activité 6).

Activité 3 — Plateforme applicative

Objet. Mise à disposition et maintien en condition opérationnelle de la plateforme d'hébergement applicative : systèmes d'exploitation, bases de données managées, middleware, serveurs d'application, environnements d'exécution.

Concerne typiquement. Les fournisseurs PaaS (Platform as a Service), les hébergeurs de bases de données managées.

Ne permet pas de. Fournir de l'infrastructure virtualisée au sens cloud (activité 4), ni des services managés au sens applicatif métier (activité 5).

Activité 4 — Infrastructure virtuelle

Objet. Mise à disposition et maintien en condition opérationnelle de l'infrastructure virtuelle : machines virtuelles, conteneurs, orchestrateurs (Kubernetes managé), réseau virtuel, stockage objet et block virtualisés.

Concerne typiquement. Les fournisseurs IaaS cloud : OVHcloud, Outscale, Scaleway, Numspot, Guardis sur le périmètre cloud, et la plupart des acteurs du « cloud souverain » français.

Ne permet pas de. Faire l'administration applicative déléguée pour le compte du client (activité 5), ni offrir une sauvegarde managée comme service (activité 6).

Activité 5 — Administration et exploitation du système d'information

Objet. Administration et exploitation du système d'information contenant les données de santé : supervision Tier 2 et Tier 3, application des correctifs applicatifs (patching), gestion des accès clients, hot-line technique métier, gestion des changements applicatifs.

Concerne typiquement. Les MSSP (Managed Security Service Providers), les hébergeurs managés au sens plein (Cegedim sur certaines offres, Maincare, Guardis sur le périmètre managé, certains Cloud Temple).

Ne permet pas de. Se contenter de mettre à disposition une VM sans intervention humaine sur le système d'information. Si un acteur revendique « MSSP / SOC managé » sans certification activité 5, c'est à investiguer.

Activité 6 — Sauvegarde externalisée

Objet. Sauvegarde externalisée des données de santé : backup externe au système d'information principal, sauvegarde géo-distribuée, sauvegarde immutable (WORM), archivage long terme, plan de reprise d'activité.

Concerne typiquement. Les hébergeurs proposant la sauvegarde comme service géré dédié, distinct de l'hébergement primaire des données. Guardis avec sa sauvegarde offline LTO9, certaines offres Coreye / Maincare, et quelques acteurs spécialisés sauvegarde santé.

Ne permet pas de. Revendiquer un plan de reprise d'activité managé (PCA / PRA) si l'activité 5 (administration du système d'information) n'est pas aussi certifiée — puisque la reprise après sinistre nécessite de l'intervention humaine sur le système d'information.

Questions à se poser avant de choisir un hébergeur HDS

1. De quelles activités HDS ai-je besoin pour mon cas d'usage ? Un éditeur SaaS santé qui veut tout déléguer aura besoin que son hébergeur couvre les activités 2, 3, 4, 5 et 6 (l'activité 1 — le datacenter physique — peut être chez un partenaire HDS-certifié activité 1). Un hôpital qui veut juste de la colocation pour ses propres serveurs aura besoin de l'activité 1 (et éventuellement 2 si l'hébergeur fournit aussi le matériel).
2. L'hébergeur revendique-t-il des services qui ne sont pas dans son périmètre certifié ? Par exemple, un acteur certifié uniquement activités 1 et 2 qui revendique « PCA/PRA managé » devrait expliquer qui couvre les activités 5 et 6 — soit lui-même hors HDS (à risque), soit un partenaire HDS sous-traitant.
3. Pour la sauvegarde immutable et l'offline : qui détient la certification activité 6 ? Beaucoup d'hébergeurs revendiquent « sauvegarde immutable » alors qu'ils n'ont pas l'activité 6 — ils s'appuient sur un sous-traitant HDS-certifié sur cette activité. C'est légal et fréquent, mais à documenter contractuellement.
4. L'activité 5 est-elle réellement nécessaire dans mon cas ? Si vos équipes internes administrent déjà votre système d'information, vous n'avez pas forcément besoin que l'hébergeur soit certifié activité 5 — la couverture 1-2-3-4 et 6 peut suffire.

Pièges courants du marché

• « Mon hébergeur fait de la sauvegarde mais il n'est pas certifié activité 6. » C'est légal si la sauvegarde n'est pas vendue comme un service HDS distinct. Mais si vous attendez que la sauvegarde soit couverte par la certification HDS de votre hébergeur, vérifiez le périmètre exact dans la fiche officielle ANS.
• « Mon hébergeur dit "datacenter en France" mais n'est pas certifié activité 1. » Cela signifie qu'il loue des baies chez un datacenter tiers (qui, lui, doit être HDS-certifié activité 1). C'est le cas le plus courant — la plupart des hébergeurs HDS ne possèdent pas leur propre datacenter.
• « Mon hébergeur affiche un « scope complet 1-2-3-4-5-6 » mais avec un effectif de cinq personnes. » À investiguer : la certification est valide juridiquement, mais la capacité opérationnelle réelle à fournir les six activités avec une équipe restreinte est à vérifier (sous-traitants ? automatisation totale ?).
• « Mon hébergeur n'est pas SecNumCloud. » SecNumCloud (qualification ANSSI) est plus exigeant que HDS sur la souveraineté juridique (immunité aux lois extraterritoriales). Mais SecNumCloud n'est PAS obligatoire pour héberger des données de santé — la HDS suffit légalement. SecNumCloud est utile pour les acteurs qui exigent explicitement l'immunité Cloud Act / Data Access Act UK, ou pour certains marchés publics sensibles.

Différence entre « service proposé » et « service couvert par la certification HDS »

Un hébergeur peut proposer commercialement n'importe quel service. Mais seuls les services réalisés sous son périmètre HDS certifié bénéficient de la couverture HDS. Concrètement :

• Si l'hébergeur est certifié activités 2-3-4-5-6 mais propose aussi (hors HDS) un service de signature électronique : ce service de signature est vendu par l'hébergeur mais n'est pas couvert par sa certification HDS.
• Si l'hébergeur est certifié activité 4 (infrastructure virtuelle) et propose aussi des sauvegardes (qui relèveraient de l'activité 6) sans être certifié sur l'activité 6 : la sauvegarde n'est techniquement pas couverte par la garantie HDS, sauf si elle est sous-traitée à un acteur certifié activité 6.

Cette distinction est essentielle pour les acheteurs santé : la couverture juridique HDS est strictement délimitée par le périmètre certifié officiel. Tout service hors périmètre est de la responsabilité contractuelle classique de l'hébergeur, mais pas de la certification HDS.

Pour aller plus loin

• Méthodologie publique du comparateur
• Tableau croisé de tous les hébergeurs HDS
• Quel hébergeur HDS pour quel profil utilisateur ?
• Liste officielle des hébergeurs certifiés HDS (Agence du Numérique en Santé)
• Référentiel HDS officiel (ANS)