Un référentiel révisé, une échéance passée sans bruit

Peu d'IDEC ont suivi ce dossier de près, et c'est compréhensible : la révision du référentiel HDS s'est jouée entre 2023 et 2024, loin des préoccupations quotidiennes de coordination en EHPAD. Pourtant, son calendrier de bascule vient de se refermer. Le projet d'arrêté approuvant la version révisée des deux référentiels a été notifié le 5 décembre 2023 par la Commission européenne. Après une période de statu quo de 3 mois, il sera publié au Journal officiel. Les organismes certificateurs ont ensuite disposé d'un délai de six mois pour adapter leur procédure de certification au nouveau référentiel HDS, avant que les hébergeurs déjà certifiés ne disposent à leur tour d'un délai pour se mettre en conformité : les hébergeurs de données de santé déjà certifiés HDS devront obtenir la certification HDS conformément à ce nouveau référentiel HDS dans un délai de 24 mois, soit au plus tard le 16 mai 2026.

Cette échéance concerne directement l'écosystème numérique de l'EHPAD : le DUI, mais aussi tout logiciel de planification, de télésurveillance ou de messagerie sécurisée qui héberge des données de santé de résidents pour le compte de l'établissement.

Ce que le référentiel révisé change concrètement

Le nouveau texte ne se contente pas de reconduire l'existant : il muscle les exigences de souveraineté sur les données hébergées. L'hébergement physique des données de santé doit désormais être réalisé exclusivement sur le territoire d'un pays situé au sein de l'Espace économique européen. Quand un accès distant reste nécessaire depuis un pays tiers, l'hébergeur doit en informer ses clients dans le contrat et leur préciser les risques associés. Le référentiel introduit aussi une exigence de transparence inédite : l'hébergeur doit rendre public, sur son site internet, une cartographie des éventuels transferts des données qu'il héberge vers un pays n'appartenant pas à l'EEE.

Sur le plan du contrôle, neuf organismes sont accrédités par le Comité français d'accréditation (COFRAC) pour procéder à ces certifications. La révision vise, selon l'Agence du numérique en santé, le renforcement des exigences relatives au transfert de données hors Union européenne, visant à renforcer progressivement la souveraineté des données.

Concrètement, pour l'équipe de coordination, cela signifie qu'un simple contrat de licence logiciel ne suffit plus à garantir la conformité : la chaîne complète — éditeur du DUI, hébergeur technique, sous-traitants éventuels — doit pouvoir justifier d'une certification HDS à jour et d'une politique documentée de localisation des données.

Une version « 2.1 » encore en concertation, pas encore applicable

Un document circule sous l'appellation « référentiel HDS v2.1 », ce qui peut semer la confusion sur l'état réel du droit applicable. À la lecture du document publié par l'ANS, la prudence s'impose : chaque page de ce document porte le filigrane « Version en concertation », et sa page de garde affiche encore le statut « Validé | Classification : Publique | Version : v2.0 ». Plus révélateur encore, la ligne du tableau d'historique consacrée à cette future version porte une date et un arrêté encore en placeholder : V2.1 XXX 2026 Version publiée par l'arrêté du XXX portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel, alors que la ligne consacrée à la version en vigueur est, elle, parfaitement renseignée : V2.0 Avril 2024 Version publiée par l'arrêté du 26 avril 2024 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel. Autrement dit : la seule version du référentiel HDS aujourd'hui opposable reste la version 2.0, celle dont l'échéance de mise en conformité du 16 mai 2026 vient d'expirer. Une future v2.1 est en préparation, mais sa date de publication n'est pas encore fixée.

Le cadre légal que l'IDEC peut faire valoir

La base légale de cette obligation ne date pas d'hier. Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données, ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet, rappelle l'Agence du numérique en santé — une formulation qui couvre explicitement le secteur médico-social, donc l'EHPAD. Les hébergeurs de données de santé sur support numérique doivent être certifiés, et cette certification remplace l'agrément auparavant délivré par le ministère de la Santé. Sur le plan réglementaire, le décret 2018-137 du 26 février 2018 définit la procédure de certification, tandis que l'arrêté portant approbation des référentiels d'accréditation et de certification, publié le 29 juin 2018, a permis l'ouverture du schéma d'accréditation HDS.

Le guide de la HAS sur la qualité et la sécurité des actes de téléconsultation et de téléexpertise rattache cette obligation à l'article L. 1111-8 du code de la santé publique relatif à l'hébergement de données de santé, qui précise que la prestation d'hébergement de données de santé à caractère personnel fait l'objet d'un contrat et que l'hébergeur de données mentionnées au premier alinéa du I sur support numérique est titulaire d'un certificat de conformité.

Ce que l'IDEC peut vérifier concrètement auprès de son éditeur de DUI

Sans attendre un audit formel, quelques vérifications restent à la portée de la coordination des soins, en lien avec la direction et le référent numérique de l'établissement :

  • Demander à l'éditeur du DUI et à son hébergeur une attestation de certification HDS conforme au référentiel révisé (arrêté du 26 avril 2024), et non plus au référentiel antérieur.
  • Vérifier, dans le contrat, la clause d'information sur les éventuels accès ou hébergements de données hors Espace économique européen.
  • Demander le lien vers la cartographie publique des transferts de données que l'hébergeur doit désormais publier sur son propre site.
  • Comme le recommande la HAS pour tout fournisseur de solution technique : établir un contrat de maintenance, définir le délai d'intervention en cas de panne.
  • Mettre en place les mesures de sécurité relatives à la protection des données de santé en conformité avec le règlement général sur la protection des données (RGPD) et la politique générale de sécurité des systèmes d'information de santé (PGSSI-S).

Ces vérifications s'inscrivent dans les missions plus larges de pilotage des outils numériques que l'IDEC exerce au quotidien, aux côtés de la gestion des plannings et du suivi qualité. Elles gagnent à être formalisées dans les procédures internes de l'établissement, au même titre que les protocoles de soins, et peuvent utilement nourrir le plan de formation continue de l'équipe sur les enjeux de sécurité numérique.

L'Agence du numérique en santé tient par ailleurs une FAQ qui répond directement à la question : « Nous ne sommes pas établissement de santé, ce sont nos clients qui hébergent les données de santé de leurs patients. Que doit-on fournir comme certificat HDS ? » — utile si l'EHPAD travaille avec plusieurs prestataires numériques distincts (DUI, téléconsultation, télésurveillance).

Un sujet à ne pas laisser au seul service informatique

Dans beaucoup d'établissements, la question de l'hébergement des données de santé reste perçue comme une affaire purement technique, traitée par la direction ou un prestataire informatique externe, loin du quotidien de l'IDEC. Le décalage constaté entre l'échéance réglementaire du 16 mai 2026 et le faible écho qu'elle a reçu dans la presse professionnelle illustre pourtant un angle mort classique : les obligations numériques qui pèsent sur l'établissement finissent toujours par retomber, en pratique, sur les épaules de celles et ceux qui utilisent le DUI au quotidien pour tracer les transmissions, les prescriptions ou les événements indésirables. Une panne d'hébergeur, une clause contractuelle mal négociée ou un défaut de certification n'est jamais qu'un problème « informatique » : c'est un risque direct sur la continuité de la traçabilité des soins.

Poser ces questions à la direction et à l'éditeur du DUI ne demande pas d'expertise technique particulière — seulement de connaître l'existence de cette échéance et de savoir formuler la bonne demande. C'est précisément le rôle de veille réglementaire que beaucoup d'IDEC exercent déjà, sans toujours l'étendre spontanément au champ numérique.

Sources officielles