HDS hébergeur de données de santé : ce qui change pour vos rondes en milieu hospitalier en 2026

La certification HDS révisée publiée fin 2024 affecte directement les sociétés de sécurité qui interviennent dans les hôpitaux. Trois exigences nouvelles aterrissent dans les marchés publics 2026, et la traçabilité des rondes est l'une d'elles.

ÉP
Équipe PatrolTech3 min de lecture
HDS hébergeur de données de santé : ce qui change pour vos rondes en milieu hospitalier en 2026

La certification HDS (Hébergeur de Données de Santé) a connu une révision publiée fin 2024 qui s'applique aux nouveaux contrats signés en 2026. Les hôpitaux publics et privés français en sont les premiers impactés. Pour une société de sécurité qui intervient sur un site hospitalier, l'effet est moins direct mais bien réel : les marchés publics 2026 ajoutent des clauses de sous-traitance qui descendent les exigences HDS dans la chaîne de prestation, y compris pour les rondes physiques.

Ce post explique ce que cela change concrètement et quelles preuves préparer.

Pourquoi HDS impacte aussi les sociétés de sécurité

HDS et sous-traitance article 28 RGPD

HDS s'applique aux hébergeurs qui stockent ou traitent des données de santé. Une société de sécurité ne stocke pas de données de santé — mais les sites où elle intervient (hôpitaux, EHPAD, cliniques privées, plateformes de téléconsultation) sont des responsables de traitement HDS. L'article L.1111-8 du Code de la santé publique combiné au RGPD article 28 (sous-traitance) impose au responsable de traitement de garantir un niveau de sécurité approprié sur toute la chaîne, y compris les contrôles physiques.

Concrètement, les marchés publics hospitaliers 2026 que nous voyons intègrent trois nouvelles clauses de sous-traitance qui affectent les rondes :

1. Traçabilité individuelle des accès aux zones sensibles. Salles serveurs, archives médicales, pharmacies, salles d'imagerie. Chaque accès — agent de sécurité inclus — doit être journalisé avec identité, horodatage et zone.

2. Notification d'incident dans le SLA HDS. Si l'agent détecte une intrusion, une porte forcée ou un accès non autorisé en zone sensible, la notification au RSSI ou au DPO de l'établissement doit respecter le SLA HDS (typiquement 24 heures pour incident significatif, 6 heures pour incident à fort impact).

3. Audit trail conservé selon la durée HDS. La nouvelle révision aligne les durées de conservation des journaux d'accès physiques sur les durées HDS de données associées (souvent 10 ans pour des dossiers patients). Les bitácoras papier de 90 jours ne tiennent plus.

Ce que cela change opérationnellement

Zones HDS où la traçabilité change

Trois changements concrets dans l'opération :

  • Zones sensibles identifiées et journalisées séparément. L'établissement doit fournir à la société de sécurité la liste des zones HDS et la fréquence de ronde attendue par zone. Si le marché public ne le précise pas, demandez-le par écrit avant signature.
  • Mode hors-ligne robuste. Sous-sols, archives en chambre forte, salles serveurs blindées : les zones sensibles HDS sont souvent celles sans couverture mobile. Une application cloud-only perd des journaux et viole la traçabilité.
  • Exports horodatés signés numériquement. Le RSSI ou le DPO de l'établissement demandera trimestriellement un export par zone. Excel manuel non signé est rejeté.

Le piège de la sous-traitance en cascade

Beaucoup de sociétés de sécurité interviennent en hôpital via un sous-traitant local ou un agent indépendant. La nouvelle révision HDS resserre les obligations de sous-traitance article 28 RGPD : chaque maillon doit signer un contrat de sous-traitance ou un avenant qui descend les obligations HDS. Si vous êtes le titulaire du marché et que vous sous-traitez à un agent indépendant sans avenant, vous portez la non-conformité.

Notre recommandation : pour 2026, audit interne du registre des sous-traitants, mise à jour des contrats avec clause HDS-compatible, et documentation des moyens de contrôle physique par sous-traitant. C'est un mois de travail administratif qui évite une perte de marché.

Ce que rondesdesecurite.fr apporte

La plateforme journalise chaque scan avec identité de l'agent, horodatage UTC, zone et signature numérique. Mode hors-ligne 100 % pour sous-sols, archives et salles serveurs blindées. Conservation paramétrable jusqu'à 10 ans alignée sur les exigences HDS. Exports trimestriels prêts pour le RSSI ou le DPO de l'établissement, avec filtres par zone HDS. Plan gratuit jusqu'à 10 agents pour évaluation.

Pour aller plus loin

Démarrez votre essai gratuit rondesdesecurite.fr

Saisissez votre email et nous mettons en place votre essai — sans carte bancaire.

Nous respectons votre vie privée. Aucun transfert de données hors UE sans consentement. Conforme RGPD.

Essai gratuit de 30 jours. Annulation à tout moment.

Articles similaires

RGPD et logiciel de rondes : checklist conformité 2026 et droits des agents de sécurité privée

La géolocalisation continue d'un agent de sécurité est un traitement de données personnelles soumis au RGPD. Cette checklist 2026 explique les obligations de l'employeur, les droits de l'agent et le rôle du logiciel de rondes.

6 min de lecture

Logiciel de rondes en EHPAD : cadre légal 2026, obligations CNAPS et protocole pour les agents de sécurité de nuit

Les EHPAD ne sont pas des bâtiments classiques. Six périmètres distincts, un public vulnérable, des fugues à risque vital. Cette guide expose le cadre légal 2026 pour les rondes de sécurité en établissement médico-social et les obligations CNAPS spécifiques.

6 min de lecture

Carte professionnelle CNAPS et logiciel de rondes : vérification d'identité de l'agent au démarrage du quart

L'article R632-15 du CSI exige que l'agent de sécurité soit titulaire d'une carte professionnelle CNAPS en cours de validité pendant tout temps de service. Cette analyse explique comment un logiciel de rondes vérifie automatiquement la validité au démarrage du quart, intègre l'alerte d'échéance et résiste à un contrôle CNAPS sans exposer l'entreprise.

11 min de lecture