Publié au Journal officiel (« JO ») du 26 mars 2026, le décret n°2026-209 du 24 mars 2026 modifie le cadre applicable à l’hébergement de données de santé à caractère personnel (« HDS »).
Pris en application de l’article 32 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (« SREN »), ce texte renforce significativement les exigences pesant sur les hébergeurs et les responsables de traitement, notamment en matière de :
Le décret resserre l’architecture HDS, sur la maîtrise du risque extra-européen. La CNIL, dans son avis publié au JO (délibération n°2025-098 du 16 octobre 2025), relève d’ailleurs que le projet reprend en grande partie des exigences présentes dans le référentiel HDS, tout en renforçant leur portée réglementaire et la transparence vis-à-vis des acteurs et des personnes concernées.
L’article 32 de la loi SREN a introduit, dans le champ de l’hébergement des données de santé, des obligations de souveraineté portant à la fois sur la territorialité de l’hébergement et sur le contenu du contrat d’hébergement, en particulier face aux risques de transferts ou d’accès extra-européens. Le cadre légal de l’hébergement des données de santé fixé par l’article L. 1111-8 du Code de la santé publique (« CSP »), prévoit qu’un décret pris en Conseil d’Etat précise la nature des prestations, les rôles des acteurs, les obligations de stockage sur le territoire de l’UE/EEE et les stipulations contractuelles, y compris celles relatives aux risques de transfert ou d’accès non autorisé par des Etats tiers. C’est précisément ce que vient compléter le décret du 24 mars 2026.
Le décret modifie d’abord l’article R. 1111-9 du CSP : l’activité de sauvegarde des données de santé est désormais explicitement précisée comme incluant, notamment, leur conservation dans le cadre d’un archivage électronique. Cette évolution s’inscrit dans le prolongement direct de la loi SREN.
Le cœur du texte réside dans la création d’un nouvel article R. 1111-9-1 du CSP. Celui-ci prévoit que, lorsque l’activité d’hébergement de données de santé à caractère personnel sur support numérique donne lieu à un stockage, ce stockage doit être mis en œuvre exclusivement sur le territoire d’un Etat membre de l’UE ou partie à l’accord sur l’EEE.
La CNIL souligne que cette exigence vise à renforcer la protection des données de santé et que, selon les précisions du ministère, elle n’a pas pour objet d’imposer, à elle seule, le recours exclusif à des acteurs économique européens, elle vise plutôt à orienter les responsables vers des offres immunes au risque d’accès extra-européen.
Le nouvel article R. 1111-9-1 du CSP prévoit que, si la prestation proposée par l’hébergeur ou l’un de ses sous-traitants implique un transfert, y compris un accès à distance, vers un pays hors UE/EEE, celui-ci ne peut intervenir que si :
Le texte assume donc une distinction essentielle entre localisation du stockage et accès à distance. Le stockage doit rester dans l’UE/EEE ; les accès depuis un Etat tiers restent possibles, mais seulement dans un cadre juridique conforme au RGPD explicite et documenté.
Le contenu obligatoire du contrat d’hébergement est renforcé.
D’abord, la clause relative aux droits des personnes est élargie : il ne s’agit plus seulement de la portabilité, mais aussi des droits d’accès, de rectification, d’effacement, de limitation et d’opposition, lorsqu’ils sont applicables, conformément aux articles 15 à 21 du RGPD.
Ensuite le contrat doit désormais intégrer, le cas échéant, les informations relatives à un éventuel transfert vers un pays tiers, y compris lorsqu’il s’agit d’un accès à distance depuis un tel pays.
Si l’hébergeur ou l’un de ses sous-traitants est soumis à la législation d’un pays tiers hors UE/EEE, le contrat doit mentionner : la liste des réglementations extra-européennes susceptibles d’imposer un transfert ou de permettre un accès non autorisé au sens de l’article 48 RGPD ; la décision d’adéquation applicable, le cas échéant ; et, à défaut, les mesures mises en œuvre pour atténuer les risques, ainsi que les risques résiduels malgré ces mesures.
Nouveauté importante : l’hébergeur doit même indiquer s’il n’est soumis à aucune loi étrangère.
Ces nouvelles mentions, visent à renforcer la maîtrise, par les parties, des situations susceptibles de porter atteinte à la souveraineté des données.
Dernier apport majeur : il est imposé à l’hébergeur de rendre publique et de mettre à jour une cartographie des transferts de données de santé vers des Etats non-membres de l’UE/EEE, des accès distants éventuels à ces données, ainsi que des risques d’accès non autorisés. Les modalités concrètes de cette publicité seront précisées dans le référentiel de certification.
Dès lors, la transparence devient en partie publique et ne relève pas uniquement de la relation bilatérale entre hébergeur et client. Ce décret vise l’information des clients actuels ou potentiels sur les mesures prises face aux risques de transfert ou d’accès non autorisé par des Etats tiers.
Si le décret entre en vigueur à compter du 27 mars 2026, la nouvelle règle de territorialité pour le stockage et les accès à distance et le renforcement des clauses des contrats modifications substantielles relatives au contenu du contrat et la cartographie des transferts n’entreront en vigueur que six mois après la publication au JO du 26 mars 2026, soit le 27 septembre 2026.
Avec le décret n°2026-209, le cadre juridique relatif à l’hébergement des données de santé franchit une nouvelle étape : il verrouille la localisation du stockage dans l’UE/EEE, encadre plus explicitement les accès distants depuis les pays tiers et renforce le rôle du contrat HDS en vecteur de transparence sur les dépendances juridiques extra-européennes et les risques résiduels qui y sont relatifs.
Un hébergeur HDS est un prestataire qui héberge, pour le compte d’un tiers ou du patient lui-même, des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social. Pour l’hébergement numérique, il doit être titulaire d’un certificat de conformité.
Oui. Lorsque l’activité d’hébergement donne lieu à un stockage, celui-ci doit être mis en œuvre exclusivement sur le territoire d’un Etat membre de l’UE ou partie à l’EEE.
Oui, mais pas librement. Le décret prévoit qu’un transfert, y compris un accès à distance, vers un pays hors UE/EEE ne peut avoir lieu que dans les conditions du chapitre V du RGPD, c’est-à-dire notamment sur la base d’une décision d’adéquation ou de garanties appropriées.
Il s’agit des mécanismes prévus par l’article 46 du RGPD permettant d’encadrer un transfert en l’absence de décision d’adéquation. Ces garanties sont la mise en place de clauses types de protection des données adoptées par la commission européenne, clauses types de protection des données adoptées par une autorité de contrôle et approuvé par la commission, des règles d’entreprises contraignantes, un code de conduite approuvé, un mécanisme de certification. Le décret exige alors que le contrat mentionne l’absence de décision d’adéquation et décrive précisément les garanties mises en place, ainsi que le cas échéant, les mesures complémentaires assurant un niveau de protection équivalent à celui du droit de l’Union.
Le contrat doit notamment préciser les droits RGPD applicables, les informations relatives à un éventuel transfert ou accès à distance depuis un pays tiers, et, si l’hébergeur ou un sous-traitant est soumis à une loi extra-européenne, la liste des réglementations concernées, l’éventuelle décision d’adéquation, les mesures d’atténuation et les risques résiduels.