Skip to content
Retour
RETOUR

Hébergement des données de santé : le décret du 24 mars 2026 serre l’étau sur les transferts et l’extraterritorialité

Le décret n°2026‑209 du 24 mars 2026, publié au Journal officiel du 26 mars 2026, vient modifier plusieurs dispositions du Code de la santé publique (CSP) relatives à l’hébergement de données de santé à caractère personnel (« HDS »). Ce décret consolide le cadre existant et renforce de manière notable les garanties liées à la localisation du stockage, aux accès distants depuis des États tiers et à la transparence contractuelle sur les risques extra‑européens. Il a été pris en application de l’article 32 de la loi n°2024-449 du 21mai 2024 visant à sécuriser et à réguler l’espace numérique (« SREN »).

L’objectif est explicite : mieux maîtriser les risques d’accès ou de transfert de données de santé vers des pays tiers, notamment du fait des législations extraterritoriales. Ce texte reprend et consolide une partie des exigences déjà présentes dans le référentiel HDS.

Contexte juridique : la SREN et la montée en puissance des exigences de souveraineté

La loi SREN de mai 2024 est venue ajouter des obligations spécifiques orientées vers la souveraineté numérique, en renforçant :

  • les exigences de territorialité (Union européenne (« UE ») /Espace économique européen (« EEE »), et,
  •  la transparence contractuelle en cas de risques de transferts ou d’accès par des pays tiers.

Le décret du 24 mars 2026 met en œuvre ces évolutions et vient préciser leurs contours opérationnels.

Les apports clés du décret

L’archivage électronique pleinement intégré au périmètre HDS

L’article R. 1111‑9 du CSP est modifié : l’activité de sauvegarde inclut explicitement l’archivage électronique.

Cette clarification prolonge la logique de la SREN : tout archivage électronique de données de santé doit répondre aux mêmes exigences de certification, sécurité et conformité que les autres activités d’hébergement numérique.

Un stockage exclusivement localisé dans l’UE ou l’EEE

Le nouvel article R. 1111‑9‑1 du CSP impose que tout stockage réalisé dans le cadre d’une activité HDS soit effectué exclusivement dans l’Union européenne ou dans l’Espace économique européen.

Selon la CNIL, cette mesure vise avant tout à réduire les risques d’accès extra‑européens plutôt qu’à imposer un fournisseur européen : il s’agit d’orienter les responsables vers des solutions moins exposées aux législations extraterritoriales.

Accès distants depuis un pays tiers : un régime aligné sur le RGPD

Le décret n’interdit pas toute interaction avec un pays tiers. Il prévoit toutefois que tout accès à distance depuis un État hors UE/EEE – même sans transfert de stockage – doit respecter le chapitre V du RGPD, c’est‑à‑dire :

  • une décision d’adéquation (art. 45), ou
  • des garanties appropriées (art. 46), assorties de droits opposables et de voies de recours effectives.

Le texte affirme ainsi une distinction fondamentale :

  •  le stockage doit rester dans l’UE/EEE,
  •  les accès distants restent possibles, mais dans un cadre RGPD strict et documenté.

Un contrat HDS enrichi pour renforcer la transparence

L’article R.1111‑11 du CSP est remanié pour faire du contrat un véritable levier de maîtrise des risques :

  • La clause sur les droits des personnes couvre désormais l’ensemble des articles 15 à 21 du RGPD (et non plus la simple portabilité).
  • Tout transfert ou accès à distance depuis un pays tiers doit être clairement documenté.
  • Le nouveau 15° impose d’indiquer :
  1. les législations extra‑européennes susceptibles d’imposer un accès ou un transfert (au sens de l’art. 48 RGPD),
  2. l’existence ou non d’une décision d’adéquation,
  3. les mesures d’atténuation mises en place,
  4. ainsi que les risques résiduels.

Point notable : l’absence de soumission à une législation étrangère doit également être explicitement mentionnée.

Une cartographie publique obligatoire des transferts et accès distants

Grande nouveauté : l’hébergeur devra désormais rendre publique une cartographie comprenant : les transferts éventuels vers des pays tiers ; les accès distants, et les risques d’accès non autorisés.

Cette cartographie devra être mise à jour régulièrement. Les modalités précises seront intégrées au référentiel de certification HDS, ce qui devrait entrainer une nouvelle mise à jour dudit référentiel.

Cette obligation marque une évolution majeure : la gestion des transferts devient visible, traçable et opposable publiquement.

Entrée en vigueur 

Le décret entre en vigueur le 27 mars 2026, à l’exception des dispositions relatives au nouvel article R.1111-9-1 du CSP et à une partie des modifications qui n’entreront en vigueur qu’à l’issu d’un délai de six mois à compter de la publication au JO, soit le 27 septembre prochain.

Ce texte affirme l’objectif de souveraineté numérique renforcée. Le décret verrouille la localisation du stockage dans l’UE/EEE, encadre de manière stricte les accès distants depuis des pays tiers, impose une transparence contractuelle renforcée, et introduit une cartographie publique des risques extra‑européens.

Il transforme ainsi la manière dont les hébergeurs et leurs clients doivent appréhender les risques de transferts ou d’accès non autorisés  le décret place la transparence au cœur de la gouvernance des données de santé.

FAQ 

Qu’est un hébergeur HDS ?

Un hébergeur HDS est un prestataire qui héberge, pour le compte d’un tiers ou du patient lui-même, des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social. Pour l’hébergement numérique, il doit être titulaire d’un certificat de conformité.

Les données de santé doivent-elles désormais être stockées en Europe ?

Oui. Lorsque l’activité d’hébergement donne lieu à un stockage, celui-ci doit être mis en œuvre exclusivement sur le territoire d’un Etat membre de l’UE ou partie à l’EEE.

L’accès à distance depuis un Etat tiers reste-t-il possible ?

Oui, mais pas librement. Le décret prévoit qu’un transfert, y compris un accès à distance, vers un pays hors UE/EEE ne peut avoir lieu que dans les conditions du chapitre V du RGPD, c’est-à-dire notamment sur la base d’une décision d’adéquation ou de garanties appropriées.

Qu’entend-on par « garanties appropriées » ?

Il s’agit des mécanismes prévus par l’article 46 du RGPD permettant d’encadrer un transfert en l’absence de décision d’adéquation. Ces garanties sont la mise en place de clauses types de protection des données adoptées par la commission européenne, , clauses types de protection des données adoptées par une autorité de contrôle et approuvé par la commission, des règles d’entreprises contraignantes, un code de conduite approuvé, un mécanisme de certification  Le décret exige alors que le contrat mentionne l’absence de décision d’adéquation et décrive précisément les garanties mises en place, ainsi que le cas échéant, les mesures complémentaires assurant un niveau de protection équivalent à celui du droit de l’Union.

Que doit désormais contenir le contrat d’hébergement ?

Le contrat doit notamment rappeler les droits des personnes RGPD applicables, les informations relatives à un éventuel transfert et/ou accès à distance depuis un pays tiers, et, si l’hébergeur ou un sous-traitant est soumis à une loi extra-européenne, la liste des réglementations concernées, l’éventuelle décision d’adéquation, les mesures d’atténuation et les risques résiduels.

Décret n°2026-209Télécharger

[pc-login-form redirect= »https://www.lecoindudpo.com/dpo/ »]

[pc-logout-box redirect= » »]

CGA | Politique de confidentialité

Contactez-nous...

Ce formulaire de contact est uniquement disponible pour les comptes enregistrés.

Contactez-nous




    La gestion de vos données et vos droits par Le Coin du DPO

    Recevez nos actualités

    Abonnez-vous à notre newsletter

    Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. En savoir plus.

    Recevez nos actualités

    Abonnez-vous à notre newsletter