Le décret n°2026‑209 du 24 mars 2026, publié au Journal officiel du 26 mars 2026, vient modifier plusieurs dispositions du Code de la santé publique (CSP) relatives à l’hébergement de données de santé à caractère personnel (« HDS »). Ce décret consolide le cadre existant et renforce de manière notable les garanties liées à la localisation du stockage, aux accès distants depuis des États tiers et à la transparence contractuelle sur les risques extra‑européens. Il a été pris en application de l’article 32 de la loi n°2024-449 du 21mai 2024 visant à sécuriser et à réguler l’espace numérique (« SREN »).

L’objectif est explicite : mieux maîtriser les risques d’accès ou de transfert de données de santé vers des pays tiers, notamment du fait des législations extraterritoriales. Ce texte reprend et consolide une partie des exigences déjà présentes dans le référentiel HDS.

Contexte juridique : la SREN et la montée en puissance des exigences de souveraineté

La loi SREN de mai 2024 est venue ajouter des obligations spécifiques orientées vers la souveraineté numérique, en renforçant :

• les exigences de territorialité (Union européenne (« UE ») /Espace économique européen (« EEE »), et,
•  la transparence contractuelle en cas de risques de transferts ou d’accès par des pays tiers.

Le décret du 24 mars 2026 met en œuvre ces évolutions et vient préciser leurs contours opérationnels.

Les apports clés du décret

L’archivage électronique pleinement intégré au périmètre HDS

L’article R. 1111‑9 du CSP est modifié : l’activité de sauvegarde inclut explicitement l’archivage électronique.

Cette clarification prolonge la logique de la SREN : tout archivage électronique de données de santé doit répondre aux mêmes exigences de certification, sécurité et conformité que les autres activités d’hébergement numérique.

Un stockage exclusivement localisé dans l’UE ou l’EEE

Le nouvel article R. 1111‑9‑1 du CSP impose que tout stockage réalisé dans le cadre d’une activité HDS soit effectué exclusivement dans l’Union européenne ou dans l’Espace économique européen.

Selon la CNIL, cette mesure vise avant tout à réduire les risques d’accès extra‑européens plutôt qu’à imposer un fournisseur européen : il s’agit d’orienter les responsables vers des solutions moins exposées aux législations extraterritoriales.

Accès distants depuis un pays tiers : un régime aligné sur le RGPD

Le décret n’interdit pas toute interaction avec un pays tiers. Il prévoit toutefois que tout accès à distance depuis un État hors UE/EEE – même sans transfert de stockage – doit respecter le chapitre V du RGPD, c’est‑à‑dire :

• une décision d’adéquation (art. 45), ou
• des garanties appropriées (art. 46), assorties de droits opposables et de voies de recours effectives.

Le texte affirme ainsi une distinction fondamentale :

•  le stockage doit rester dans l’UE/EEE,
•  les accès distants restent possibles, mais dans un cadre RGPD strict et documenté.

Un contrat HDS enrichi pour renforcer la transparence

L’article R.1111‑11 du CSP est remanié pour faire du contrat un véritable levier de maîtrise des risques :

• La clause sur les droits des personnes couvre désormais l’ensemble des articles 15 à 21 du RGPD (et non plus la simple portabilité).
• Tout transfert ou accès à distance depuis un pays tiers doit être clairement documenté.
• Le nouveau 15° impose d’indiquer :

1. les législations extra‑européennes susceptibles d’imposer un accès ou un transfert (au sens de l’art. 48 RGPD),
2. l’existence ou non d’une décision d’adéquation,
3. les mesures d’atténuation mises en place,
4. ainsi que les risques résiduels.

Point notable : l’absence de soumission à une législation étrangère doit également être explicitement mentionnée.

Une cartographie publique obligatoire des transferts et accès distants

Grande nouveauté : l’hébergeur devra désormais rendre publique une cartographie comprenant : les transferts éventuels vers des pays tiers ; les accès distants, et les risques d’accès non autorisés.

Cette cartographie devra être mise à jour régulièrement. Les modalités précises seront intégrées au référentiel de certification HDS, ce qui devrait entrainer une nouvelle mise à jour dudit référentiel.

Cette obligation marque une évolution majeure : la gestion des transferts devient visible, traçable et opposable publiquement.

Entrée en vigueur 

Le décret entre en vigueur le 27 mars 2026, à l’exception des dispositions relatives au nouvel article R.1111-9-1 du CSP et à une partie des modifications qui n’entreront en vigueur qu’à l’issu d’un délai de six mois à compter de la publication au JO, soit le 27 septembre prochain.

Ce texte affirme l’objectif de souveraineté numérique renforcée. Le décret verrouille la localisation du stockage dans l’UE/EEE, encadre de manière stricte les accès distants depuis des pays tiers, impose une transparence contractuelle renforcée, et introduit une cartographie publique des risques extra‑européens.

Il transforme ainsi la manière dont les hébergeurs et leurs clients doivent appréhender les risques de transferts ou d’accès non autorisés  le décret place la transparence au cœur de la gouvernance des données de santé.

FAQ 

Qu’est un hébergeur HDS ?

Un hébergeur HDS est un prestataire qui héberge, pour le compte d’un tiers ou du patient lui-même, des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social. Pour l’hébergement numérique, il doit être titulaire d’un certificat de conformité.

Les données de santé doivent-elles désormais être stockées en Europe ?

Oui. Lorsque l’activité d’hébergement donne lieu à un stockage, celui-ci doit être mis en œuvre exclusivement sur le territoire d’un Etat membre de l’UE ou partie à l’EEE.

L’accès à distance depuis un Etat tiers reste-t-il possible ?

Oui, mais pas librement. Le décret prévoit qu’un transfert, y compris un accès à distance, vers un pays hors UE/EEE ne peut avoir lieu que dans les conditions du chapitre V du RGPD, c’est-à-dire notamment sur la base d’une décision d’adéquation ou de garanties appropriées.

Qu’entend-on par « garanties appropriées » ?

Il s’agit des mécanismes prévus par l’article 46 du RGPD permettant d’encadrer un transfert en l’absence de décision d’adéquation. Ces garanties sont la mise en place de clauses types de protection des données adoptées par la commission européenne, , clauses types de protection des données adoptées par une autorité de contrôle et approuvé par la commission, des règles d’entreprises contraignantes, un code de conduite approuvé, un mécanisme de certification  Le décret exige alors que le contrat mentionne l’absence de décision d’adéquation et décrive précisément les garanties mises en place, ainsi que le cas échéant, les mesures complémentaires assurant un niveau de protection équivalent à celui du droit de l’Union.

Que doit désormais contenir le contrat d’hébergement ?

Le contrat doit notamment rappeler les droits des personnes RGPD applicables, les informations relatives à un éventuel transfert et/ou accès à distance depuis un pays tiers, et, si l’hébergeur ou un sous-traitant est soumis à une loi extra-européenne, la liste des réglementations concernées, l’éventuelle décision d’adéquation, les mesures d’atténuation et les risques résiduels.

Le 10 février 2026, la Cour de justice de l’Union européenne (« CJUE ») a jugé recevable le recours en annulation formé par WhatsApp Ireland Ltd contre la décision contraignante du Comité européen de la protection des données (« CEPD »), annulant l’ordonnance d’irrecevabilité du Tribunal de l’Union et renvoyant l’affaire devant celui-ci pour examen au fond.

Cet arrêt marque un tournant procédural majeur dans le contentieux du Règlement général sur la protection des données (« RGPD »).

Origine du litige

L’affaire trouve son origine dans une enquête de la Data Protection Commission (autorité irlandaise de contrôle) concernant le respect par WhatsApp de ses obligations de transparence et d’information au titre du RGPD.

A la suite de désaccords survenus entre les autorités de contrôle européennes, le mécanisme de règlement des litiges prévu à l’article e du RGPD a été activé.

Le CEPD a alors adopté une décision contraignante (décision 1/2021) conduisant l’autorité irlandaise à porter le montant de l’amende à 225 millions d’euros dans sa décision finale de 2021.

C’est à ce titre que WhatsApp a décidé d’attaquer directement la décision du CEPD devant le Tribunal de l’UE.

La question n’était pas encore de savoir si WhatsApp avait effectivement violé le RGPD mais si une entreprise peut contester directement une décision contraignante du CEPD devant le juge de l’Union.

Le Tribunal avait répondu par la négative, qualifiant la décision du CEPD d’acte intermédiaire, mais la CJUE censure cette analyse.

La solution de la Cour 

La décision du CEPD est bien un « acte attaquable » (article 263 TFUE)

La Cour raisonne classiquement : un acte est attaquable s’il émane d’un organe de l’UE et produit des effets juridiques contraignants vis-à-vis de tiers. Or, la décision adoptée par le CEPD :

• est contraignante pour l’autorité chef de file et les autorités concernées
• fixe définitivement la position du CEPD sur les points en litige
• ne laisse aucune marge d’appréciation sur les éléments tranchés.  

Elle ne peut donc être regardée comme une simple mesure intermédiaire.

WhatsApp est directement concernée 

La Cour rappelle les deux critères de l’affectation directe :

• Effet direct sur la situation juridique du requérant
• Absence de marge d’appréciation des destinataires chargés de la mise en œuvre, celle-ci devant être automatiques pour des points tranchés

En l’espèce, la décision du CEPD liait inconditionnellement les autorités nationales quant au constat de violation et aux éléments correctifs à adopter, modifiant ainsi de manière caractérisée la situation juridique de WhatsApp.

Le recours est donc déclaré recevable. L’affaire est renvoyée devant le Tribunal pour examen au fond.

Conséquence immédiate 

L’entreprise peut obtenir un contrôle juridictionnel de l’acte du CEDP lui-même, sans attendre uniquement l’issue d’un recours national contre la décision finale de l’autorité chef de fil.

Ainsi, les décisions contraignantes du CEPD ne sont plus un simple passage procédural, elles peuvent, dans certaines conditions, faire l’objet d’un recours direct devant le juge de l’Union. Cette décision consacre l’autonomie juridique des décisions contraignantes du CEPD.

Cet arrêt renforce donc indirectement le rôle du CEPD comme organe décisionnel européen dont les décisions peuvent avoir un effet direct sur les entreprises, et qui peuvent désormais être soumises à un contrôle juridictionnel de l’Union.

FAQ 

Qu’est-ce que le CEPD ?

Le Comité européen de la protection des données (« CEPD ») est l’organe européen chargé de garantir l’application cohérente du RGPD au sein de l’Union européenne. Il intervient notamment pour résoudre les litiges entre autorités de contrôles nationale, (article 65 RGPD).

Qu’est-ce qu’une « décision contraignante » du CEPD ?

Une décision contraignante est une décision adoptée par le CEPD dans le cadre du mécanisme de règlement des litiges (art. 65 RGPD). Elle s’impose aux autorités nationales concernées, qui doivent s’y conformer dans leur décision finale.

Qu’est-ce qu’un acte attaquable au sens de l’article 263 du TFUE ?

Un acte attaquable est un acte émanant d’une institution ou d’un organe de l’UE qui est destiné à produire des effets juridiques obligatoires à l’égard des tiers.

Quelle est la différence entre un recours national et un recours devant la CJUE ?

Le recours national vise la décision finale adoptée par l’autorité de contrôle chef de file.
Le recours devant le juge de l’Union vise directement la décision du CEPD en tant qu’acte autonome au sens de l’article 263 TFUE.

Le règlement (UE) 2025/2518 du 26 novembre 2025, publié au Journal officiel de l’Union européenne du 12 décembre 2025, vise à remédier aux difficultés rencontrées dans le traitement des affaires transfrontalières en matière de protection des données. Il instaure pour la première fois un véritable cadre procédural harmonisé entre autorités de protection des données (« APD »), afin de renforcer la coopération, accélérer les enquêtes et mieux garantir les droits des parties.

Un RGPD plus fluide à l’échelle européenne

Reposant jusqu’ici sur un système décentralisé (autorité chef de file, autorités concernées, intervention du Comité européen de la protection des données (« EDPB ») en cas de désaccord), le RGPD souffrait en pratique de lenteurs et de divergences d’interprétation. Le nouveau règlement entend y répondre en :

• fixant des règles procédurales communes,
• clarifiant les étapes des enquêtes et en encadrant les délais,
• renforçant la coopération loyale et précoce entre APD,
• consolidant les droits procéduraux des plaignants et des responsables de traitement.

Réclamations : cadre clarifié et harmonisé

Le règlement définit les critères de recevabilité des réclamations (lien avec les données du plaignant, informations minimales requises) et distingue clairement les plaintes des simples demandes d’information.

Il précise le rôle de chaque APD dans les affaires transfrontalières, les modalités de transmission à l’autorité chef de file, ainsi que la gestion des dossiers incomplets.

Des procédures plus rapides et adaptées

Le règlement introduit :

• des délais indicatifs, dont un délai de 15 mois pour l’adoption d’un projet de décision par l’autorité chef de file,
• une procédure de résolution précoce lorsque la plainte devient sans objet,
• une coopération simplifiée pour les affaires non complexes,
• un résumé préliminaire des points essentiels, favorisant une convergence en amont entre autorités.

Renforcement des droits procéduraux

Les droits de la défense sont explicitement consacrés : accès au dossier, droit d’être entendu, possibilité de commenter les conclusions préliminaires. Le rôle du plaignant est également précisé (information sur l’avancement, possibilité de présenter des observations, sans accès aux informations confidentielles).

Rôle de l’EDPB, transparence et sécurité juridique

Le règlement encadre plus précisément le règlement des litiges par l’EDPB, prévoit un outil numérique commun entre APD, renforce la publicité des décisions, et limite l’application des nouvelles règles aux procédures ouvertes après un délai de 15 mois, afin d’éviter toute insécurité juridique.

Le 22 juillet 2025, la Commission européenne a lancé le processus visant à renouveler la décision d’adéquation du Royaume-Uni pour les transferts de données à caractère personnel.

Saisie pour avis, l’EDPB (Comité européen de la protection des données) reconnaît que le cadre britannique demeure largement aligné sur le RGPD, mais souligne plusieurs évolutions préoccupantes susceptibles de fragiliser la protection des données.

Un cadre juridique en mutation

Le Retained EU Law (Revocation and Reform) Act 2023 met fin à la primauté du droit de l’Union et à l’application directe de la Charte des droits fondamentaux.

Selon l’EDPB, cette évolution crée une incertitude juridique sur la stabilité du niveau de protection au Royaume-Uni.

L’EDPB invite la Commission européenne à analyser plus en détail l’impact de cette réforme et à assurer un suivi régulier de ses effets.

Des pouvoirs renforcés du gouvernement britannique

L’EDPB relève également que le Secrétaire d’Etat dispose désormais d’une large marge de manœuvre réglementaire pour modifier le droit des données (transferts internationaux, décisions automatisées, gouvernance de l’Information Commissioner’s Office « ICO ») sans véritable débat parlementaire.

Cette évolution pourrait affaiblir les garanties en matière de protection des données et d’indépendance du régulateur.

Autres points de vigilance

L’EDPB attire l’attention sur :

• Les exemptions de sécurité nationale potentiellement trop larges,
• Les nouveaux critères d’adéquation pour les transferts internationaux, jugés incomplets,
• Et les pouvoirs d’accès aux données chiffrées prévus par l’Investigatory Powers Act (IPA), qui pourraient compromettre la confidentialité des communications. Les Technical Capability Notices prévues par l’IPA peuvent obliger les entreprises à fournir un moyen de contourner le chiffrement. Cela crée des vulnérabilités systémiques et menace la sécurité des communications. L’EDPB demande à la Commission d’en tenir compte dans son évaluation finale.

Concernant la réforme de l’ICO, désormais organisé en conseil collégial, l’EDPB demande des garanties supplémentaires d’indépendance et de transparence dans le traitement des plaintes. En effet, l’ICO envisage aussi un nouveau système de traitement des plaintes (« triage »), ce qui pourrait filtrer l’accès des citoyens à la justice.

S’agissant des nouvelles pratiques de collecte de données massives, l’Investigatory Powers Amendment Act 2024 autorise la conservation et l’analyse de grands ensembles de données personnelles lorsque les personnes concernées ont « peu ou pas d’attente raisonnable de vie privée ». L’EDPB juge ce concept trop vague et susceptible d’abus. Il demande des clarifications sur les autorisations individuelles et catégorielles et une surveillance étroite de l’application pratique de cette notion.

Vers une décision d’adéquation prolongée jusqu’en 2031

La nouvelle décision de la Commission prolonge jusqu’à décembre 2031 certaines parties de celle de 2021, tout en intégrant les réformes britanniques récentes.

L’EDPB ne s’oppose pas à ce renouvellement mais recommande une vigilance accrue :

« La Commission devra exercer un suivi actif du cadre britannique conformément à l’article 45(4) du RGPD », conclut le Comité.

FAQ – Décision d’adéquation Royaume-Uni : avis 26/2025 de l’EDPB

Qu’est-ce qu’une décision d’adéquation ?

Une décision d’adéquation est un acte adopté par la Commission européenne qui reconnaît qu’un pays tiers (hors Union européenne) offre un niveau de protection des données personnelles équivalent à celui de l’UE. Cela permet aux entreprises d’y transférer des données personnelles sans mesures de protection supplémentaires.

Pourquoi la Commission européenne renouvelle-t-elle la décision d’adéquation du Royaume-Uni ?

La décision d’adéquation permet aux données personnelles européennes d’être transférées vers le Royaume-Uni sans garanties supplémentaires.

Celle de 2021 arrivant à échéance en 2025, la Commission européenne a lancé un processus de renouvellement afin de prolonger la reconnaissance du niveau de protection britannique jusqu’en décembre 2031, tout en tenant compte des réformes législatives récentes.

Que reproche l’EDPB à la règlementation du Royaume-Uni ?

L’EDPB reconnaît que le droit britannique reste proche du RGPD, mais relève plusieurs évolutions préoccupantes :

• Fin de la primauté du droit de l’UE (Retained EU Law Act 2023) ;
• Pouvoirs élargis du gouvernement pour modifier le droit des données ;
• Affaiblissement possible de l’indépendance du régulateur (ICO) ;
• Extensions des exemptions de sécurité nationale ;
• Risques liés au contournement du chiffrement dans l’Investigatory Powers Act.

Le Royaume-Uni reste-t-il un pays adéquat pour les transferts de données ?

Oui, pour l’instant.

L’EDPB considère que le niveau global de protection demeure adéquat, mais il insiste sur la nécessité d’un suivi constant compte tenu des nombreuses réformes du droit britannique des données et des pouvoirs accrus du gouvernement.

Jusqu’à quand la future décision d’adéquation sera-t-elle valable ?

Si la Commission adopte le projet tel quel, la nouvelle décision prolongera la reconnaissance du Royaume-Uni comme pays adéquat jusqu’en décembre 2031, sous réserve d’un examen régulier de la situation.