Le nouveau décret « hébergeurs » s’aligne sur le référentiel de certification s’agissant du lieu d’hébergement

Le décret n° 2026-209 du 24 mars 2026 ¹, publié au Journal officiel du 26 mars 2026, modifie la partie réglementaire du code de la santé publique afin d’y inscrire les obligations relatives à la localisation de l’hébergement et à la transparence sur les transferts de données de santé à caractère personnel hors de l’Espace économique européen (ci-après « EEE »), jusqu’alors portées par le référentiel de certification HDS. Il est pris en application de l’article 32 de la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite loi « SREN »).

Le décret pose d’abord le principe d’un stockage exclusif des données de santé sur le territoire de l’Union européenne ou de l’EEE. Il admet des transferts vers des pays tiers, y compris sous forme d’accès à distance, mais les soumet à l’existence d’une décision d’adéquation de la Commission européenne au sens de l’article 45 du RGPD ou, à défaut, à la mise en place de garanties appropriées au sens de l’article 46, lesquelles doivent être décrites avec précision dans le contrat d’hébergement.

Sur ce sujet, le décret ne reprend donc pas les exigences du référentiel SecNum Cloud mis en avant par la loi SREN qui ajoute aux exigences précitées une complète immunité territoriale du lieu d’hébergement et des contraintes capitalistiques et de gouvernance à l’entité qui héberge.

Il ne reprend pas non plus les conclusions plus sectorielles de la Cour des comptes dans son rapport du 31 octobre dernier sur les enjeux de la souveraineté numérique, ni celles de la circulaire Lecornu du 5 févier 2026 qui demandent à la plateforme de données de santé gérée par l’Etat et la CNAM, d’appliquer le référentiel SecNumCloud.

Notons que le référentiel de certification mis à jour en 2024 prévoit une nouvelle évaluation de ses exigences en 2027 au bénéfice du schéma européen EUCS (European Cybersecurity Certification Scheme for Cloud Services).

Le décret renforce ensuite le contenu obligatoire du contrat d’hébergement, qui doit désormais mentionner l’ensemble des droits des personnes concernées prévus aux articles 15 à 21 du RGPD et mentionner les informations relatives à d’éventuels transferts hors EEE. Lorsque l’hébergeur ou l’un de ses sous-traitants est soumis à une législation extra-européenne, le contrat doit en outre préciser la liste des réglementations susceptibles d’imposer un accès aux données au sens de l’article 48 du RGPD, les mesures d’atténuation mises en œuvre et les risques résiduels subsistant malgré ces mesures. Si l’hébergeur n’est soumis à aucune telle réglementation, il doit l’indiquer expressément dans le contrat.

Enfin, l’hébergeur est tenu de rendre publique et de maintenir à jour une cartographie des transferts de données de santé hors EEE et des risques d’accès non autorisés, selon des modalités précisées dans le référentiel de certification.

S’agissant de l’entrée en vigueur, le décret entre en vigueur le lendemain de sa publication pour la disposition relative à l’archivage électronique, qui précise désormais expressément que la sauvegarde des données de santé comprend leur conservation dans le cadre d’un archivage électronique.

Les autres dispositions, obligation de localisation dans l’EEE, renforcement du contenu du contrat et cartographie des transferts, n’entrent en vigueur que dans un délai de six mois suivant cette publication.

Footnote

1 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000053717250

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.