Renforcement du cadre juridique encadrant l’hébergement des données de santé à caractère personnel
Le décret n° 2026-209 du 24 mars 2026 modifie les articles R.1111-9 à R.1111-11 du Code de la santé publique.
Il a pour objet d’encadrer et de renforcer les obligations des hébergeurs en matière de stockage des données de santé à caractère personnel, notamment en ce qui concerne les transferts vers des pays non-parties à l’Espace économique européen (EEE) ou à l’Union européenne.
Il introduit également une exigence spécifique relative à l’information des clients sur les risques que peuvent engendrer le transfert ou l’accès à ces données depuis ces pays.
Ainsi, il crée un nouvel article R.1111-9-1 précisant que « Lorsque l’activité d’hébergement de données de santé à caractère personnel sur support numérique définie aux articles R. 1111-8-8 et R. 1111-9 donne lieu à un stockage de ces données, il est mis en œuvre exclusivement sur le territoire d’un État membre de l’Union européenne (UE) ou partie à l’accord sur l’Espace économique européen (EEE). ».
Lorsqu’un transfert est réalisé vers un pays tiers à l’UE ou à l’EEE, la Commission devra émettre une décision constatant qu’ils assurent un niveau de protection adéquate des données.
L’hébergeur est également tenu de rendre publique et de mettre à jour la cartographie des transferts de données de santé à caractère personnel qu’il a réalisés vers des pays tiers (Article R.1111-11 du Code de la santé publique).
Il convient de préciser que ces deux dernières dispositions n’entreront pas en vigueur au lendemain de la publication du décret, contrairement aux autres articles modifiés, mais dans un délai de six mois à compter de cette publication c’est-à-dire le 26 septembre 2026.