5. Cybersécurité 
5.2. RGPD, Loi informatique et libertés et textes associés
5.2. RGPD, Loi informatique et libertés et textes associés
Décret n° 2026-209 du 24 mars 2026 portant modification de certaines dispositions du code de la santé publique relatives à l'hébergement de données de santé à caractère personnel
| Date de signature : | 24/03/2026 | Statut du texte : | En vigueur |
| Date de publication : | 26/03/2026 | Emetteur : | Ministère de la santé, des familles, de l'autonomie et des personnes handicapées |
| Consolidée le : | Source : | JO du 26 mars 2026 | |
| Date d'entrée en vigueur : | 27/03/2026 |
Décret n° 2026-209 du 24 mars 2026 portant modification de certaines dispositions du code de la santé publique relatives à l'hébergement de données de santé à caractère personnel
NOR : SFHL2514369D
Publics concernés : patients, personnes physiques ou morales responsables de traitements de données de santé à caractère personnel, prestataires qui concourent à la fourniture d’un service d’hébergement de données de santé à caractère personnel, organismes de certification.
Objet : le décret modifie certaines dispositions du code de la santé publique relatives à l’hébergement de données de santé à caractère personnel. Il précise les obligations de l’hébergeur en matière de stockage des données de santé à caractère personnel sur le territoire d’un Etat membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen, ainsi qu’en matière d’information de ses clients, actuels ou potentiels, concernant les mesures prises face aux risques de transfert de ces données ou d’accès non autorisé à celles-ci par des Etats tiers à l’Union européenne.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication, à l’exception des 2° et 3° de l’article 1er qui entrent en vigueur dans un délai de six mois suivant la date de cette publication.
Application : le présent décret est pris pour l’application de l’article 32 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.
Le Premier ministre,
Sur le rapport de la ministre de la santé, des familles, de l’autonomie et des personnes handicapées,
Décrète :
Art. 1er. – La sous-section 2 du chapitre Ier du titre Ier du livre Ier de la première partie du code de la santé publique est ainsi modifiée :
1° Au 6° de l’article R. 1111-9, après les mots : « sauvegarde des données de santé », sont ajoutés les mots : « , notamment leur conservation dans le cadre d’un archivage électronique. » ;
2° Après l’article R. 1111-9, il est inséré un article R. 1111-9-1 ainsi rédigé :
« Art. R. 1111-9-1. – Lorsque l’activité d’hébergement de données de santé à caractère personnel sur support numérique définie aux articles R. 1111-8-8 et R. 1111-9 donne lieu à un stockage de ces données, il est mis en œuvre exclusivement sur le territoire d’un Etat membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen.
« Dans l’hypothèse où la prestation proposée par l’hébergeur ou l’un de ses sous-traitants implique un transfert, y compris un accès à distance, de données mentionnées au premier alinéa vers un pays qui n’est pas membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen, il peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers assure un niveau de protection adéquat dans les conditions prévues par l’article 45 du règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. En l’absence de décision prise en vertu de l’article 45, le responsable du traitement ou le sous-traitant peut toutefois transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale s’il a prévu les garanties appropriées mentionnées par l’article 46 de ce même règlement et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Dans cette dernière hypothèse, le contrat d’hébergement prévu au I de l’article L. 1111-8 mentionne l’absence de décision d’adéquation et décrit avec précision les garanties appropriées mises en place pour encadrer ce transfert ainsi que, le cas échéant, toute autre mesure permettant d’assurer un niveau de protection des données équivalent à celui garanti par le droit de l’Union Européenne. » ;
3° L’article R. 1111-11 est ainsi modifié :
Le présent article est applicable à Wallis-et-Futuna.
Art. 4. – La ministre de la santé, des familles, de l’autonomie et des personnes handicapées et la ministre des outre-mer sont chargées, chacune en ce qui la concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 24 mars 2026.
Par le Premier ministre :
Sébastien Lecornu
La ministre de la santé, des familles, de l’autonomie et des personnes handicapées,
Stéphanie Rist
La ministre des outre-mer,
Naïma Moutchou
Source Légifrance
NOR : SFHL2514369D
Publics concernés : patients, personnes physiques ou morales responsables de traitements de données de santé à caractère personnel, prestataires qui concourent à la fourniture d’un service d’hébergement de données de santé à caractère personnel, organismes de certification.
Objet : le décret modifie certaines dispositions du code de la santé publique relatives à l’hébergement de données de santé à caractère personnel. Il précise les obligations de l’hébergeur en matière de stockage des données de santé à caractère personnel sur le territoire d’un Etat membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen, ainsi qu’en matière d’information de ses clients, actuels ou potentiels, concernant les mesures prises face aux risques de transfert de ces données ou d’accès non autorisé à celles-ci par des Etats tiers à l’Union européenne.
Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication, à l’exception des 2° et 3° de l’article 1er qui entrent en vigueur dans un délai de six mois suivant la date de cette publication.
Application : le présent décret est pris pour l’application de l’article 32 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.
Le Premier ministre,
Sur le rapport de la ministre de la santé, des familles, de l’autonomie et des personnes handicapées,
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
- Vu la directive 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information ;
- Vu le code de la santé publique, notamment son article L. 1111-8 ;
- Vu la loi n°2024-449 du 21 mai 2024 modifiée visant à sécuriser et à réguler l’espace numérique, notamment son article 32 ;
- Vu le décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel ;
- Vu l’avis du Conseil national de l’ordre des masseurs-kinésithérapeutes en date du 13 juin 2025 ;
- Vu l’avis du Conseil national de l’ordre des pédicures-podologues en date du 13 juin 2025 ;
- Vu l’avis du Conseil national de l’ordre des médecins en date du 28 juin 2025 ;
- Vu l’avis du Conseil national de l’ordre des pharmaciens en date du 30 juin 2025 ;
- Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 25 août 2025 ;
- Vu la saisine du Conseil national de l’ordre des chirurgiens-dentistes en date du 13 mai 2025 ;
- Vu la saisine du Conseil national de l’ordre des infirmiers en date du 13 mai 2025 ;
- Vu la saisine du Conseil national de l’ordre des sages-femmes en date du 13 mai 2025 ;
- Vu la notification n°2025/0708/FR adressée le 25 novembre 2025 à la Commission européenne ;
Décrète :
Art. 1er. – La sous-section 2 du chapitre Ier du titre Ier du livre Ier de la première partie du code de la santé publique est ainsi modifiée :
1° Au 6° de l’article R. 1111-9, après les mots : « sauvegarde des données de santé », sont ajoutés les mots : « , notamment leur conservation dans le cadre d’un archivage électronique. » ;
2° Après l’article R. 1111-9, il est inséré un article R. 1111-9-1 ainsi rédigé :
« Art. R. 1111-9-1. – Lorsque l’activité d’hébergement de données de santé à caractère personnel sur support numérique définie aux articles R. 1111-8-8 et R. 1111-9 donne lieu à un stockage de ces données, il est mis en œuvre exclusivement sur le territoire d’un Etat membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen.
« Dans l’hypothèse où la prestation proposée par l’hébergeur ou l’un de ses sous-traitants implique un transfert, y compris un accès à distance, de données mentionnées au premier alinéa vers un pays qui n’est pas membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen, il peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers assure un niveau de protection adéquat dans les conditions prévues par l’article 45 du règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. En l’absence de décision prise en vertu de l’article 45, le responsable du traitement ou le sous-traitant peut toutefois transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale s’il a prévu les garanties appropriées mentionnées par l’article 46 de ce même règlement et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Dans cette dernière hypothèse, le contrat d’hébergement prévu au I de l’article L. 1111-8 mentionne l’absence de décision d’adéquation et décrit avec précision les garanties appropriées mises en place pour encadrer ce transfert ainsi que, le cas échéant, toute autre mesure permettant d’assurer un niveau de protection des données équivalent à celui garanti par le droit de l’Union Européenne. » ;
3° L’article R. 1111-11 est ainsi modifié :
- a) Au 4° du I, les mots : « de portabilité des données » sont remplacés par les mots : « d’accès, de rectification, d’effacement et de portabilité des données, ainsi que de limitation du traitement et d’opposition au traitement, lorsque ceux-ci sont applicables, dans les conditions prévues aux articles 15 à 21 du règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » ;
- b) Au 8° du I, après le mot : « hébergées », sont ajoutés les mots : « ainsi que, le cas échéant, les informations relatives à un éventuel transfert vers un pays tiers à l’Union européenne ou à l’Espace économique européen mentionnées au second alinéa de l’article R. 1111-9-1, y compris un accès à distance depuis un tel pays » ;
- c) Après le 14° du I, il est inséré un 15° ainsi rédigé :
- « 15° Si l’hébergeur ou l’un de ses sous-traitants est soumis à la législation d’un pays tiers qui n’est pas membre de l’Union européenne ou partie à l’espace économique européen, les mentions suivantes :
- « – la liste des réglementations extra-européennes en vertu desquelles l’hébergeur ou l’un de ses sous-traitants intervenant dans la prestation d’hébergement est tenu de permettre un transfert de données ou un accès non autorisé aux données de santé à caractère personnel, au sens de l’article 48 du même règlement ; si l’hébergeur n’est soumis à aucune législation d’un pays tiers lui imposant un transfert de données de santé à caractère personnel, il l’indique dans le contrat ;
- « – la décision d’adéquation prise en vertu de l’article 45 du règlement n°2016/679 du 27 avril 2016 ;
- « – en l’absence de décision d’adéquation, d’une part, les mesures mises en œuvre par l’hébergeur pour atténuer les risques de transfert de données ou d’accès non autorisé aux données de santé à caractère personnel induits par ces réglementations extra-européennes et, d’autre part, la description des risques résiduels de transfert de données à caractère personnel ou d’accès non autorisé à ces données malgré ces mesures. » ;
- d) Il est complété par un III ainsi rédigé : « III. – L’hébergeur rend publique et met à jour la cartographie des transferts des données de santé à caractère personnel vers le territoire d’un Etat qui n’est pas membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen, des accès distants éventuels à ces données et des risques d’accès non autorisés par le règlement (UE) du 27 avril 2016 mentionné au I, selon des modalités précisées dans le référentiel de certification mentionné au I de l’article R. 1111-10. »
- « Les articles R. 1111-8-8, R. 1111-10 et R. 1111-12 sont applicables dans les îles Wallis et Futuna et dans les Terres Australes dans leur rédaction issue du décret n°2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel.
- « Les articles R. 1111-9, R. 1111-9-1 et R. 1111-11 sont applicables dans les îles Wallis et Futuna dans leur rédaction issue du décret n°2026-209 du 24 mars 2026 portant modification de certaines dispositions du code de la santé publique relatives à l’hébergement de données de santé à caractère personnel, sous réserve de l’adaptation suivante : les références au règlement (UE) n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données sont remplacées par la mention des règles applicables en métropole en vertu de ce règlement. »
Le présent article est applicable à Wallis-et-Futuna.
Art. 4. – La ministre de la santé, des familles, de l’autonomie et des personnes handicapées et la ministre des outre-mer sont chargées, chacune en ce qui la concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait le 24 mars 2026.
Par le Premier ministre :
Sébastien Lecornu
La ministre de la santé, des familles, de l’autonomie et des personnes handicapées,
Stéphanie Rist
La ministre des outre-mer,
Naïma Moutchou
Source Légifrance