Le décret n°2026-209 du 24 mars 2026 s’inscrit dans le prolongement de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique qui a modifié l’article L.1111-8 du CSP (qui constitue le fondement juridique de l’hébergement des données de santé à caractère personnel).

Le décret consacre tout d’abord un principe de territorialisation du stockage des données de santé, en imposant que celui-ci soit réalisé exclusivement sur le territoire d’un Etat membre de l’UE ou partie à l’Espace économique européen. Cette exigence vise à limiter les risques d’ingérence ou d’accès par des législations extra-européennes.
Toutefois, le texte n’exclut pas totalement les transferts vers les Etats tiers. Il prévoit qu’un tel transfert, y compris sous la forme d’un accès à distance, demeure possible sous réserve du respect des conditions posées par le règlement (UE) 2016/679 RGPD. Ainsi, soit une décision d’adéquation adoptée par la Commission européenne doit exister (article 45), soit des garanties appropriées doivent être mises en place (article 46), accompagnées de droits opposables et de voies de recours effectives pour les personnes concernées. En l’absence de décision d’adéquation, le décret impose en outre une transparence accrue dans le contrat d’hébergement, qui doit détailler précisément les garanties mises en œuvre ainsi que les mesures complémentaires assurant un niveau de protection équivalent à celui du droit de l’Union.

Par ailleurs, le décret renforce de manière significative le contenu du contrat d’hébergement de données de santé. Celui-ci doit désormais inclure des informations complètes relatives :
- Aux droits des personnes concernées, en intégrant l’ensemble des droits reconnus par le RGPD (accès, rectification, effacement, portabilité, limitation et opposition) ;
- Aux éventuels transferts de données ou accès à distance depuis des Etats tiers ;
- Aux législations extra-européennes susceptibles d’imposer un accès aux données (notamment au sens de l’article 48 du RGPD) ;
- Aux mesures mises en œuvre pour atténuer ces risques ainsi qu’à l’identification des risques résiduels.

Le décret introduit également une obligation inédite de transparence à la charge des hébergeurs, en imposant la publication et la mise à jour d’une cartographie des transferts de données, des accès distants et des risques d’accès non autorisés par des Etats tiers. Cette exigence vise à renforcer la lisibilité et le contrôle des flux de données de santé. En outre, le texte précise certaines obligations techniques, notamment en matière de sauvegarde et d’archivage électronique des données et adapte les dispositions applicables à certains territoires ultramarins, en particulier Wallis-et-Futuna. Enfin, le décret prévoit une entrée en vigueur différée pour certaines dispositions structurantes (relatives notamment aux transferts et au contenu contractuel), fixée à 6 mois après sa publication, afin de permettre aux acteurs concernés de se mettre en conformité.