Data : un nouveau décret pour renforcer la sécurité de l’hébergement des données de santé (2026-209)

Publié le mercredi 01 avril 2026 à 17h13

La France fait évoluer le cadre réglementaire de l’hébergement des données de santé à caractère personnel, en adaptant le Code de la santé publique aux nouveaux enjeux de sécurité, de souveraineté et de conformité concernant le cloud et la réglementation numérique. Ce texte s’inscrit dans la continuité du référentiel "HDS" qui vise à garantir un haut niveau de protection pour les données de santé.

Un ajustement du cadre HDS dans un contexte de montée des exigences

Le décret modifie plusieurs dispositions réglementaires relatives à l’hébergement des données de santé, en cohérence avec les évolutions récentes du référentiel HDS et des exigences européennes.

Historiquement, ce cadre repose sur une obligation structurante : toute donnée de santé externalisée doit être hébergée par un acteur certifié, garantissant des standards élevés en matière de sécurité, de traçabilité et de gestion des accès. Le nouveau décret vient préciser et compléter ce cadre, dans un contexte marqué par :

• la montée en puissance des architectures cloud,
• les enjeux de souveraineté numérique,
• et l’intensification des risques cyber sur les systèmes de santé.

Une clarification des périmètres et des responsabilités :

L’un des apports du décret réside dans la clarification du périmètre des activités relevant de l’hébergement de données de santé. Cela concerne notamment les situations où des acteurs manipulent ou stockent des données pour le compte de tiers, y compris dans des architectures techniques plus complexes (cloud, infogérance, archivage).

Le texte renforce également la lisibilité des responsabilités entre les responsables de traitement (établissements, éditeurs, professionnels de santé) et les hébergeurs certifiés, qui doivent répondre à des exigences précises en matière de sécurité et de conformité. Cette clarification répond à un enjeu opérationnel majeur : sécuriser les chaînes de traitement de données de plus en plus distribuées dans l’écosystème numérique en santé.

Une convergence avec les exigences de souveraineté et de sécurité

Le décret s’inscrit dans une trajectoire plus large de renforcement des exigences autour de l’hébergement des données sensibles. Le référentiel HDS a été significativement renforcé depuis 2023, avec un alignement sur les standards ISO, un encadrement accru des architectures cloud et de la sous-traitance, ainsi qu’un renforcement des exigences opérationnelles en matière de sécurité et de résilience.

Par exemple, les nouvelles exigences introduisent des garanties renforcées concernant l’hébergement au sein de l’Espace économique européen, afin de mieux protéger les données contre les risques d’accès extra-territorial.

Ce mouvement traduit une volonté des pouvoirs publics de mieux articuler cybersécurité, souveraineté et conformité réglementaire, dans un contexte de dépendance accrue aux infrastructures cloud.

Un signal pour l’ensemble des acteurs du numérique en santé :

Au-delà des ajustements juridiques, ce décret envoie un signal structurant à l’ensemble des acteurs du numérique en santé :

• pour les éditeurs, les industriels et les établissements, il confirme que l’hébergement des données de santé n’est plus seulement une contrainte réglementaire, mais un élément central de la confiance numérique ;
• pour les hébergeurs, il renforce la nécessité de s’aligner sur des standards élevés, dans un marché de plus en plus concurrentiel et stratégique ;
• pour les pouvoirs publics, il marque une étape supplémentaire dans la construction d’un cadre cohérent, capable de soutenir le développement des usages numériques tout en garantissant la protection des données de santé.

Dans un contexte de généralisation des données et de l’intelligence artificielle en santé, l’enjeu est désormais de faire du cadre HDS un socle robuste pour l’innovation, sans compromis sur la sécurité et la confiance.