Hébergement des données de santé : la CNIL valide un renforcement des exigences de souveraineté et de transparence

Publié le jeudi 07 mai 2026 à 16h10

Le projet de décret impose un hébergement des données de santé exclusivement dans l’UE/EEE et renforce les obligations contractuelles sur les transferts et les accès à distance, avec une exigence accrue de transparence vis-à-vis des patients.

Hébergement des données de santé : la CNIL valide un renforcement des exigences de souveraineté et de transparence

Un cadre renforcé par la loi SREN

Saisie par le ministère du Travail, de la Santé, des Solidarités et des Familles, la Commission nationale de l’informatique et des libertés (CNIL) s’est prononcée sur un projet de décret visant à préciser les obligations applicables aux hébergeurs de données de santé à caractère personnel.

Ce texte s’inscrit dans le prolongement de la loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (SREN), qui introduit des exigences nouvelles en matière de souveraineté des données de santé dans l’article L.1111-8 du code de la santé publique.

Le projet de décret vient en préciser la mise en œuvre opérationnelle, en particulier sur la territorialité de l’hébergement, les conditions de transfert et le contenu des contrats liant les acteurs.

Hébergement européen et encadrement des accès à distance

Le texte pose une obligation explicite : les données de santé doivent être hébergées exclusivement sur le territoire de l’Union européenne ou de l’Espace économique européen.

Cette exigence concerne le stockage des données, mais admet des accès à distance depuis des États tiers sous conditions strictes. Ces accès doivent reposer soit sur une décision d’adéquation de la Commission européenne, soit sur des garanties appropriées au sens du RGPD.

L’objectif affiché n’est pas d’imposer le recours à des acteurs européens, mais de garantir une immunité face aux législations extra-européennes susceptibles d’imposer un accès aux données.

La CNIL soutient cette orientation, qui vise à limiter les risques d’accès non autorisé par des autorités étrangères.

Transparence accrue dans les contrats d’hébergement

Le projet de décret introduit de nouvelles mentions obligatoires dans les contrats d’hébergement. Ceux-ci devront désormais détailler :

les conditions d’accès à distance depuis des États tiers et les garanties associées ;
les réglementations extra-européennes susceptibles d’impliquer un transfert ou un accès aux données ;
les mesures mises en œuvre pour limiter ces risques ainsi que les risques résiduels ;
l’absence éventuelle de telles réglementations, avec les éléments justificatifs.

Pour la CNIL, ces obligations renforcent la maîtrise des risques par les parties contractantes et améliorent la lisibilité pour les personnes concernées.

Cartographie des transferts et obligations de publicité

Le texte prévoit également que les hébergeurs tiennent à jour une cartographie des transferts de données hors UE, des accès à distance et des risques associés.

Cette cartographie devra être rendue publique, introduisant une logique de transparence proactive sur les flux de données de santé.

Droits des patients explicitement intégrés

Le projet impose que les contrats précisent les modalités d’exercice des droits des personnes : accès, rectification, effacement, portabilité, limitation et opposition lorsque applicable.

Cette évolution vise à garantir que les dispositifs d’hébergement intègrent concrètement les exigences du RGPD dans leur fonctionnement opérationnel.

Vers une convergence avec SecNumCloud

Le texte s’inscrit dans une dynamique plus large de convergence entre le référentiel d’hébergement des données de santé (HDS) et les standards de sécurité du cloud, notamment la qualification SecNumCloud.

La CNIL soutient cet objectif, qui vise à renforcer la protection contre les ingérences extra-européennes et à structurer une offre d’hébergement conforme aux exigences de souveraineté.

Une consolidation du cadre existant

De manière générale, la CNIL considère que le projet de décret prolonge et renforce les exigences déjà prévues par le référentiel HDS, notamment celles introduites par les évolutions de 2024.

Elle souligne que ces nouvelles dispositions apportent davantage de transparence et contribuent à une meilleure maîtrise des risques liés aux transferts de données de santé.

Les autres dispositions du texte n’appellent pas d’observations particulières de l’autorité.

Journal officiel de la République française – N° 73 du 26 mars 2026

FermerPlease login

No account yet? Register

Data : un nouveau décret pour renforcer la sécurité de l'hébergement des données de santé (2026-209)

Publié le 01/04/2026

Bilan 2024 des mesures correctrices de la Cnil : de nombreuses sanctions et mises en demeure prises pour protéger les données de santé

Publié le 10/02/2025

"Nous demandons que des solutions déconcentrées soient recherchées" : un collectif prépare un recours contre l'hébergement du projet Darwin EU par Microsoft

Publié le 10/04/2025

Renforcer la souveraineté numérique à l’échelle mondiale... la Cnil dévoile sa stratégie européenne et internationale 2025-2028

Publié le 28/04/2025