Données de santé : une nouvelle obligation de transparence imposée par la France

Désormais, lorsqu’un hébergeur de données en charge des données de santé de patient⸱es français⸱e décidera de transférer ces données hors de l'EEE (Espace Economique Européen) vers un pays tiers jugé sûr, il devra publier et tenir à jour une cartographie de ce transfert (selon le nouvel article R.1111-11 du code de la santé publique).

Ainsi, l’hébergeur sera tenu de publier les pays tiers concernés, les éventuels accès aux données effectués à distance depuis ces pays et les risques d'accès non autorisés. C’est une première : cette exigence de transparence résulte d’un décret du législateur français (décret n° 2026-209 du 24 mars 2026). Elle s’ajoute à d’autres conditions à remplir (par exemple informer les client⸱es recourant à l'hébergeur des risques de transfert de données à caractère personnel, ou d’un accès non autorisé à celles-ci par des législations extra européennes) avant de procéder à un transfert vers un pays tiers.

Quant à son application, si le décret instaurant cette exigence est entré en vigueur le 27 mars 2026, les détails concernant la cartographie n’ont pas encore été publiés. Ils le seront lorsque le cadre réglementaire («  référentiel de certification  ») sera mis à jour - l’Agence de la santé numérique en est chargée. Un arrêté ministériel devra ensuite l’approuver.

Le public comme les hébergeurs de données auront alors une meilleure vue d’ensemble de cette nouvelle obligation de communication à laquelle se conformer. Pour le moment, aucun calendrier de travail n'a été communiqué, mais le projet de révision du référentiel est déjà soumis à consultation publique.

Références

• Legifrance

  Décret n° 2026-209 du 24 mars 2026 portant modification de certaines dispositions du code de la santé publique relatives à l'hébergement de données de santé à caractère personnel

• Agence du numérique en santé

  Référentiel de certification Hébergeur de données de santé (HDS)