Données de santé : le décret HDS 2026 est publié et durcit les règles d'hébergement

Très attendu depuis l’adoption de la loi SREN en mai 2024, le décret n°2026-209 du 24 mars 2026 relatif à l’hébergement de données de santé à caractère personnel a été publié au Journal officiel le 26 mars 2026. Il traduit réglementairement les exigences du référentiel HDS v2.0 et renforce les garanties de souveraineté pour les données médicales des Français.

Un texte attendu depuis 18 mois

La loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (loi SREN) avait posé le principe d’un hébergement souverain des données sensibles de l’État. Son article 32 renvoyait à un décret d’application pour définir concrètement les obligations des hébergeurs de données de santé (HDS). Ce décret se faisait attendre : l’Agence du Numérique en Santé (ANS) avait annoncé lors d’un webinaire le 18 mars 2026 sa publication imminente « d’ici à la fin mars ».

La parution est désormais effective.

Trois nouvelles obligations clés

1. Stockage exclusivement dans l’Espace Économique Européen

Le décret crée un nouvel article R. 1111-9-1 du Code de la santé publique : tout hébergement physique de données de santé doit être réalisé exclusivement sur le territoire de l’Union européenne ou de l’EEE (UE + Norvège, Islande, Liechtenstein). Cette disposition vise à garantir que les données des patients français ne transitent pas, même partiellement, vers des serveurs situés hors de l’Europe.

2. Transparence contractuelle sur les risques d’accès distant

Lorsqu’un accès distant depuis un pays tiers à l’UE est techniquement inévitable (notamment pour la maintenance), l’hébergeur doit en informer explicitement ses clients dans le contrat, en précisant les risques et les mesures de protection mises en place. Cette obligation de transparence est directement inspirée des exigences du référentiel HDS v2.0.

3. Extension de la certification HDS à l’archivage électronique

L’article R. 1111-9 du CSP est modifié pour intégrer l’archivage électronique dans le périmètre des activités soumises à la certification HDS. Jusqu’ici, seul l’hébergement « actif » était concerné ; désormais, les services d’archivage de données de santé devront également se conformer aux exigences de sécurité et de certification.

Un calendrier serré pour les hébergeurs

Les hébergeurs déjà certifiés HDS disposaient de 24 mois à compter du 16 mai 2024 pour migrer vers la version 2.0 du référentiel, soit jusqu’au 16 mai 2026. En février 2026, l’ANS estimait que 64 % des hébergeurs avaient déjà effectué cette transition. Le décret vient consolider juridiquement ce référentiel et presse les 36 % restants à accélérer leur mise en conformité.

L’impact sur le Health Data Hub et les GAFAM

Ce décret renforce le cadre juridique pesant sur les acteurs non souverains — au premier rang desquels Microsoft Azure, qui héberge aujourd’hui les données du Health Data Hub (HDH). Si la décision du Conseil d’État du 20 mars 2026 avait validé le dispositif en vigueur, l’entrée en application pleine du décret consolide l’obligation de migration du HDH vers une infrastructure qualifiée SecNumCloud, dont la certification ne peut être obtenue par une entité soumise au droit extraterritorial américain (CLOUD Act).

Pour l’ensemble du secteur, ce texte dessine un cap clair : la souveraineté des données de santé n’est plus seulement une ambition politique, elle devient une contrainte réglementaire opérationnelle.

Sources

• Le décret sur l’hébergement des données de santé publié — TICsanté
• Le décret sur l’hébergement des données de santé sera publié fin mars — TICsanté
• Décret HDS 2026 : transferts et extraterritorialité — Le Coin du DPO
• Publication au JO du référentiel HDS — Agence du Numérique en Santé
• Évolution du cadre réglementaire HDS — DPO Partage