Détails de la notification | TRIS

Décret portant modification de certaines dispositions relatives à l’hébergement de données de santé à caractère personnel

Numéro de notification:

2025/0708/FR (France)

Date de réception:

25/11/2025

Fin de la période de statu quo:

26/02/2026

Texte de projet:

FR BG HR CS DA NL EN ET FI GA DE EL HU IT LV LT MT PL PT RO SK SL ES SV

Cliquez ici pour une version imprimable de cette page

Message

Message 001

Communication de la Commission - TRIS/(2025) 3364

Directive (UE) 2015/1535

Notification: 2025/0708/FR

Notification d’un projet de texte d’un État membre

Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt

Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna

MSG: 20253364.FR

1. MSG 001 IND 2025 0708 FR FR 25-11-2025 FR NOTIF

2. France

3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13

3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS

4. 2025/0708/FR - SERV - Services de la société de l’information

5. Décret portant modification de certaines dispositions relatives à l’hébergement de données de santé à caractère personnel

6. hébergement de données de santé à caractère personnel

7.

8. Ce décret, pris en application de l’article 31 de la loi SREN, vise :

1) A préciser les obligations de souveraineté prévues au IV de l’article L.1111-8 du Code de la santé publique, en reprenant les exigences n° 28 à 31 du référentiel HDS notifié sous le numéro de notification 2023/0682/FR :

- Il impose que les données de santé soient hébergées exclusivement sur le territoire d’un État membre de l’Union européenne ou partie à l’Espace économique européen. En cas d’accès à distance depuis un pays tiers, cet accès doit être fondé sur une décision d’adéquation de la Commission européenne ou, à défaut, sur des garanties appropriées détaillées dans le contrat d’hébergement.

- Il introduit de nouvelles obligations contractuelles pour les hébergeurs, qui doivent informer leurs clients des réglementations extra-européennes susceptibles d’entraîner un transfert ou un accès non autorisé aux données, des mesures mises en place pour en limiter les effets, ainsi que des risques résiduels persistants.

- Une obligation de transparence est instaurée, imposant aux hébergeurs de rendre publique et de mettre à jour la cartographie des transferts de données vers des pays hors EEE et la description des risques d’accès non autorisés.

2) à mettre en conformité certaines dispositions de l'article R.1111-11 avec celles du RGPD :

- Sur le contenu de la clause contractuelle concernant les modalités d’exercice des droits des personnes concernées avec les droits effectivement prévus par le RGPD.

- Sur l'exigence 19, alignée avec le RGPD pour viser les droits des personnes tels que prévus dans le RGPD, à l’occasion de sa mise à jour en 2024.

9. L’article 32 de la loi SREN modifie le IV de l’article L.1111-8 du code de la santé publique (CSP) en ajoutant des nouvelles obligations en matière de souveraineté des données à respecter pour les hébergeurs de données de santé à caractère personnel en prévoyant, d’une part, l’obligation de stocker les données dans l’UE et, d’autre part, en prévoyant de nouvelles stipulations qui doivent figurer dans le contrat conclu entre l’hébergeur et son client face aux risques de transfert de données à caractère personnel ou d’accès non autorisé à celles-ci par des législations extra européennes.

Le contenu de ces obligations et stipulations contractuelles doit désormais être précisé par décret en Conseil d’Etat.

L’article 32 de la loi SREN prévoit également que l’hébergement de données de santé dans le cadre d’un service d’archivage électronique est désormais soumis à l’obligation de certification « hébergeur de données de santé » (HDS), en plus d’être agréé par le ministre de la culture. Cette modification de la loi n’implique pas de modification au niveau réglementaire, hormis la précision selon laquelle l’activité d’hébergement correspondant à la “sauvegarde des données de santé” inclut l’activité d’« archivage électronique » .

Le projet notifié est conforme à la réglementation européenne en matière de données à caractère personnel, notamment le règlement (UE) 2025/327 relatif à l’espace européen des données de santé (EEDS). En particulier l’obligation pour les hébergeurs de données de santé la localisation des données physiques sur le territoire de l’UE ou de l’EEE est conforme à l’article 86 du règlement EEDS qui confère expressément aux Etats membres la possibilité de limiter la conservation des données de santé au territoire de l’UE. D’autre part, la soumission de l’accès à distance aux données depuis un pays tiers par l’hébergeur ou l’un de ses sous-traitants à une décision d’adéquation de la Commission en vertu de l’article 46 du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est conforme à l’article 90 du règlement EEDS qui confère aux Etats membres la possibilité de maintenir ou introduire d’autres conditions relatives à l’accès international aux données de santé. Enfin, l’obligation de faire figurer, en l’absence d’une décision d’adéquation de la Commission, dans le contrat de prestation d’hébergement les mesures prises face aux risques de transfert ou d'accès non autorisé de ces données par des Etats tiers à l'UE ou à l'EEE est aussi conforme à l’article 90 du règlement EEDS qui confère aux Etats membres la possibilité de soustraire le transfert des données personnelles à des conditions supplémentaires de protection.

10. Références aux textes de référence: 2023/0682/FR,2017/0343/F

Les textes de référence doivent être envoyés dans le cadre de précédente notification:
2023/0682/FR
2017/0343/F

11. Non

12.

13. Non

14. Non

15. Non

16.
Aspect OTC: Non

Aspects SPS: Non

**********
Commission européenne
Point de contact Directive (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu

Disclosed messages

message-id	Année	Numéro	Pays	Type	Title	Date de réception	Is answer to

Langues

Contributions des parties concernées

Le site Web TRIS vous permet, à vous et à votre organisation, de partager facilement vos points de vue sur une notification donnée.

En raison du statut de la notification ou de la fin du statu quo, nous n’acceptons actuellement aucune autre contribution pour cette notification via le portail Internet.

Aucune contribution trouv�e pour cette notification