DélibérationEn vigueur

Délibération 2025-098 du 16 octobre 2025

Délibération n° 2025-098 du 16 octobre 2025 portant avis sur un projet de décret portant modification de certaines dispositions relatives à l'hébergement de données de santé à caractère personnel

Numéro	2025-098
Date	jeudi 16 octobre 2025
Nature	Délibération
Type d'acte	Avis
État	En vigueur
Référence	CNILTEXT000053722050

Résumé IA

La CNIL émet un avis favorable sur un projet de décret du Ministère du Travail, de la Santé, des Solidarités et des Familles concernant l'hébergement des données de santé. Ce projet renforce les obligations existantes, notamment en imposant l'hébergement physique des données exclusivement dans l'UE ou l'EEE et en précisant les informations obligatoires dans les contrats. La Commission salue ces mesures qui visent à accroître la transparence et la maîtrise des données face aux risques d'accès extra-européens.

Texte intégral

N° de demande d’avis : 25013418	Thématiques : hébergement de données de santé ; territorialité ; transferts
Organisme(s) à l’origine de la saisine : Ministère du Travail, de la Santé, des Solidarités et des Familles	Fondement de la saisine : article L. 1111-8 du code de la santé publique

L’essentiel :

1. Le projet de décret, pris en application des dispositions de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique et de l’article L. 1111-8 du code de la santé publique, précise les obligations pesant sur les hébergeurs de données de santé en matière de souveraineté.

2. La CNIL accueille favorablement le renforcement des exigences prévues par l'arrêté du 11 juin 2018 portant approbation du référentiel d'accréditation des organismes de certification et du référentiel de certification pour l'hébergement de données de santé à caractère personnel.

3.En outre, elle estime que l’actualisation des exigences réglementaires quant aux mentions du contrat d’hébergement constitue un apport bienvenu dans la perspective d’une plus grande transparence à l’égard des personnes concernées.

___________________

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés") ;

Vu le code de la santé publique, notamment son article L. 1111-8 ;

Sur la proposition de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique ("loi SREN") contient diverses dispositions visant à assurer la protection des données stratégiques et sensibles sur le marché de l'informatique en nuage.

En particulier, l’article 32 de la loi SREN modifie le IV de l’article L. 1111-8 du code de la santé publique, relatif aux conditions de l’hébergement des données de santé à caractère personnel, pour y intégrer des obligations en matière de souveraineté.

Ainsi, cet article prévoit des obligations pour l’hébergeur de données de santé quant à la territorialité de l’hébergement et quant au contenu du contrat d’hébergement, en particulier concernant les mesures prises face aux risques de transfert de ces données ou d'accès non autorisé à celles-ci par des Etats n’appartenant pas à l'Union européenne ou à l'Espace économique européen (ci-après "Etat tiers").

B. L’objet de la saisine

Le projet de décret soumis à la CNIL pour avis par le ministère du travail, de la santé, des solidarités et des familles (Délégation au numérique en santé) précise la portée des nouvelles obligations pesant sur les hébergeurs de données de santé.

A cette fin, le projet de décret prévoit :

L’obligation pour l’hébergeur de données de santé, le cas échéant ses sous-traitants, d’héberger les données de santé à caractère personnel exclusivement sur le territoire d'un Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen ;
Les fondements des transferts de données, au sens du chapitre V du RGPD, en cas d’accès à distance aux données de santé depuis un Etat tiers ;
Les informations devant figurer dans le contrat d’hébergement concernant les transferts résultant d’un accès à distance, les réglementations extra-européennes applicables qui impliqueraient un transfert de données à caractère personnel ou un accès non autorisé à ces données au sens de l’article 48 du RGPD, les mesures mises en œuvre pour atténuer les risques liés à ces transferts et les risques résiduels demeurant malgré ces mesures, ainsi que les modalités d’exercice des droits par les personnes concernées ;
L’obligation pour l’hébergeur de données de santé d’assurer la tenue à jour et la publicité de la cartographie des transferts de données de santé en dehors de l’Union européenne, des éventuels accès à distance à ces données et des risques d’accès non autorisé à ces données.

II. L’avis de la CNIL

A. Sur les apports du projet de décret par rapport à la réglementation en vigueur

De manière générale, le projet de décret reprend les exigences déjà prévues par l’arrêté du 11 juin 2018 tel que modifié par l’arrêté du 26 avril 2024 (ci-après "référentiel HDS"), en particulier les exigences n°28 à 31, qu’il complète en exigeant expressément l’insertion de certains éléments dans le contrat d’hébergement.

La CNIL accueille très favorablement ce renforcement des obligations prévues par le référentiel HDS, qui apparaît de nature à accroître la transparence vis-à-vis des personnes concernées ainsi qu’à renforcer la maîtrise des données de santé par les parties au contrat d’hébergement vis-à-vis du risque d’accès extra-européen.

B. Sur les dispositions relatives à la territorialité de l’hébergement des données de santé et au risque d’accès à distance

Le 2° de l’article 1er du projet de décret précise la portée des exigences de l’article L. 1111-8 du code de la santé publique relative à la territorialité de l’hébergement des données de santé. Ainsi, lorsque l’activité d’hébergement de données de santé implique leur stockage, il doit intervenir exclusivement sur le territoire d'un Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen, sans préjudice des cas d’accès à distance depuis un Etat tiers.

Le ministère a précisé que cette obligation n’a pas pour objet d’obliger les responsables de traitement de données de santé à caractère personnel d’héberger leurs traitements exclusivement sur des offres issues d’acteurs économiques européens, mais vise à les orienter vers des offres immunes de tout risque d’accès extra-européen.

Cet article prévoit également que, dans l'hypothèse où la prestation proposée par l’hébergeur ou l’un de ses sous-traitants impliquerait un accès à distance à ces données depuis un Etat tiers, cet accès doit nécessairement être fondé sur une décision d’adéquation de la Commission européenne ou, à défaut, sur l’une des garanties appropriées prévues par l’article 46 du RGPD.

La CNIL accueille favorablement ces obligations en ce qu’elles ont pour objet d’assurer une protection renforcée des données de santé vis-à-vis d’acteurs extra-européens, tant dans le cadre de la prestation principale de stockage des données que dans le cadre des accès nécessaires à cette prestation.

Concernant les exigences de souveraineté et d’immunité des données de santé par rapport aux lois extra-européennes, la CNIL réitère son soutien à l’objectif annoncé par le ministère de faire converger les exigences de la certification HDS avec celles prévues par la qualification SecNumCloud.

C. Sur les mentions devant figurer dans le contrat d’hébergement relatives à la souveraineté des données

Le 2° ainsi que les b) et c) du 3° de l’article 1er du projet de décret prévoient que le contrat d’hébergement de données de santé doit comporter :

Les informations relatives à l’encadrement des éventuels accès à distance aux données de santé depuis un Etat tiers, y compris le détail et la documentation des garanties appropriées, au sens de l’article 46 du RGPD, mises en place pour encadrer l’accès à distance en l’absence de décision d’adéquation, ainsi que les éventuelles autres mesures permettant d’assurer un niveau adéquat de protection des données ;
La liste des réglementations extra-européennes susceptibles d’entraîner un transfert ou un accès non autorisé aux données de santé, les mesures mises en œuvre pour atténuer les risques qu’un tel transfert ou accès se réalise ainsi que les risques résiduels demeurant malgré ces mesures ;
En l’absence de telles réglementations, une indication en ce sens ainsi que les justifications permettant d’en attester.

La CNIL accueille favorablement ces nouvelles mentions qui complètent et renforcent les exigences du référentiel HDS quant au contenu du contrat d’hébergement et permettent ainsi de garantir la maîtrise, par les parties au contrat, des différentes situations susceptibles de porter atteinte à la souveraineté des données.

D. Sur les droits des personnes

Le a) du 3° de l’article 1er du projet de décret prévoit que le contrat d’hébergement doit mentionner les modalités d’exercice des droits d’accès, de rectification, d’effacement et de portabilité des données, ainsi que de limitation du traitement et d’opposition au traitement lorsque ceux-ci sont applicables.

La CNIL accueille favorablement cette modification qui contribue à l’effectivité de l’exercice de leurs droits par les personnes concernées, en garantissant que les parties à la prestation d’hébergement des données de santé ont bien prévu les mesures appropriées pour permettre cet exercice.

Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis

Délibérations similaires

DélibérationAvis

Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie

L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.

19/03/2026

DélibérationDisposition interne CNIL

Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée

La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.

19/03/2026

DélibérationAvis

Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien

La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.

12/03/2026

DélibérationAvis

Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)

L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.

05/03/2026

← Retour aux délibérations Voir sur Légifrance →

N° de demande d’avis : 25013418	Thématiques : hébergement de données de santé ; territorialité ; transferts
Organisme(s) à l’origine de la saisine : Ministère du Travail, de la Santé, des Solidarités et des Familles	Fondement de la saisine : article L. 1111-8 du code de la santé publique

L’essentiel :

___________________

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés") ;

Vu le code de la santé publique, notamment son article L. 1111-8 ;

Sur la proposition de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

B. L’objet de la saisine

A cette fin, le projet de décret prévoit :

L’obligation pour l’hébergeur de données de santé, le cas échéant ses sous-traitants, d’héberger les données de santé à caractère personnel exclusivement sur le territoire d'un Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen ;
Les fondements des transferts de données, au sens du chapitre V du RGPD, en cas d’accès à distance aux données de santé depuis un Etat tiers ;
Les informations devant figurer dans le contrat d’hébergement concernant les transferts résultant d’un accès à distance, les réglementations extra-européennes applicables qui impliqueraient un transfert de données à caractère personnel ou un accès non autorisé à ces données au sens de l’article 48 du RGPD, les mesures mises en œuvre pour atténuer les risques liés à ces transferts et les risques résiduels demeurant malgré ces mesures, ainsi que les modalités d’exercice des droits par les personnes concernées ;
L’obligation pour l’hébergeur de données de santé d’assurer la tenue à jour et la publicité de la cartographie des transferts de données de santé en dehors de l’Union européenne, des éventuels accès à distance à ces données et des risques d’accès non autorisé à ces données.

II. L’avis de la CNIL

A. Sur les apports du projet de décret par rapport à la réglementation en vigueur

B. Sur les dispositions relatives à la territorialité de l’hébergement des données de santé et au risque d’accès à distance

C. Sur les mentions devant figurer dans le contrat d’hébergement relatives à la souveraineté des données

Le 2° ainsi que les b) et c) du 3° de l’article 1er du projet de décret prévoient que le contrat d’hébergement de données de santé doit comporter :

Les informations relatives à l’encadrement des éventuels accès à distance aux données de santé depuis un Etat tiers, y compris le détail et la documentation des garanties appropriées, au sens de l’article 46 du RGPD, mises en place pour encadrer l’accès à distance en l’absence de décision d’adéquation, ainsi que les éventuelles autres mesures permettant d’assurer un niveau adéquat de protection des données ;
La liste des réglementations extra-européennes susceptibles d’entraîner un transfert ou un accès non autorisé aux données de santé, les mesures mises en œuvre pour atténuer les risques qu’un tel transfert ou accès se réalise ainsi que les risques résiduels demeurant malgré ces mesures ;
En l’absence de telles réglementations, une indication en ce sens ainsi que les justifications permettant d’en attester.

D. Sur les droits des personnes

Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis