hébergement de données de santé à caractère personnel

Décret portant modification de certaines dispositions relatives à l’hébergement de données de santé à caractère personnel

Ce décret, pris en application de l’article 31 de la loi SREN, vise :

1) A préciser les obligations de souveraineté prévues au IV de l’article L.1111-8 du Code de la santé publique, en reprenant les exigences n° 28 à 31 du référentiel HDS notifié sous le numéro de notification 2023/0682/FR :
- Il impose que les données de santé soient hébergées exclusivement sur le territoire d’un État membre de l’Union européenne ou partie à l’Espace économique européen. En cas d’accès à distance depuis un pays tiers, cet accès doit être fondé sur une décision d’adéquation de la Commission européenne ou, à défaut, sur des garanties appropriées détaillées dans le contrat d’hébergement.
- Il introduit de nouvelles obligations contractuelles pour les hébergeurs, qui doivent informer leurs clients des réglementations extra-européennes susceptibles d’entraîner un transfert ou un accès non autorisé aux données, des mesures mises en place pour en limiter les effets, ainsi que des risques résiduels persistants.
- Une obligation de transparence est instaurée, imposant aux hébergeurs de rendre publique et de mettre à jour la cartographie des transferts de données vers des pays hors EEE et la description des risques d’accès non autorisés.
2) à mettre en conformité certaines dispositions de l'article R.1111-11 avec celles du RGPD :
- Sur le contenu de la clause contractuelle concernant les modalités d’exercice des droits des personnes concernées avec les droits effectivement prévus par le RGPD.
- Sur l'exigence 19, alignée avec le RGPD pour viser les droits des personnes tels que prévus dans le RGPD, à l’occasion de sa mise à jour en 2024.