Le décret n° 2026-209 du 24 mars 2026, publié au Journal officiel du 26 mars, modifie les dispositions du code de la santé publique relatives à l’hébergement des données de santé à caractère personnel. Pris en application de l’article 32 de la loi SREN (n° 2024-449 du 21 mai 2024), ce texte inscrit dans la réglementation des obligations renforcées en matière de souveraineté numérique. Pour les directeurs d’EHPAD et les IDEC, ce décret n’est pas qu’un sujet technique : il engage directement la responsabilité de l’établissement sur la protection des données de ses résidents.

1. Ce que prévoit le décret : souveraineté et territorialité des données de santé

Le décret du 24 mars 2026 vient préciser les conditions d’hébergement des données de santé prévues à l’article L. 1111-8 du code de la santé publique, modifié par la loi SREN. Les trois axes principaux sont les suivants.

Hébergement exclusif dans l’Espace économique européen

L’ensemble des données de santé à caractère personnel doit désormais être hébergé physiquement sur le territoire d’un État membre de l’Union européenne ou de l’Espace économique européen (EEE). Aucun stockage, même partiel ou temporaire, ne peut être réalisé sur des serveurs situés hors de cet espace. Cette disposition vise à neutraliser les risques liés au Cloud Act américain et aux législations extraterritoriales équivalentes.

Obligations contractuelles renforcées

Le contrat d’hébergement entre un établissement et son prestataire certifié HDS (Hébergeur de Données de Santé) doit désormais mentionner explicitement :

• La localisation précise des centres de données utilisés
• Les mesures prises face aux risques de transfert vers des États tiers
• Les garanties contre tout accès non autorisé par une autorité étrangère à l’UE/EEE
• Les procédures de notification en cas d’incident de sécurité

La CNIL, dans sa délibération n° 2025-098 du 16 octobre 2025, a accueilli favorablement ces nouvelles obligations contractuelles, estimant qu’elles renforcent la transparence vis-à-vis des personnes concernées.

Articulation avec la certification HDS v2

Ce décret s’inscrit dans le prolongement du nouveau référentiel HDS v2, publié au Journal officiel le 16 mai 2024. Tous les hébergeurs certifiés HDS devront migrer vers ce référentiel au plus tard le 16 mai 2026. Le référentiel v2 intègre les exigences de la norme ISO 27001:2022, renforce les contrôles sur les prestataires soumis à des lois extra-européennes et précise l’articulation avec la qualification SecNumCloud délivrée par l’ANSSI.

2. Impact concret pour les EHPAD : qui est concerné et que vérifier

Tout EHPAD qui externalise l’hébergement de données de santé de ses résidents — c’est-à-dire la quasi-totalité des établissements équipés d’un Dossier Usager Informatisé (DUI) — est directement concerné par ce décret.

Vérifier la certification HDS de votre éditeur

Le prestataire qui héberge votre DUI (NetSoins, Titan, Livia, Easily, Teranga ou autre) doit disposer d’une certification HDS en cours de validité. L’Agence du Numérique en Santé (ANS) publie la liste officielle des hébergeurs certifiés. Depuis le référentiel v2, cette certification impose que les données soient hébergées dans l’EEE.

En cas de non-conformité, les sanctions sont lourdes : jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros d’amende au titre du RGPD, auxquels s’ajoutent des sanctions de l’ARS et des poursuites pénales pour violation du secret médical (1 an d’emprisonnement, 15 000 euros d’amende). La responsabilité juridique du directeur peut être directement engagée.

L’exception de l’hébergement interne

Un EHPAD qui héberge ses données exclusivement en interne (serveur local, sans externalisation) n’est pas soumis à l’obligation de recourir à un hébergeur certifié HDS. En revanche, il reste tenu d’assurer la conformité de son système d’information aux exigences du RGPD, de la PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé) et du RGS. La désignation d’un DPO (Délégué à la Protection des Données) et la mise en place d’une politique de cybersécurité restent obligatoires — un point détaillé dans notre guide Dix étapes clés pour aligner votre EHPAD avec le RGPD.

La question des applications connexes

Au-delà du DUI, d’autres outils numériques utilisés en EHPAD manipulent des données de santé : applications de coordination des soins, logiciels de gestion des médicaments, plateformes de télémédecine. Chacun de ces outils doit être hébergé chez un prestataire certifié HDS dès lors qu’il traite des données de santé à caractère personnel.

3. Contexte : une convergence réglementaire sans précédent en mars 2026

Ce décret ne survient pas isolément. Il s’inscrit dans un mouvement de fond qui fait de mars 2026 un tournant pour le numérique en santé.

Partenariat CNIL-HAS du 10 mars 2026

Le 10 mars 2026, la CNIL et la HAS ont signé une convention de partenariat pour renforcer les bonnes pratiques numériques dans le secteur sanitaire, social et médico-social. Ce partenariat prévoit notamment une recommandation commune sur l’intelligence artificielle en santé attendue au 2e trimestre 2026, précisant le cadre RGPD et le Règlement européen sur l’IA (AI Act). Pour les EHPAD qui déploient des solutions d’intelligence artificielle en gériatrie, cette recommandation sera un cadre de référence incontournable.

Migration souveraine du Health Data Hub

Le Gouvernement a confirmé début 2026 sa nouvelle doctrine : la Plateforme des données de santé (ex-Health Data Hub) abandonne définitivement Microsoft Azure pour un hébergeur qualifié SecNumCloud. L’attribution du marché est prévue fin mars 2026, avec l’objectif d’une copie complète du Système national des données de santé (SNDS) d’ici fin 2026. Ce signal politique fort confirme l’orientation vers une souveraineté numérique stricte en santé.

Sanctions numériques renforcées

Le décret n° 2026-153 du 3 mars 2026 a par ailleurs instauré un nouveau régime de sanctions financières pour les services numériques en santé non conformes. Les EHPAD engagés dans le programme ESMS numérique doivent donc doublement s’assurer de la conformité de leurs prestataires.

4. Plan d’action pour les directeurs d’EHPAD : 5 étapes immédiates

Face à ces évolutions, voici les actions prioritaires à engager dès maintenant.

1. Auditer vos contrats d’hébergement. Demandez à votre éditeur de DUI et à vos autres prestataires numériques une attestation de certification HDS conforme au référentiel v2. Vérifiez que le contrat mentionne explicitement la localisation des données dans l’EEE et les mesures contre les accès extra-européens.

2. Consulter la liste ANS. Rendez-vous sur le site de l’Agence du Numérique en Santé pour vérifier que votre hébergeur figure bien sur la liste officielle des hébergeurs certifiés HDS.

3. Mettre à jour votre registre des traitements. Le RGPD impose un registre documentant chaque traitement de données personnelles. Intégrez les nouvelles clauses contractuelles et la localisation exacte des serveurs. Notre article sur la cybersécurité en EHPAD détaille les bonnes pratiques de documentation.

4. Sensibiliser vos équipes. Le maillon humain reste le premier facteur de risque. Organisez une session de sensibilisation pour vos équipes soignantes et administratives sur la protection des données de santé. La formation à la protection des données fait partie des obligations de l’établissement.

5. Anticiper l’évaluation HAS. Le référentiel d’évaluation HAS intègre la conformité numérique dans ses critères. Un EHPAD dont le prestataire n’est pas certifié HDS s’expose à une non-conformité lors de l’audit. Documentez vos actions de mise en conformité pour constituer un dossier de preuve solide.

Ressource expert recommandée Bibliothèque

Pack BIBLIOTHÈQUE COMPLÈTE — 23 Guides Pratiques EHPAD 2026

La bibliothèque complète des guides pratiques EHPAD : 23 références 2026.

• 23 guides PDF 2026
• Tous métiers + tous piliers HAS
• Économie 57% vs unitaire

149,00 € TTC Voir la bibliothèque