45 000 euros d'amende et trois ans d'emprisonnement : c'est la sanction pénale prévue par le Code de la santé publique pour tout hébergement de données de santé confié à un prestataire non certifié (obligation posée à l'article L.1111-8, sanction pénale à l'article L.1115-1). Le décret n°2026-209 du 24 mars 2026, publié au Journal officiel le 26 mars, fixe une date butoir : les nouvelles obligations de localisation des données dans l'EEE, de transparence contractuelle et de traçabilité des accès depuis des pays tiers entrent en vigueur le 27 septembre 2026, soit six mois après la publication. Ce que la plupart des titulaires ignorent encore : leur LGO, leur solution de sauvegarde cloud, leur messagerie sécurisée et leurs outils de télésoin sont tous concernés, et la responsabilité de vérification repose sur eux, en tant que responsables de traitement.
Un décret issu de la loi SREN, trois obligations nouvelles au 27 septembre 2026
Le texte est pris en application de l'article 32 de la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi SREN). Il ne crée pas de nouvelles sanctions pénales : il verrouille contractuellement et géographiquement ce qui était déjà largement porté par le référentiel de certification HDS. Le décret est entré en vigueur le 27 mars 2026, mais ses trois dispositions structurantes s'appliquent à partir du 27 septembre 2026.
Première obligation : la localisation du stockage. Le nouvel article R.1111-9-1 du Code de la santé publique impose que tout stockage de données de santé soit réalisé exclusivement dans l'Union européenne ou dans l'Espace économique européen (UE + Norvège, Islande, Liechtenstein). Les transferts ou accès à distance depuis un pays tiers restent possibles, mais uniquement dans les conditions du RGPD (décision d'adéquation au sens de l'article 45, ou garanties appropriées au sens de l'article 46). Un LGO en mode SaaS hébergé sur des serveurs AWS en Virginie, ou une sauvegarde synchronisée sur Microsoft OneDrive sans région EEE configurée : les deux situations sont désormais hors conformité. En février 2026, l'Agence du Numérique en Santé (ANS) estimait que 36 % des hébergeurs certifiés HDS n'avaient pas encore migré vers le référentiel v2 (ANS, février 2026).
Deuxième obligation : le contrat HDS mis à jour. L'article R.1111-11 du Code de la santé publique, modifié par le décret, impose que le contrat d'hébergement précise explicitement les droits RGPD applicables, les informations relatives à tout transfert ou accès à distance depuis un pays tiers, et, si l'hébergeur est soumis à une loi extraterritoriale (Cloud Act américain, loi chinoise sur la sécurité des données), la liste des réglementations concernées, la décision d'adéquation éventuelle, les mesures d'atténuation et les risques résiduels. Sans avenant signé, le contrat en cours ne suffit plus.
Troisième obligation : la traçabilité des accès depuis l'étranger. Lorsqu'un accès à distance depuis un pays tiers est techniquement inévitable, notamment pour la maintenance applicative, l'hébergeur doit en informer le titulaire et documenter les garanties mises en place. Un technicien basé en Inde ou en Floride qui se connecte au serveur hébergeant les dossiers pharmaceutiques de vos patients doit être tracé et contractuellement encadré.
Pourquoi le référentiel HDS v2 change la donne pour les éditeurs de LGO
Depuis le 16 mai 2026, tous les hébergeurs certifiés sous l'ancien référentiel v1.1 de 2018 auraient dû avoir migré vers le référentiel HDS v2 (arrêté du 26 avril 2024, JO du 16 mai 2024). La période de transition, fixée à 24 mois, est close. Passée cette date, un hébergeur certifié uniquement en v1.1 n'est plus considéré comme conforme pour héberger légalement des données de santé pour le compte de tiers.
Le référentiel v2 introduit plusieurs ruptures de fond. Il s'aligne sur la norme ISO 27001:2022, intègre des événements prédéfinis dans l'analyse des risques et, surtout, clarifie l'activité 5 : l'administration et l'exploitation du système d'information. Cette clarification est directement pertinente pour les titulaires : dès qu'un technicien de l'éditeur accède à l'environnement contenant des données de santé pour assurer le support ou la maintenance, il exerce l'activité 5, soumise à certification HDS v2 (référentiel ANS, 2024). Un éditeur de LGO non certifié pour l'activité 5 expose le titulaire, même si l'hébergeur cloud sous-jacent est certifié pour les activités 1 à 4.
Le référentiel v2 impose également une clause de réversibilité dans chaque contrat, précisant les modalités de calcul des coûts et délais pour la restitution des copies de données. En cas de résiliation ou de défaillance de votre éditeur, vous devez pouvoir récupérer vos données dans des conditions et délais contractuellement définis.
Résultat concret : il ne suffit pas de vérifier si votre éditeur est « certifié HDS ». Il faut vérifier la version du certificat (v2, pas v1.1), les activités couvertes (en particulier l'activité 5) et la date de validité. La liste officielle est consultable sur l'annuaire de l'ANS (esante.gouv.fr).
| Outil ou service | Obligation HDS v2 | Point de vérification clé | Risque si non conforme |
|---|---|---|---|
| LGO (LGPI, Winpharma, LEO, Smart-RX, Crystal...) | Oui : activités 4 et 5 minimum | Activité 5 couverte dans le certificat v2 | Infraction art. L.1111-8 CSP |
| Sauvegarde cloud externalisée | Oui : archivage désormais explicitement inclus (art. R.1111-9 modifié) | Région datacenter dans l'EEE | Non-conformité au décret n°2026-209 |
| Messagerie MSSanté / télésoin | Oui si données de santé identifiantes transférées | Opérateur certifié HDS v2 | Violation RGPD et art. L.1111-8 CSP |
| Concentrateur de tiers payant | Oui | Addendum HDS signé + localisation EEE | Chaîne de sous-traitance non maîtrisée |
| Outil de bilans de médication / entretiens | Oui si hébergement externe | Certification HDS v2 de l'éditeur | Infraction art. L.1111-8 CSP |
| Sources : décret n°2026-209 du 24 mars 2026 (Légifrance) ; référentiel HDS v2 (ANS, arrêté du 26 avril 2024) ; Le Moniteur des Pharmacies, mars 2026. | |||
Le contexte : la santé, troisième secteur le plus cyberattaqué en France
Ce durcissement réglementaire intervient dans un contexte de menace concrète. Dans son Panorama de la cybermenace 2025, publié le 11 mars 2026, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) place le secteur de la santé au troisième rang des secteurs les plus touchés en France, concentrant 10 % des 1 366 incidents traités (ANSSI, mars 2026). La Commission nationale de l'informatique et des libertés (CNIL) a enregistré 6 167 violations de données en 2025, soit une hausse de 9,5 % sur un an et près de 50 % de plus qu'en 2022 (CNIL, bilan annuel 2025). Le premier trimestre 2026 confirme la tendance : plus de 2 730 violations signalées entre janvier et mars 2026, contre 2 500 sur la même période l'an dernier.
Pour les officines, le risque est tangible. Une pharmacie martiniquaise, la pharmacie des Alizés, a subi en octobre 2025 une cyberattaque ayant exfiltré 80 gigaoctets de données avec une demande de rançon de 50 000 euros (Le Moniteur des Pharmacies, décembre 2025). La CNIL, qui a prononcé 83 sanctions pour un montant total record de 486,8 millions d'euros en 2025, contre 55,2 millions en 2024, annonce un renforcement de ses contrôles en matière de cybersécurité, dont les acteurs de la santé font partie des cibles prioritaires. En cas de violation déclarée, le risque commercial est également documenté : une officine peut perdre jusqu'à 8 % de sa clientèle selon les estimations de spécialistes en cybersécurité (Le Moniteur des Pharmacies, décembre 2025).
"Ces outils permettent désormais d'automatiser, d'industrialiser et de personnaliser les attaques informatiques, notamment les campagnes de phishing."
Ce que vous devez faire, et dans quel ordre
Action 1 : Dresser l'inventaire de vos prestataires numériques avant le 30 juin 2026
Listez chaque outil externe qui traite ou héberge des données de santé de vos patients : LGO, sauvegarde cloud, messagerie, télésoin, concentrateur de tiers payant, outil de bilans de médication. Pour chaque prestataire, demandez par écrit : le certificat HDS v2 en cours de validité, les activités certifiées (en particulier l'activité 5 pour les éditeurs), la localisation exacte du datacenter principal et des datacenters de sauvegarde (pays, région), l'existence d'un addendum HDS ou d'un avenant contractuel intégrant les nouvelles clauses du décret du 24 mars 2026. Un prestataire qui ne peut pas répondre à ces quatre questions dans les quinze jours est un signal d'alerte à traiter immédiatement. Vérifiez les certifications sur l'annuaire officiel de l'ANS (esante.gouv.fr).
Action 2 : Mettre à jour ou faire signer les avenants contractuels avant le 15 septembre 2026
Un hébergeur certifié HDS v2 dont le contrat ne mentionne pas les nouvelles clauses du décret n°2026-209 reste une situation de non-conformité contractuelle. Demandez à chaque prestataire concerné un avenant ou une version actualisée du contrat HDS qui inclut : la localisation EEE du stockage, les modalités d'accès depuis des pays tiers et les garanties associées, la liste des sous-traitants et leur propre certification, la clause de réversibilité du référentiel HDS v2 précisant les délais et coûts de restitution des données. Conservez une copie signée de chaque contrat dans un registre dédié. PharmaPex intègre une checklist de conformité en 7 points téléchargeable, adaptée à chaque type d'outil officinal, pour structurer ces échanges avec vos prestataires sans compétence technique requise.
Action 3 : Surveiller l'annuaire ANS et les renouvellements de certification de vos éditeurs
La certification HDS v2 est délivrée pour trois ans avec un audit de surveillance annuel. Un éditeur certifié aujourd'hui peut perdre sa certification dans douze mois si l'audit de surveillance échoue. Paramétrez une alerte annuelle pour vérifier, sur l'annuaire ANS, que la certification de chaque prestataire critique est toujours active et porte bien sur les activités couvertes. L'indicateur à suivre : la date d'expiration du certificat et le statut « actif » de chaque prestataire dans l'annuaire officiel.