HDS en Nouvelle-Calédonie

Le HDS face au droit calédonien : compétence santé locale, L.1541-3 et RGPD.

Mis à jour le 24 juin 2026 · sources officielles citées en bas de page

Longtemps marquée par l’incertitude — le dispositif HDS national ne s’appliquant pas de plein droit sur le territoire —, la question de l’hébergement des données de santé en Nouvelle-Calédonie a connu un tournant en 2026 : la collectivité a créé un régime d’agrément local. Décryptage, avec les références exactes.

La santé, une compétence de la Nouvelle-Calédonie

En Nouvelle-Calédonie, la santé relève de la collectivité, et non de l’État. L’article 22 de la loi organique n° 99-209 du 19 mars 1999 range parmi les compétences de la Nouvelle-Calédonie la protection sociale, l’hygiène publique et la santé — une compétence ancienne, reconnue dès 1988, et non « transférée » par l’accord de Nouméa. C’est ce qui permet au Congrès d’adopter ses propres lois du pays en matière sanitaire.

Pourquoi le HDS national ne s’appliquait pas « de plein droit »

C’est précisément ce vide que la loi du pays n° 2026-5 est venue combler, en bâtissant un cadre calédonien — qui, tout en s’inspirant du modèle national, fixe ses propres exigences.

La loi du pays n° 2026-5 : un régime d’agrément calédonien

Adoptée à l’unanimité par le Congrès le 14 avril 2026 et promulguée le 5 mai 2026 (JONC du 6 mai 2026), la loi « portant diverses dispositions en matière sanitaire et sociale » crée, par son article 18, un nouveau dispositif dans le code de la santé publique applicable en Nouvelle-Calédonie : un sous-titre « Hébergement des données de santé ».

Son article Lp. 2111-1 pose le principe : l’activité d’hébergement de données de santé à caractère personnel — recueillies lors d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social — est conditionnée à un agrément délivré par le gouvernement de la Nouvelle-Calédonie, sous cinq conditions :

  1. le respect d’un référentiel technique défini par arrêté du gouvernement de la Nouvelle-Calédonie ;
  2. la localisation des données hébergées en Nouvelle-Calédonie, ou dans un État assurant une protection équivalente à la loi Informatique et Libertés applicable au territoire ;
  3. l’obtention d’une certification délivrée par un organisme accrédité ;
  4. la souscription de garanties d’assurance couvrant la responsabilité civile de l’activité ;
  5. l’implantation du siège social de l’hébergeur en Nouvelle-Calédonie.

L’agrément est délivré pour une durée de trois ans (art. Lp. 2111-1, II). Le responsable de traitement qui confie ses données à un tiers doit s’assurer que celui-ci est bien agréé (art. Lp. 2111-3).

Des sanctions à la clé

Confier une prestation d’hébergement de données de santé à une personne non titulaire de l’agrément expose à une sanction administrative pouvant atteindre 1 000 000 F CFP (art. Lp. 2113-2). L’agrément peut par ailleurs être retiré si ses conditions ne sont plus remplies (art. Lp. 2113-1).

Le dossier médical et pharmaceutique partagé dématérialisé

La même loi institue, à son article Lp. 2121-1, un dossier médical et pharmaceutique partagé dématérialisé pour les Calédoniens, dont les services de la Nouvelle-Calédonie assurent la conception, l’administration, l’hébergement et la gouvernance. Un arrêté précisera les conditions de création et de fermeture, le contenu, l’information des titulaires, leur droit d’opposition et les modalités d’accès des professionnels de santé. En parallèle, la feuille de soins électronique devient la norme, le papier n’étant plus qu’une solution de secours.

Une période de transition

La loi ménage un calendrier réaliste (article 76) : les hébergeurs déjà en activité disposent de trois mois à compter de l’entrée en vigueur pour solliciter l’agrément. Celui-ci peut être délivré même si toutes les prescriptions du référentiel et la certification ne sont pas encore réunies — l’hébergeur ayant alors trois ans pour se mettre en pleine conformité, sous peine de retrait.

Le RGPD, lui, s’applique déjà en Nouvelle-Calédonie

Indépendamment de ce nouveau cadre, la protection des données personnelles est acquise : l’ordonnance n° 2018-1125 du 12 décembre 2018 a rendu la loi Informatique et Libertés applicable en Nouvelle-Calédonie depuis le 1er juin 2019, et la CNIL y est compétente.

Ce que cela change concrètement

Pour un établissement, un éditeur ou un prestataire calédonien, la donne est désormais claire : héberger des données de santé pour autrui suppose, à terme, un agrément du gouvernement de la Nouvelle-Calédonie, des données localisées sur le territoire (ou dans un État équivalent) et une certification. C’est un signal fort en faveur de la souveraineté numérique de la santé calédonienne. Pour le socle national dont s’inspire ce régime, lisez « Le HDS expliqué » et « Certification HDS : comment ça marche » ; pour les acteurs du territoire, le panorama de l’écosystème.

Sources : Congrès de la Nouvelle-Calédonie — loi du pays n° 2026-5 (texte au JONC du 6 mai 2026, art. 18, Lp. 2111-1 à Lp. 2121-1, art. 76) · Loi organique 99-209 (art. 22) · art. L.1541-3 CSP · CNIL — RGPD outre-mer.