Lorsque l'activité d'hébergement de données de santé à caractère personnel sur support numérique définie aux articles R. 1111-8-8 et R. 1111-9 donne lieu à un stockage de ces données, il est mis en œuvre exclusivement sur le territoire d'un Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen.

Dans l'hypothèse où la prestation proposée par l'hébergeur ou l'un de ses sous-traitants implique un transfert, y compris un accès à distance, de données mentionnées au premier alinéa vers un pays qui n'est pas membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen, il peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers assure un niveau de protection adéquat dans les conditions prévues par l'article 45 du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. En l'absence de décision prise en vertu de l'article 45, le responsable du traitement ou le sous-traitant peut toutefois transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale s'il a prévu les garanties appropriées mentionnées par l'article 46 de ce même règlement et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Dans cette dernière hypothèse, le contrat d'hébergement prévu au I de l'article L. 1111-8 mentionne l'absence de décision d'adéquation et décrit avec précision les garanties appropriées mises en place pour encadrer ce transfert ainsi que, le cas échéant, toute autre mesure permettant d'assurer un niveau de protection des données équivalent à celui garanti par le droit de l'Union Européenne.