La CNIL rappelle régulièrement les règles applicables aux données de santé et à leur protection des données personnelles, en insistant sur la nécessité d’une gouvernance robuste. Ces rappels visent à préserver la vie privée des patients et à encadrer tout traitement des données sensibles dans le respect du RGPD.
Les obligations portent sur la base légale, les mesures de sécurité et le droit des personnes, notamment le consentement et la portabilité. Ces éléments essentiels méritent d’être synthétisés dans A retenir :
A retenir :
- Régime juridique renforcé pour les données de santé sensibles
- Hébergement HDS obligatoire pour prestataires stockant des dossiers patients
- AIPD quasi systématique pour projets impliquant données médicales
- Droits patients renforcés portabilité accès et retrait encadrés
RGPD et définition des données de santé : cadre et portée
Après ces éléments synthétiques, il convient de préciser la portée juridique de la notion de données de santé au sens du RGPD. Selon la CNIL, la définition couvre les informations relatives à l’état physique ou mental ainsi que les données issues d’objets connectés.
Cette définition élargie impose aux responsables de traitement de justifier chaque finalité et d’appliquer des garanties adaptées. Selon le RGPD, l’article 9 encadre strictement ces traitements en autorisant quelques exceptions pour le soin et la recherche.
Types concernés :
- Par nature informations médicales et diagnostics
- Par croisement données neutres révélatrices d’état de santé
- Par destination données collectées pour usages médicaux
Catégorie
Exemple
Conséquence RGPD
Par nature
Résultats d’examens
Traitement soumis article 9
Par croisement
Activité+poids+capteurs
Protection renforcée
Par destination
Bases de recherche clinique
Autorisation ou MR requise
Objets connectés
Montres et capteurs domotiques
Équivalent dossier médical
Portée légale et responsabilités des acteurs
Ce passage montre que le responsable de traitement porte la responsabilité juridique principale vis-à-vis de la CNIL. Selon la CNIL, l’établissement doit définir les finalités et garantir la conformité par des preuves documentées.
Le DPO joue un rôle central en conseillant et en tenant le registre des traitements, ce qui facilite les contrôles. Selon l’ANSSI, cette gouvernance doit s’accompagner d’un plan de cybersécurité proportionné aux risques.
Pseudonymisation, anonymisation et choix méthodologiques
Ce lien explicite la décision entre pseudonymisation et anonymisation selon l’objectif du projet et la finalité de traitement. La pseudonymisation conserve un lien indirect, utile pour le suivi longitudinal, tandis que l’anonymisation supprime toute réidentification possible.
- Méthodes de protection : pseudonymisation anonymisation chiffrement cloisonnement
« J’ai choisi la pseudonymisation pour notre registre, cela a permis un suivi sécurisé des patients »
Claire N.
Obligations pratiques et mesures techniques pour la sécurité des données
À partir de la définition légale, il faut appliquer des mesures techniques robustes pour assurer la sécurité des données. Selon l’ANSSI, le chiffrement et la gestion fine des accès sont des piliers de protection efficaces.
La certification HDS est obligatoire pour un hébergeur qui stocke des données de santé pour le compte d’un tiers, et elle garantit des contrôles et des normes adaptées. Selon la CNIL, l’hébergement HDS limite les risques de fuite et renforce la confidentialité.
Mesures techniques :
- Chiffrement des données stockées et en transit
- Cloisonnement des accès par rôles et habilitations
- Audits réguliers et sauvegardes chiffrées
- Surveillance et notification des incidents
Obligation
Responsable typique
Preuve à fournir
Registre des traitements
Responsable de traitement
Registre documenté
AIPD
DPO ou équipe projet
Analyse d’impact formalisée
Hébergement HDS
Hébergeur certifié
Certification HDS valide
Sécurité opérationnelle
DSI
Rapports d’audit et tests
« La certification HDS a changé notre approche de l’hébergement et renforcé la confiance des partenaires »
Marc N.
Gouvernance interne et gestion des incidents
Ce passage insiste sur la nécessité d’une gouvernance partagée entre DSI, RH et direction pour protéger la confidentialité des patients. Selon le RGPD, la preuve documentaire et la formation des équipes facilitent la réponse aux contrôles.
Un plan de gestion de crise doit prévoir notification rapide des incidents et mesures correctives, conformément à la directive NIS2. Cette préparation protège à la fois les personnes et la continuité des soins.
Sensibilisation et rôle du DPO dans la sécurité opérationnelle
Ce passage montre que la formation du personnel réduit le risque d’erreur humaine qui reste le premier vecteur d’attaque. Le DPO coordonne la documentation, les formations et la conformité opérationnelle au quotidien.
« Notre DPO a permis d’identifier des risques ignorés et d’améliorer nos procédures internes rapidement »
Anne N.
Innovation, IA et enjeux éthiques liés aux données de santé
Par rapport aux obligations précédentes, l’innovation amplifie les risques et exige des garde-fous éthiques adaptés pour l’IA médicale. Selon la Commission européenne, l’EHDS doit permettre un partage sécurisé tout en respectant le consentement et les droits des personnes.
L’utilisation secondaire des données pour entraîner des modèles impose un contrôle strict des finalités et des modalités de réidentification. Les DPO doivent faciliter un consentement véritablement éclairé et envisager des mécanismes dynamiques pour le suivi des usages.
Bonnes pratiques :
- Transparence sur les usages et partenaires impliqués
- Proportionnalité des données collectées et traitées
- Audits des algorithmes et gestion des biais
- Consentement dynamique et traçabilité des accès
Cette perspective européenne ouvre des opportunités de recherche tout en imposant une traçabilité accrue des accès transfrontaliers. Pour les DPO, l’enjeu consiste à concilier innovation, sécurité et respect des droits fondamentaux.
« L’EHDS promet un cadre sécurisé pour la recherche tout en donnant plus de contrôle aux patients »
Jean N.
Source : ib Cegos, « RGPD : ce que la CNIL rappelle sur les données de santé », Cegos, 29 octobre 2025 ; CNIL, « Qu’est-ce qu’une donnée de santé », CNIL, 2018 ; Commission européenne, « Proposal for the European Health Data Space », Commission européenne, 2025.