RGPDDonnées de santéConformité

RGPD et données de santé : le guide pratique

17 février 2025 · Thomas Bozzo

Données de santé : une catégorie à part dans le RGPD

Le RGPD classe les données de santé parmi les "catégories particulières de données" (article 9). Leur traitement est par principe interdit, sauf exceptions limitativement énumérées. Cette protection renforcée se justifie par le caractère intime et potentiellement discriminant de ces informations.

Mais qu'entend-on exactement par "données de santé" ? Le règlement européen en donne une définition large : toute donnée relative à la santé physique ou mentale d'une personne, y compris la prestation de soins, qui révèle des informations sur l'état de santé de cette personne.

Exemples concrets de données de santé

  • Les dossiers médicaux et comptes rendus d'hospitalisation
  • Les résultats d'analyses biologiques et d'imagerie
  • Les prescriptions et ordonnances
  • Les données collectées par des dispositifs médicaux connectés
  • Les réponses à des questionnaires de santé (auto-évaluation, ETP)
  • Les données de remboursement de l'Assurance Maladie
  • Toute information permettant de déduire un état de santé (abonnement à une revue spécialisée, participation à un programme ETP spécifique)

La notion de donnée de santé est interprétée largement par la CNIL et la CJUE. En cas de doute, il est préférable de considérer la donnée comme une donnée de santé et d'appliquer le régime de protection correspondant.

Les bases légales pour traiter des données de santé

Le traitement de données de santé n'est licite que s'il repose sur l'une des exceptions prévues à l'article 9.2 du RGPD. En pratique, dans le secteur de la santé, les bases légales les plus fréquentes sont :

  • Le consentement explicite de la personne concernée (article 9.2.a)
  • La sauvegarde des intérêts vitaux lorsque la personne est incapable de donner son consentement (article 9.2.c)
  • L'intérêt public dans le domaine de la santé publique (article 9.2.i)
  • La médecine préventive, la médecine du travail, les diagnostics médicaux, la prise en charge sanitaire ou sociale (article 9.2.h)
  • La recherche scientifique avec garanties appropriées (article 9.2.j)

Consentement : attention aux pièges

Le consentement pour les données de santé doit être explicite, c'est-à-dire résulter d'une déclaration ou d'un acte positif clair. Une case pré-cochée ou un simple comportement passif ne suffisent pas. De plus, le consentement doit être :

  • Libre : aucune conséquence négative en cas de refus
  • Spécifique : donné pour une finalité précise
  • Eclairé : la personne comprend ce à quoi elle consent
  • Univoque : pas d'ambiguïté sur la volonté exprimée

L'AIPD : une obligation incontournable

L'Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA en anglais) est obligatoire pour tout traitement de données de santé à grande échelle. C'est l'un des points de vigilance majeurs pour les établissements de santé et les éditeurs de solutions numériques.

Quand réaliser une AIPD ?

La CNIL impose une AIPD dès lors que le traitement présente un risque élevé pour les droits et libertés des personnes. Pour les données de santé, c'est quasiment systématique. Sont notamment concernés :

  • Les systèmes d'information hospitaliers (SIH)
  • Les plateformes de télémédecine
  • Les applications de suivi patient
  • Les programmes d'ETP numérique
  • Les entrepôts de données de santé hébergés en cloud souverain
  • Les projets de recherche utilisant des données de santé

Contenu de l'AIPD

Une AIPD complète comprend :

  • La description du traitement : finalités, catégories de données, durées de conservation
  • L'évaluation de la nécessité et de la proportionnalité du traitement
  • L'évaluation des risques pour les droits et libertés des personnes
  • Les mesures envisagées pour faire face aux risques identifiés

L'AIPD n'est pas un document figé. Elle doit être revue régulièrement, notamment en cas de changement dans le traitement ou dans l'environnement technique.

Besoin d'un accompagnement RGPD ?

Cartographie des traitements, AIPD, mise en conformité : nous vous accompagnons de A à Z sur la conformité RGPD de vos outils numériques.

Demander un accompagnement →

Les droits spécifiques des patients

Le RGPD confère des droits renforcés aux personnes concernées. Dans le contexte des données de santé, ces droits prennent une importance particulière.

Droit d'accès

Tout patient a le droit d'obtenir une copie de l'ensemble de ses données de santé. Ce droit est renforcé par le Code de la santé publique (article L.1111-7) qui prévoit un accès direct au dossier médical.

Droit de rectification

Le patient peut demander la correction de données inexactes. Attention cependant : dans le domaine médical, la rectification ne doit pas altérer la traçabilité des soins. L'information corrigée doit être conservée avec mention de la modification.

Droit à l'effacement

Le "droit à l'oubli" est limité pour les données de santé. Les durées de conservation réglementaires (20 ans pour le dossier médical, par exemple) prévalent sur la demande d'effacement.

Droit à la portabilité

Le patient peut demander à recevoir ses données dans un format structuré et lisible par machine. C'est un droit particulièrement pertinent dans le contexte du DMP (Dossier Médical Partagé) et de l'interopérabilité des systèmes.

Droit d'opposition

Le patient peut s'opposer au traitement de ses données, sauf lorsque le traitement repose sur une obligation légale ou un intérêt public.

Les bonnes pratiques pour les établissements

Mettre en conformité une organisation de santé avec le RGPD est un projet structurant. Voici les étapes essentielles.

Cartographier les traitements

Dresser un inventaire exhaustif de tous les traitements de données de santé : applications, bases de données, flux, sous-traitants. C'est le prérequis indispensable.

Désigner un DPO

La désignation d'un Délégué à la Protection des Données est obligatoire pour les établissements de santé publics. Elle est fortement recommandée pour tous les autres acteurs du secteur.

Sécuriser les sous-traitants

Chaque sous-traitant manipulant des données de santé doit :

  • Etre certifié HDS (si hébergeur)
  • Avoir signé un contrat de sous-traitance conforme à l'article 28 du RGPD
  • Présenter des garanties suffisantes en matière de sécurité

Former les équipes

La sensibilisation des personnels est un levier majeur de cybersécurité. Les violations de données sont souvent liées à des erreurs humaines : envoi d'un courriel au mauvais destinataire, mot de passe faible, clé USB non chiffrée.

Préparer la gestion des violations

En cas de violation de données de santé, l'organisme doit :

  • Notifier la CNIL dans les 72 heures
  • Notifier les personnes concernées si le risque est élevé
  • Documenter l'incident dans un registre interne

L'accompagnement Ducal

Chez Ducal, la conformité RGPD est intégrée dès la conception de chaque projet (privacy by design). Nos solutions sont hébergées chez Outscale (HDS + SecNumCloud), et nous accompagnons nos clients dans la rédaction de leurs AIPD, la mise en place de leurs registres de traitement et la sécurisation de leurs flux de données.

La conformité RGPD n'est pas qu'une contrainte juridique. C'est un gage de qualité et de confiance pour les patients et les professionnels de santé.

Thomas Bozzo

Fondateur — Expert santé numérique

Thomas Bozzo

Plus de 10 ans d'expérience dans le numérique en santé. Spécialiste HDS, FHIR, Article 51 et plateformes d'éducation thérapeutique.

LinkedIn

Articles récents

DPIRGPD

DPI et RGPD : conformité du dossier patient

Lire
ConformitéVibe coding

Développement IA et conformité : comment garantir HDS, RGPD et RGAA

Lire
TéléconsultationRGPD

Téléconsultation en cabinet : obligations techniques et conformité RGPD

Lire

Un projet de digitalisation santé ?

Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.

Nous contacter