RGPD : quels enjeux pour la protection des données de santé ?

Points clés à retenir

• Le RGPD impose un régime renforcé pour les données de santé. Toute organisation manipulant des informations médicales doit justifier leur traitement, définir une base légale claire et mettre en place des mesures de sécurité adaptées sous le contrôle de la CNIL.
• Les acteurs de la santé doivent prouver leur conformité à tout moment : registre des traitements, AIPD, politiques internes ; la gouvernance est partagée entre DPO, DSI, RH et direction..
• La cybersécurité devient un enjeu vital pour le secteur. Les données de santé valent jusqu’à 50 fois plus qu’une donnée bancaire sur le dark web. Chiffrement, hébergement HDS, audits et sensibilisation du personnel sont indispensables pour limiter les risques de cyberattaque.
• L’Europe prépare une nouvelle ère de partage sécurisé des données. Avec l’EHDS, les patients disposeront d’un droit d’accès et de portabilité élargi, tandis que la recherche bénéficiera d’un cadre harmonisé et sécurisé à l’échelle de l’UE.

Comment le RGPD encadre-t-il la protection des données de santé ?

Le RGPD impose un régime juridique renforcé pour les informations considérées comme sensibles, notamment celles liées à la santé, régies par la législation et les règlements européens. Toute collecte, utilisation ou conservation de ces données réglementées doit se conformer aux règles légales de licéité, de sécurité informatique et de transparence, protégeant ainsi les droits et les intérêts des patients.

Concrètement, cela signifie que toute organisation (hôpital, assurance, laboratoire, mutuelle ou éditeur de logiciel manipulant des données de santé) ne peut traiter ces informations que si elle dispose : 

1. d’une base légale claire ;
2. d’une justification conforme à l’article 9 du RGPD (gère la prévention, le suivi et le traitement médical, dans le respect de la réglementation santé) ;
3. de mesures techniques solides pour garantir leur sécurité.

Qu’est-ce qu’une donnée de santé selon le RGPD et la CNIL ?

Le RGPD définit les données de santé comme toute information relative à l’état physique ou mental d’une personne, y compris celles issues de soins, d’examens ou d’appareils connectés. Cette définition large, précisée par la CNIL, englobe trois catégories de données de santé :

• Par nature : les informations explicitement médicales comme les antécédents, les traitements, les résultats d’examens ou les diagnostics ;
• Par croisement des données neutres (poids, activité physique, sommeil) qui, combinées, révèlent un état de santé ;
• Par destination : des données utilisées à des fins médicales, comme celles collectées pour une recherche clinique.

Les données issues d’objets connectés, de dispositifs biomédicaux ou de plateformes de suivi médical relèvent aussi du RGPD dès qu’elles révèlent des informations de santé protégées. Elles doivent être traitées avec le même niveau de sécurité qu’un dossier médical. La CNIL rappelle d’ailleurs que cette vigilance s’étend à tous les acteurs de la chaîne : établissements, laboratoires, assureurs, et même prestataires techniques et hébergeurs.

Pourquoi la confidentialité des données de santé est-elle si importante aujourd’hui ?

Les données de santé sont les plus sensibles du spectre des données personnelles. Leur divulgation peut provoquer des discriminations, des pertes de confiance massives, voire des atteintes à la dignité. En 2020, la cyberattaque contre le centre de psychothérapie Vastaamo a révélé sur internet les suivis psychologiques de milliers de patients, qui ont ensuite été utilisés pour faire chanter plus de 30 000 personnes. Ce type d’incident illustre combien la conformité au RGPD n’est pas une simple contrainte administrative, mais une protection juridique et éthique des droits des individus.

L’article 9 du RGPD pose un principe d’interdiction générale du traitement des données de santé, assorti de quelques exceptions :

• les soins médicaux et la prévention (article 9.2.h) par exemple un médecin qui conserve l’historique de ses patients pour les suivre dans le temps ;
• la recherche et les études d’intérêt public (article 9.2.j), comme une étude épidémiologique menée sous le contrôle de la CNIL ;
• la sauvegarde des intérêts vitaux d’une personne (article 9.2.c) par exemple l’accès à des données médicales pour sauver une vie.

En France, la Loi Informatique et Libertés renforce encore ce cadre réglementaire : tout traitement à des fins de recherche, d’étude ou de constitution d’entrepôts de données doit soit respecter une Méthodologie de Référence (MR) validée par la CNIL, soit obtenir une autorisation préalable.

La CNIL est un véritable tiers de confiance entre les acteurs de santé et le cadre juridique : 

• Elle établit des référentiels précis (MR-001 à MR-006) qui détaillent les conditions pour traiter des données de santé.
• Elle délivre des autorisations spécifiques pour les recherches ne respectant pas ces référentiels.
• Elle publie régulièrement des guides pratiques ou des sanctions motivées pour clarifier la jurisprudence.

Enfin, la multiplication des cyberattaques contre les établissements de santé (une centaine de signalements en 2024 selon l’ANSSI) a transformé la confidentialité en un enjeu stratégique.

Quelles sont les obligations de conformité au RGPD pour les acteurs de la santé ?

Les acteurs du secteur santé doivent pouvoir démontrer leur conformité réglementaire au RGPD et aux règlements nationaux à tout moment. Cela passe par une gouvernance claire, une documentation rigoureuse, des mesures techniques adaptées et une régulation conforme aux règlements européens et aux bonnes pratiques du secteur médical.

 Le RGPD ne demande pas seulement de protéger les données : il exige de prouver qu’on le fait. La CNIL met d’ailleurs à disposition des entreprises un document sur les formalités préalables.

La responsabilité de la sécurité des données ne repose pas sur une seule personne. Le responsable de traitement (souvent l’établissement ou l’entreprise) est responsable devant la loi, car il détermine les finalités et les moyens du traitement. Les dirigeants sont donc garants de la conformité au RGPD, même s’ils délèguent certaines missions.

Le DPO santé (Délégué à la Protection des Données) conseille, documente, forme et contrôle les pratiques internes, sans pour autant être responsable juridiquement. Sa mission est de maintenir la conformité à long terme et servir d’interlocuteur privilégié avec la CNIL. Il doit enregistrer l’ensemble des opérations réalisées sur les données (collecte, stockage, transfert, suppression) dans un registre des traitements. Ce document permet de démontrer sa conformité au RGPD à tout moment en cas d’audit.

La conformité ne relève pas d’un seul service : elle repose sur la collaboration entre la DSI (sécurité), le service juridique (contrats et relation avec la CNIL) et les RH (formation et sensibilisation du personnel).

Santé et cybersécurité : comment protéger efficacement les données personnelles ?

Pseudonymisation ou anonymisation : quelle méthode choisir pour sécuriser vos données de santé ?

Ces deux méthodes visent à réduire les risques d’identification des données, mais elles n’ont ni la même portée juridique, ni le même effet sur la conformité RGPD. Le choix entre les deux dépend donc du but du traitement.

La pseudonymisation consiste à remplacer les identifiants directs (nom, numéro de dossier, etc.) par des codes uniques. Les données restent rattachées à une personne, mais le lien est indirect. Par exemple, un hôpital attribue à chaque patient un identifiant interne au lieu de stocker son nom complet. Cette méthode est la plus utilisée dans le domaine médical, vu qu’elle permet le suivi des patients, les recherches longitudinales et la gestion des soins. Ici le RGPD continue de s’appliquer, car la réidentification reste possible. Ces données doivent donc être protégées et traitées sous encadrement strict.

L’anonymisation supprime toute possibilité de rattacher les données à une personne, même en les croisant avec d’autres sources. Une fois anonymisées, ces données sortent du champ du RGPD, car elles ne sont plus personnelles. Cette méthode est réservée aux projets de recherche ou d’évaluation, lorsque la réutilisation des données ne nécessite plus d’individualisation.

La CNIL recommande toujours de documenter ce choix dans son Analyse d’Impact (AIPD ou PIA), pour démontrer que la méthode retenue est adaptée au niveau de risque. Cette analyse évalue les risques qu’un traitement peut faire peser sur les droits et libertés des personnes. Dans le secteur santé, elle est presque toujours obligatoire, car les données traitées sont sensibles par nature. 

Un DPO expérimenté doit conduire cette analyse avant le lancement de tout nouveau projet numérique (téléconsultation, plateforme patient, IA médicale, etc.).

Quelles mesures techniques garantissent la sécurité des données personnelles ?

Le RGPD impose un principe de “security by design” : les données doivent être sécurisées dès leur collecte et tout au long de leur cycle de vie. Voici les principaux standards de cybersécurité à respecter selon les règlements européens et la réglementation française :

• Le chiffrement des données qui protège les données stockées et transmises en les rendant illisibles sans clé de lecture. Par exemple, un fichier de résultats d’examen chiffré ne peut être lu qu’avec un accès autorisé.
• Le cloisonnement des accès qui limite les accès aux seules personnes habilitées (ex. : le médecin traitant, mais pas le service comptabilité).
• La gestion fine des accès : chaque utilisateur doit disposer d’un identifiant unique et d’un niveau d’autorisation adapté à ses fonctions.
• L’hébergement HDS (Hébergeur de Données de Santé) qui est obligatoire pour tout prestataire stockant des données de santé pour le compte d’un tiers. Cette certification garantit le respect des normes ISO 27001 et des contrôles de sécurité spécifiques au secteur.
• Les audits réguliers et les sauvegardes chiffrées qui sont indispensables pour détecter les vulnérabilités et assurer la continuité d’activité en cas d’incident.

Au-delà des outils, la cybersécurité médicale repose sur la formation du personnel et sur le respect des pratiques éthiques et réglementées propres au secteur santé. Un employé mal formé ou négligent reste la première porte d’entrée d’une faille de sécurité. Chacun doit être conscient que la cybersécurité n’est pas qu’une affaire d’outils, mais une culture d’entreprise.

Pourquoi la cybersécurité santé devient-elle une priorité stratégique pour les entreprises ?

Les données de santé sont 50 fois plus rentables que les données bancaires pour des hackers. Elles leur permettent d’usurper l’identité des patients, d’effectuer des fraudes à l’assurance, ou de faire chanter les personnes directement. Résultat : les hôpitaux, laboratoires et start-up e-santé sont devenus des cibles privilégiées des cyberattaques. 

Pour ces établissements de santé, les conséquences portent sur les données des patients, mais aussi par rapport à leur propre établissement : risque d’interruption des soins, atteinte à la réputation et perte de confiance des patients.

Pour y faire face, la directive européenne NIS2, entrée en vigueur en 2024, renforce les obligations de cybersécurité pour tous les acteurs considérés comme « essentiels », dont les structures de santé. Elle impose notamment :

• D’évaluer régulièrement la sécurité informatique ;
• De mettre en place un plan de gestion de crise en cas d’attaque ;
• De notifier obligatoirement sous 24 heures en cas d'incident majeur ;
• De renforcer les contrôles sur les sous-traitants.

Nouvelles perspectives : innovation, IA et Espace Européen des Données de Santé (EHDS)

EHDS : comment l’Europe veut-elle sécuriser et valoriser les données de santé ?

L’Espace Européen des Données de Santé (EHDS), proposé par la Commission européenne en 2025, vise à permettre un partage sécurisé des données médicales et biomédicales entre pays de l’UE, au service de l’intérêt public, de la prévention sanitaire et du progrès médical. Il repose sur trois piliers : interopérabilité des systèmes, portabilité des données pour les patients et accès encadré pour la recherche publique ou médicale.

Concrètement, un patient qui se fait soigner à Madrid pourra permettre à un hôpital de Lyon d’accéder instantanément à son dossier médical, via un système standardisé et sécurisé. L’EHDS s’appuie sur des principes clés :

• Accès et portabilité renforcés : chaque citoyen européen pourra consulter, transférer ou supprimer ses données de santé via des plateformes unifiées.
• Réutilisation encadrée des données : les organismes publics, chercheurs et institutions pourront accéder à des données pseudonymes, sous conditions strictes et contrôlées.
• Gouvernance européenne : une autorité dédiée supervisera les flux transfrontaliers et vérifiera la conformité RGPD.

Pour les établissements de santé et les DPO, ce cadre impose une traçabilité rigoureuse, une gestion fine des consentements et une mise à jour des infrastructures numériques. Mais c’est aussi une opportunité de favoriser l’innovation thérapeutique et la personnalisation de la médecine. Reste à s’assurer que les données personnelles soient protégées.

Intelligence artificielle médicale : quel impact sur la confidentialité des données de santé ?

L’IA bouleverse la manière dont les données de santé sont collectées, croisées et analysées. De fait, la frontière entre l’innovation et l’intrusion devient de plus en plus floue, soulevant des questions de régulation éthique et informationnelle. Peut-on vraiment avoir des données de santé sécurisées lorsqu’on parle de prédire des épidémies, ou d’automatiser des diagnostics médicaux ?

L’utilisation secondaire des données, c’est-à-dire leur réemploi à des fins autres que le soin initial comme l’entrainement des IA médicales et biomédicales, pose une question éthique et réglementaire majeure sur la confidentialité et la protection des droits des patients. Des chercheurs américains ont démontré qu’il était possible de réidentifier un patient à partir d’images médicales anonymisées, comme des scanners ou IRM, en les croisant avec d’autres bases publiques (visages 3D, métadonnées, etc.).

Et que faire en cas de biais de représentation ? Si un modèle d’IA est entrainé sur une population trop limitée, il peut reproduire des inégalités de traitement ou d’accès aux soins. C’est par exemple le cas pour l’outil Watson for Oncology développé par IBM en 2018 qui a recommandé des traitements incorrects pour le cancer, car s’appuyant principalement sur des patients américains et caucasiens. 

Il y a ici un énorme enjeu de consentement de la part des citoyens. Le RGPD exige de mettre en place un opt-in explicite pour toute nouvelle finalité, mais dans un contexte de traitements multiples, les patients peuvent se retrouver à cocher dix fois “J’accepte” sans comprendre réellement les implications, ce qui ne garantit pas une adhésion éclairée.

Pour répondre à ce défi, la Commission européenne encourage une approche dite de “consentement dynamique” : : un cadre plus flexible permettant aux individus de contrôler en temps réel qui accède à leurs données et pourquoi. Les DPO devront donc repenser les mécanismes d’information et d’adhésion pour rendre le contrôle de la donnée aussi fluide que son traitement algorithmique.

Gouvernance éthique : comment protéger les données sans freiner l’innovation ?

L’innovation dans le domaine médical dépend de l’accès aux données de santé, lequel doit s’accompagner d’une gouvernance éthique solide. La question n’est plus “faut-il partager les données ?”, mais “comment les partager de façon juste et sécurisée ?”.

Les entreprises doivent construire une approche fondée sur trois principes :

• La transparence : informer clairement sur les usages, les partenaires et les finalités.
• La proportionnalité : ne collecter que les données réellement utiles à la recherche ou au soin.
• La responsabilité : auditer les algorithmes et rendre des comptes sur leurs décisions automatisées.

L’Europe veut devenir le modèle d’une innovation numérique responsable, capable de concilier cybersécurité, performance et respect des droits généraux et de la législation santé, en alignant réglementation et progrès médical. C’est là que les formations spécialisées comme celles d’ib Cegos permettent aux dirigeants, DPO et responsables IT de maîtriser les aspects réglementaires tout en soutenant la transformation numérique du secteur santé.

La conformité RGPD n’est pas qu’une contrainte : c’est un levier de confiance, d’efficacité et d’innovation. En sécurisant la collecte et l’exploitation des données médicales et numériques, les organisations se protègent juridiquement et préservent les intérêts légaux des patients tout en valorisant la donnée comme ressource stratégique.

Pour aller plus loin, la formation RGPD – Conformité et sécurité des traitements de données de santé proposée par ib Cegos accompagne dirigeants, DPO et responsables IT ou RH pour mettre en œuvre une gouvernance solide, réduire les risques et faire de la conformité un atout de performance durable.