Le RGPD (Règlement Général sur la Protection des Données) pose un cadre précis pour la récolte et l’utilisation des données de santé des patients. Quels sont les différents types de données, quelles sont les règles à respecter, comment les sécuriser ? Tout ce qu’il faut savoir pour respecter la vie privée de vos patients et le secret des informations les concernant.
A retenir
- Les données de santé regroupent toutes les informations relatives à l’état de santé physique ou mental d’une personne ;
- Depuis 2018, le RGPD s’ajoute à la loi informatique et libertés pour protéger ces données ;
- Les soignants ont l’obligation d’informer leurs patients du recueil et du traitement de leurs données personnelles de santé ;
- La loi interdit le traitement des données de santé, sauf exceptions bien précises ;
- Pour être exploitables par les soignants, les données de santé doivent être disponibles rapidement, confidentielles, fiables et traçables ;
- La sécurisation des données de santé est la clé pour assurer des diagnostics plus rapides, plus fiables, en toute sécurité pour les patients ;
- Assurer dès aujourd’hui la cyber-résilience de son établissement permet d’optimiser la sécurité des patients et la qualité des soins.
Les données de santé : de quoi parle-t-on ?
Les données de santé, ce sont toutes les informations relatives à l’état de santé physique ou mental d’une personne physique identifiée ou identifiable. Cette information peut concerner :
- Des antécédents médicaux,
- Des résultats d’analyses ou d’examens médicaux,
- Des traitements médicaux passés ou en cours,
- Des diagnostics établis par un ou des soignants,
- Des données génétiques et biométriques en lien avec la santé.
Il existe trois types de données de santé :
1 – Les données de santé par nature (les maladies, antécédents médicaux du patients, handicaps, prestations de soins reçues…)
2 – Les données brutes devenues données de santé par croisement avec d’autres informations, qui permettent de tirer des conclusions quant à l’état de santé d’une personne (poids de l’individu relié à sa tension artérielle ou ses apports caloriques, par exemple)
3 – Les données de santé par destination : Des données d’activité physique qui peuvent être utilisées pour surveiller le rythme cardiaque d’une personne, par exemple.
Bon à savoir
Certaines données ne sont pas considérées comme des données de santé tant qu’elles ne sont pas croisées avec une autre information permettant d’effectuer des déductions sur l’état de santé d’une personne. Par exemple, le nombre de pas effectués chaque jour par un individu ne constitue pas une donnée de santé tant qu’il n’est pas associé à d’autres données, comme un poids au-delà de la moyenne révélant une obésité.
La réglementation sur les données de santé
En vigueur depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) vient enrichir la loi française Informatique et Libertés pour créer le socle de la réglementation sur la protection des données personnelles.
Les professionnels de santé ont l’obligation d’informer leurs patients sur le traitement de leurs données. Cette information peut prendre la forme d’une affiche en salle d’attente. En tant que praticiens, vous devez aussi protéger les données des patients face au risque de piratage, de perte, de destruction ou face à tout autre dégât accidentel. Des mesures de sécurité doivent être mises en place, telles que :
- L’utilisation d’un système de chiffrement des données sur Internet,
- L’utilisation de la carte « professionnel de santé »,
- La mise en place de mots de passe sécurisés pour accéder aux logiciels stockant des données sensibles.
Si les données des patients sont stockées sur un hébergeur de données de santé agréé, Celui-ci doit assurer un niveau de sécurité adapté au risque. Ce point doit faire l’objet d’un contrat avec le prestataire, comme prévu dans l’article L.1111-8 du code de la santé publique.
Bon à savoir
La CNIL a publié un guide pratique sur la protection des données personnelles afin d’aider les médecins libéraux à respecter les obligations prévues par la réglementation.
La protection des données de santé
Les exceptions à l’interdiction de traitement des données de santé
L’article 9 du RGPD interdit le traitement des données de santé, dites sensibles. Mais dans 10 cas particuliers, le traitement de ces données est autorisé :
- Si la personne concernée consent explicitement au traitement de ces données,
- S’il est nécessaire à l’exercice des droits du responsable du traitement ou de ceux de la personne concernée (droit du travail, sécurité sociale…),
- S’il est indispensable à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique dans l’incapacité de donner son consentement,
- S’il est effectué par une ONG, à condition qu’il se limite aux membres de l’organisme et que les données ne soient pas communiquées hors de l’organisme sans le consentement des personnes concernées,
- S’il porte sur des données à caractère personnel manifestement rendues publiques par la personne concernée,
- S’il est indispensable à la constatation, l’exercice ou la défense d’un droit en justice,
- S’il est nécessaire pour des motifs d’intérêt public importants,
- S’il est nécessaire en matière de médecine préventive, de médecine du travail, de l’appréciation de la capacité de travail du salarié ou de diagnostics médicaux, de la prise en charge médicale ou sociale ou la gestion des services de soins ou de protection sociale sur la base du droit de l’UE ou d’un État membre,
- S’il est indispensable pour des raisons d’intérêt public (protection contre les menaces transfrontalières graves),
- S’il est indispensable à des fins d’archivage dans l’intérêt public ou de recherches scientifiques, historiques ou statistiques.
Bon à savoir
Avec ces 10 exceptions, l’objectif est de faire en sorte que les données les plus sensibles soient traitées de façon exceptionnelle, par des acteurs soumis au secret qui collecteront uniquement les données strictement nécessaires, dans un cadre bien défini.
Le traitement des données de santé en conformité avec le RGPD
Les données sensibles, encadrées par l’article 9 du RGPD évoqué plus haut, forment une catégorie particulière de données personnelles qui révèlent notamment :
- La prétendue origine raciale ou ethnique d’une personne,
- Ses convictions religieuses ou philosophiques,
- Son adhérence syndicale,
- Le traitement des données génétiques,
- Ses opinions politiques,
- Ses données biométriques (ADN, empreinte digitale…).
Les données de santé font partie de ces données sensibles, ce qui rend leur traitement formellement interdit sauf exceptions citées plus haut, et à condition de respecter plusieurs obligations :
Désigner un DPO
L’entreprise chargée de traiter les données de santé peut être amenée à nommer un DPO, délégué à la protection des données, dans le cas où elle traite des données de santé à grande échelle. Ce délégué, externe ou nommé en interne, assure la mise en conformité de l’organisme au RGPD.
Tenir un registre de traitement des données
À travers cette obligation, les entreprises traitant des données de santé s’attachent à réunir dans un même registre toutes les informations concernant :
- Le DPO,
- Les personnes concernées,
- Le ou les objectifs du traitement des données,
- Les délais de conservation des données,
- Les mesures prises pour maximiser la protection des données.
Réaliser une analyse d’impact des risques liés aux données de santé
Le traitement des données de santé peut avoir des conséquences sur la vie privée, les droits et les libertés des personnes concernées. L’analyse d’impact permet de prendre la mesure de ces risques et doit inclure :
- Toutes les informations liées aux opérations de traitement et à l’objectif du traitement des données,
- Les mesures mises en place pour protéger les données,
- Un rapport bénéfice/risque du traitement des données.
Garantir les droits des utilisateurs
Le RGPD garantit de nombreux droits aux utilisateurs afin de protéger leurs données personnelles :
- Un droit d’accès aux données,
- Un droit de rectification,
- Le droit à la portabilité des données (la possibilité de récupérer les données fournies à l’organisme qui les traite),
- Le droit à limiter le traitement et à demander, sous certaines conditions, le gel de l’utilisation des données.
Réalisez votre Cyber checkup pour évaluer précisément la maturité cyber de votre établissement et piloter votre stratégie de cybersécurité.
Qui est concerné par le traitement de ces données ?
La licéité autorise les médecins et organismes médicaux à traiter et collecter les informations des patients de manière légale, conformément à l’article 9.2 du RGPD. Ils peuvent par exemple utiliser les données de leur patient pour établir un diagnostic médical sans consentement écrit de leur part, puisque cela fait partie de leurs missions.
La loyauté est l’un des autres grands principes du RGPD appliqué aux données de santé. Elle stipule que le soignant doit agir dans l’intérêt du patient, sans tromperie ni traitement détourné. Dernier grand principe : la transparence, qui indique l’obligation d’informer le patient sur les données récoltées : dans quel but, pour quelle durée, ainsi que les mesures mises en place pour les protéger.
Bon à savoir
Le patient a un droit d’accès, de rectification et d’opposition au traitement de ses données personnelles, même après avoir donné son accord.
Les enjeux des données de santé
La gestion des données de santé revêt quatre grands enjeux pour les professionnels de santé :
1 – La disponibilité des données : celles-ci doivent être disponibles sans délai pour assurer la rapidité des interventions et l’organisation des services.
2 – L’intégrité des données qui doivent être fiables et complète : les virus, les modifications accidentelles et les mauvaises synchronisations peuvent mettre en péril cet enjeu.
3 – La confidentialité des données. Antécédents médicaux, diagnostics, prescriptions : toutes ces informations sont protégées par le secret médical. La protection des accès via le chiffrement des données et la mise en place d’un système d’authentification robuste sont les clés d’une confidentialité renforcée.
4 – La traçabilité des données. Chaque information doit être sourcée, analysée et datée afin de faciliter la gestion des droits et la qualité des soins.
Bon à savoir
Ce qui distingue la donnée de santé d’autres types de données ne tient pas uniquement à son caractère confidentiel, il s’agit surtout de garantir son intégrité et sa traçabilité. Une donnée non intègre peut avoir un impact direct sur la qualité et la sécurité de la prise en charge du patient.
A lire aussi : Quels sont les 4 enjeux de la donnée de santé ?
L’hébergement des données de santé
L’hébergement des données de santé est strictement encadré par l’article L.1111-8 du code de la santé publique. Il prévoit que toute personne physique ou morale hébergeant des données de santé à caractère personnel sur un support numérique doit être titulaire d’une certification HDS (hébergement des données de santé). Cette certification prévoit la mise à disposition et le maintien en condition opérationnelle :
- De sites physiques ;
- De l’infrastructure matérielle ;
- De l’infrastructure virtuelle ;
- De la plateforme d’hébergement d’applications.
Elle prévoit également l’administration et l’exploitation du système d’information hébergeant les données de santé, ainsi que la sauvegarde externalisée des données de santé.
A lire aussi : Hébergement des données de santé : obligations, certification et bonnes pratiques
Bon à savoir
En tant qu’établissement de santé, travailler avec un hébergeur HDS permet de respecter la réglementation en vigueur tout en renforçant la sécurité de ses infrastructures.
Les défis d’intégration des données de la santé
L’intégration des données de santé implique de pouvoir croiser diverses informations provenant de différentes sources, afin de fournir une vision claire, complète et fiable de l’état de santé des patients. Les atouts sont nombreux :
- Améliorer les soins apportés aux patients, avec des diagnostics plus fins, s’appuyant sur davantage de données,
- Rationaliser les flux de travail, en réduisant les charges administratives pour les établissements de soins et en systématisant le partage des informations,
- S’appuyer sur la data pour la prise de décision. Des données fiables et à jour permettent d’améliorer les soins préventifs et les soins personnalisés, en exploitant les analyses et les informations à disposition.
Bon à savoir
L’intégration des données dépend en grande partie d’échanges numérique : la sécurité des systèmes d’exploitation et des données patients est donc au cœur des enjeux pour améliorer la prise en charge médicale.
Cybersécurité des données de santé
Une cyberattaque peut avoir des conséquences considérables, de la fuite de données sensibles à la paralysie des activités d’un établissement de santé. La sécurité doit être assurée à tous les échelons du système, des outils utilisés aux hommes et aux femmes qui exploitent ces données et ces outils.
- Le CRA (Cyber Resilience Act), qui entrera pleinement en vigueur en décembre 2027, renforce le cadre qui entoure l’usage de produits numériques au sein des établissements de santé. Cette réglementation commune à toute l’UE améliore la sécurité des objets digitaux, dès leur conception et tout au long de leur utilisation.
- Depuis 2023, la directive NIS2 impose notamment aux États membres de l’UE de renforcer la sécurité numérique de leurs établissements sanitaires et médicaux-sociaux.
- Les établissements de santé sont appelés à renforcer leurs systèmes de sécurité afin de prévenir les attaques et d’assurer la continuité des soins en cas d’intrusion. La cyber-résilience passe par : une formation régulière du personnel face aux risques, des dispositifs d’identitovigilance, une cartographie des risques, une évaluation des pratiques, une gouvernance de la conformité au sein des établissements et la mise en place d’un Plan de Continuité et de Reprise d’Activité pour faire face aux risques.
Quelques chiffres
L’Agence du numérique en santé a réalisé une étude sur la cybersécurité des établissements de santé en 2025, et les chiffres sont éloquents :
- 15 % des établissements de santé, privés ou publics, ont déjà été touchés par un incident cyber ayant entraîné des perturbations (12 % pour les petits établissements comptant moins de 100 lits).
- 15 % des établissements de santé ayant subi une attaque et 13 % des établissements en général estiment être bien préparés à un incident cyber.
- Pour 53 % des établissements, la prévention des risques cyber représentent moins de 5 % de leur budget de fonctionnement informatique annuel (OPEX).
Si la cybersécurité est plus que jamais d’actualité au sein des établissements de santé, sa mise en place est encore trop inégale d’un établissement à l’autre, notamment en raison de moyens trop limités pour déployer un plan de prévention adapté.
A lire aussi : Cyberattaque à l’hôpital en 2025 : un constat alarmant pour les établissements de santé
Pensé par nos experts cyber en établissement de soins, le cyber checkup vous permet d’obtenir gratuitement une évaluation complète incluant l’état des lieux de vos pratiques, un comparatif avec des établissements similaires, des recommandations ciblées pour orienter votre stratégie de sécurité et votre niveau d’assurabilité.
Références
https://www.conseil-national.medecin.fr/medecin/devoirs-droits/proteger-donnees-sante
https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
https://gnius.esante.gouv.fr/fr/reglementation/quest-ce-quune-donnee-de-sante
https://www.vie-publique.fr/eclairage/289281-donnees-numeriques-de-sante-quels-enjeux-pour-quel-progres-medical
https://www.cnil.fr/fr/cnil-direct/question/professionnels-de-sante-la-designation-dun-delegue-la-protection-des-donnees
https://entreprendre.service-public.gouv.fr/vosdroits/F24270#:~:text=Toute%20entreprise%20qui%20r%C3%A9alise%20un,protection%20des%20donn%C3%A9es%20
FAQ
Quels sont les trois types de données de santé ?
Il existe trois catégories de données de santé :
- Les données de santé par nature (maladies, antécédents médicaux, prestations de soins, handicap éventuel…) ;
- Les données brutes devenues des données de santé par croisement avec d’autres données, permettant d’avoir des informations sur l’état de santé d’une personne (croisement de la tension avec la mesure de l’effort, par exemple) ;
- Les données devenues données de santé par destination, c’est-à-dire l’utilisation qui en est faite sur le plan médical.
Combien de temps conserver les données de santé ?
Les médecins ont l’obligation de conserver les dossiers médicaux de leurs patients.
En établissement, cette période s’élève à 20 ans au minimum, à compter de la date du dernier séjour du patient ou de sa dernière consultation au sein de l’établissement.
Pour les libéraux, aucun texte n’impose une durée de conservation minimum. En revanche, il est recommandé de conserver les dossiers pendant toute la durée de prescription de l’action en responsabilité civile, soit 10 ans à partir de la date de consolidation du dommage.
Un professionnel de santé peut-il utiliser WhatsApp pour communiquer avec ses patients ?
Malgré le chiffrement de bout en bout assuré par WhatsApp, le niveau de sécurité est insuffisant pour héberger des données de santé, l’hébergement étant assuré aux États-Unis et l’exploitation gérée par Meta, condamnée fin 2024 pour non-respect du RGPD. Par ailleurs, la gestion des accès n’est pas vérifiée par l’établissement de santé, entraînant une perte de maîtrise juridique et technique des données, ce qui va à l’encontre du principe de responsabilité de l’hébergeur de données.
Qu’est-ce qu’un hébergeur HDS ?
Un hébergeur HDS est un hébergeur titulaire de la certification HDS (Hébergement des Données de Santé) mise en place par l’Agence du Numérique en Santé (ANS) afin de garantir la sécurité des données de santé, leur confidentialité et leur intégrité.
Que faire en cas de violation de données ?
Le responsable du traitement des données doit impérativement
- Documenter la violation qui s’est produite en interne,
- Notifier cette violation à la CNIL,
- Communiquer cette violation aux personnes concernées, c’est-à-dire les patients dont les données ont fuité, et ce dès que possible.
Le chiffrement des données est-il obligatoire ?
Oui : la protection des données de santé est une obligation légale, mais aussi un impératif éthique. Avec le chiffrement des données, celles-ci sont illisibles et donc inutilisables en cas d’accès par des tiers non autorisées. Ce chiffrement doit être complété par d’autres mesures de sécurité, comme le verrouillage des accès par mot de passe par exemple.
La désignation d’un DPO (Délégué à la Protection des Données) est-elle obligatoire ?
Elle est obligatoire pour les cabinets médicaux, d’orthophonie, pour les pharmacies ou encore les laboratoires de biologie médicale s’ils exercent leur activité « à grande échelle » (au sein d’un réseau de professionnels, d’une maison de santé, d’un centre de santé, ou si les dossiers sont partagés entre plusieurs professionnels de santé, par exemple). En dehors de ces cas, la désignation d’un DPO n’est pas obligatoire.
