Blogpost

Données de santé et RGPD : Obligations, risques et bonnes pratiques

Publié sur11/08/2025
Données de santé et RGPD

Qu’est-ce qu’une donnée de santé ?

Les données de santé sont reconnues comme une catégorie particulières de données à caractère personnel au sens de l’article 9 du Règlement général sur la protection des données (RGPD). Elles englobent toute information relative à l’état de santé physique ou mentale d’une personne, incluant les résultats médicaux, les dossiers hospitaliers, les données issues de dispositifs connectés, ainsi que celles générées lors d’essais cliniques. En raison de leur nature sensible, leur traitement est soumis à des règles strictes, notamment par le RGPD, pour protéger la vie privée des individus concernés.

Dans un contexte où la collecte et l’utilisation des données de santé se multiplient, comprendre les obligations légales et les bonnes pratiques devient essentiel. Ce guide présente le cadre juridique applicable, les principaux enjeux, des exemples concrets et les perspectives d’avenir autour des données de santé dans le contexte du RGPD.

Définitions clés et cadre juridique

Qu’est-ce qu’une donnée de santé au sens du RGPD ?

L’article 4.15 du RGPD définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur son état de santé ».

Cela inclut notamment :

  • les antécédents médicaux et traitements passés,
  • les diagnostics et actes médicaux en cours,
  • les résultats d’examens (biologie, imagerie, etc.),
  • les données issues de dispositifs médicaux ou d’applis santé,
  • les données génétiques ou biométriques à finalité médicale.
  • Un traitement particulièrement encadré

b. Un traitement particulièrement encadré

En raison de leur sensibilité, les données de santé bénéficient d’une protection renforcée :

  • Leur traitement est par principe interdit (article 9.1 GDPR). Il n’est autorisé que si l’une des exceptions prévues par l’article 9.2 du RGPD (consentement explicite, nécessité pour fournir des soins, motif d’intérêt public dans le domaine de la santé publique, des fins de recherche scientifique, etc.).
  • Leur traitement doit être assorti de mesures techniques et organisationnelles spécifiques, comme la pseudonymisation, le chiffrement, ou la limitation stricte des accès, etc.
  • Une analyse d’impact sur la protection des données (AIPD) est généralement requise avant tout traitement à grande échelle de catégories particulières de données ou présentant des risques élevés pour les droits et libertés des personnes.

c. concepts-clés à maîtriser:

  • Consentement explicite : Il doit être libre, spécifique, éclairé et univoque. Il doit faire l’objet d’un acte clair, documenté et volontaire. Il ne peut être implicite ou déduit du silence.
  • Pseudonymisation : Technique consistant à dissocier les données de l’identité directe d’un individu, sans que cela équivaille à une anonymisation complète.
  • Minimisation des données : Seules les données strictement nécessaires à la finalité poursuivie doivent être collectées.

d. Liens avec d’autres cadres juridiques :

  • Lois relatives aux recherches biomédicales (ex. loi belge du 7 mai 2004 ou loi Jardé en France) : Elles encadrent les essais cliniques et toute recherche impliquant des personnes humaines, en imposant des garanties éthiques et juridiques, y compris en matière de consentement et de protection des données.
  • Directive NIS2 (UE 2022/2555) : Cette directive européenne renforce les exigences de cybersécurité pour les opérateurs de services essentiels, dont les hôpitaux, laboratoires et plateformes de e-santé. Elle impose notamment la mise en place de plans de gestion des risques liés à la sécurité des systèmes d’information.
  • Règlement sur l’espace européen des données de santé (UE 2025/327) (EHDS) : Ce règlement vise à faciliter le partage sécurisé des données de santé à des fins de soins, de recherche ou d’élaboration de politiques publiques, tout en garantissant les droits des patients et le respect du RGPD.
  • Règlement ePrivacy (à venir) : Complémentaire au RGPD, il s’appliquera notamment aux communications électroniques dans le secteur de la santé, en encadrant plus strictement l’utilisation de cookies ou d’applications mobiles collectant des données sensibles.

Quelle est l’importance et quels sont les enjeux des données de santé ?

La protection des données de santé est cruciale pour plusieurs raisons :

  • Protection de la vie privée : Les données de santé révèlent des informations intimes qui, si elles sont mal protégées, peuvent causer du tort aux personnes concernées (discrimination, stigmatisation, etc.).
  • Confiance des patients : Un cadre sécurisé est indispensable pour que les patients acceptent de partager leurs données, notamment pour la recherche médicale ou les soins numériques.
  • Conformité légale : Les manquements au RGPD peuvent entraîner des sanctions financières lourdes et nuire à la réputation des organismes.
  • Sécurité de l’information : Les données de santé sont une cible privilégiée des cyberattaques (rançongiciels, vols de dossiers, etc.).

Les défis majeurs incluent la gestion des consentements, la minimisation des données collectées, l’anonymisation ou pseudonymisation des données, ainsi que la maîtrise des flux transfrontaliers.

Exemples concrets de mise en œuvre du RGPD dans le traitement des données de santé :

  • En 2023, une autorité de protection des données a sanctionné un site web grand public pour plusieurs manquements au RGPD, notamment l’absence de consentement explicite lors de la collecte de données de santé via des questionnaires en ligne. Le site conservait également les réponses des utilisateurs pendant une durée excessive, sans justification valable. La décision pointait également une mauvaise gestion des cookies publicitaires et des failles de sécurité, telles que l’absence de chiffrement et une protection insuffisante des mots de passe. Ce cas illustre que même les acteurs bien établis doivent assurer une conformité rigoureuse lorsqu’ils traitent des données sensibles.[1]
  • En 2023, un important centre hospitalier d’Europe du Nord a confirmé qu’un ancien membre du personnel soignant avait accédé illégalement aux dossiers médicaux d’environ 900 patients via le système informatique de gestion des soins. Bien que ces atteintes aient été détectées par les mécanismes de surveillance interne, elles n’ont été rendues publiques qu’après un délai significatif, mettant en évidence des lacunes en matière de notification. Deux autres incidents similaires, mais de moindre ampleur, ont également été recensés. L’établissement a exprimé ses regrets et annoncé le renforcement de ses mesures de sécurité ainsi qu’un effort accru de sensibilisation et de formation du personnel.[2]

Quelles perspectives d’évolution ?

Les données de santé continueront à jouer un rôle central dans les années à venir, tant pour l’innovation médicale que pour les politiques de santé publique. Plusieurs tendances se dessinent :

  • L’intelligence artificielle (IA) transforme déjà la manière d’analyser les données de santé (diagnostic, prévention, médecine personnalisée). Cela pose des défis en matière de transparence, de biais algorithmiques et de contrôle humain sur les décisions médicales.
  • L’Espace européen des données de santé (EHDS) vise à harmoniser l’accès et le partage sécurisé des données de santé à l’échelle de l’UE. Il apporte un cadre plus clair pour la recherche, l’innovation et les droits des patients.
  • Le renforcement de la cybersécurité, via la Directive NIS2, impose aux hôpitaux et entreprises de e-santé des exigences accrues en matière de gestion des risques numériques, ce qui impactera la gouvernance des données.
  • Enfin, la sensibilisation croissante des citoyens à leurs droits pousse les acteurs à plus de transparence, de pédagogie et de maîtrise des flux de données, notamment dans les applications mobiles ou les dispositifs connectés.

FAQ – Questions fréquentes

Quelles données de santé sont couvertes par le RGPD ?

Toutes les données qui permettent d’identifier directement ou indirectement une personne et qui concernent son état de santé, ses soins, ou ses données génétiques.

Quel est le rôle du consentement dans le traitement des données de santé ?

Le consentement doit être explicite, spécifique, éclairé, et libre. Il est souvent requis sauf exceptions prévues par la loi (ex : soins urgents).

Peut-on transférer des données de santé hors de l’UE ?

Oui, mais uniquement sous conditions strictes garantissant un niveau de protection équivalent (clauses contractuelles types, décisions d’adéquation, etc.).

Conclusion

La gestion des données de santé dans le respect du RGPD est un enjeu majeur pour les acteurs du secteur médical, les chercheurs et les entreprises innovantes. Elle garantit la protection des droits fondamentaux tout en permettant l’exploitation de ces données pour améliorer les soins et la recherche.

Face à des défis technologiques et réglementaires croissants, il est essentiel de mettre en place des mesures rigoureuses de conformité et de sécurité. Les évolutions à venir, notamment autour de l’IA et des nouvelles législations européennes, rendront ce domaine encore plus dynamique et stratégique.

Pour toute organisation manipulant des données de santé, s’informer et anticiper ces transformations est la clé pour conjuguer innovation et respect de la vie privée.

[1] En 2023, Doctissimo a été sanctionné par la CNIL à hauteur de 380 000 € pour plusieurs manquements au RGPD, notamment l’absence de consentement explicite lors de la collecte de données de santé via des quiz. Le site conservait également les réponses des utilisateurs bien trop longtemps, sans justification. La CNIL a relevé en outre une mauvaise gestion des cookies publicitaires et des failles de sécurité (absence de chiffrement, mots de passe insuffisamment protégés). Ce cas montre que même des acteurs bien établis doivent veiller rigoureusement à la conformité lorsqu’ils traitent des données sensibles. https://www.ouest-france.fr/sante/le-site-doctissimo-sanctionne-dune-amende-de-380-000-euros-par-la-cnil-1975d034-f492-11ed-bac6-4664b4f49fec

[2] En 2023, l’Hospital District of Helsinki and Uusimaa (HUS), l’un des plus grands centres hospitaliers en Finlande, a confirmé qu’un ancien infirmier auxiliaire avait accédé illégalement aux dossiers médicaux d’environ 900 patients via le système Apotti dès 2021. Bien que les atteintes aient été détectées par la surveillance interne, elles n’ont été révélées qu’en 2023, soulignant un important délai de notification. Deux autres incidents, de moindre ampleur, ont également été identifiés, impliquant plusieurs dizaines à centaines de patients. HUS a exprimé ses regrets et s’est engagé à renforcer ses mesures de sécurité et la formation de son personnel pour prévenir de futures intrusions. https://yle.fi/a/74-20046541

Partager ceci :

Écrit par

Louise Dupont

Louise Dupont

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.

Contactez nous

Plus d'articles

Tous les articles

Votre partenaire de confiance en matière de gouvernance des données et de conformité.

Menu

Solutions

Contact

ISO 27001 certification

© 2026 – CRANIUM – Déclaration Générale de Confidentialité Cooky PolicyConditions Générales

  • Solutions
    Privacy
    Droit numérique
    Data Governance
    Campus
  • Connaissances
    Perspectives et mises à jour
    Dernières nouvelles de notre blog
    Qu’est-ce que les modalités contractuelles types et les clauses contractuelles types prévues par le Data Act ?

    Qu’est-ce que les modalités contractuelles types et les clauses contractuelles types prévues par le Data Act ?

    10 mars 2026 Blogpost
    Le Cyber Resilience Act en 10 questions et réponses

    Le Cyber Resilience Act en 10 questions et réponses

    4 mars 2026 Blogpost
    Les données des patients peuvent-elles être utilisées pour entraîner une IA ?

    Les données des patients peuvent-elles être utilisées pour entraîner une IA ?

    20 février 2026 Blogpost
  • Carrières
    Dernières nouvelles sur le talent
    Dans le Spotlight : Jill | “Le sales, ce n’est pas un jeu de chiffres. C’est une question d’impact, pour les clients et les collègues.”

    Dans le Spotlight : Jill | “Le sales, ce n’est pas un jeu de chiffres. C’est une question d’impact, pour les clients et les collègues.”

    16 septembre 2025 Carrières
    In the spotlight: Lisa | « Je veux continuer à apprendre et à développer mon expertise. Au CRANIUM, vous avez vraiment la possibilité de le faire »

    In the spotlight: Lisa | « Je veux continuer à apprendre et à développer mon expertise. Au CRANIUM, vous avez vraiment la possibilité de le faire »

    6 juin 2025 Carrières
    In the Spotlight: Enzo | « Chez CRANIUM, j’ai trouvé la liberté de tracer ma propre voie. »

    In the Spotlight: Enzo | « Chez CRANIUM, j’ai trouvé la liberté de tracer ma propre voie. »

    20 mai 2025 Carrières
    Carrières CRANIUM
  • À propos
    À propos
Contact