Expertise données sensibles, de santé

Une approche concrète et ancrée dans les réalités du terrain

J’accompagne depuis plusieurs années des structures du secteur de la santé – hôpitaux, cliniques, EHPAD, centres de soins, start-ups en e-santé – dans la mise en conformité de la gestion de leurs données de santé.

Mon approche est à la fois juridique, opérationnelle et stratégique, toujours adaptée aux contraintes des professionnels de santé et à la sensibilité des données traitées.

Analyses d'impact

Dossier administratif patient, dossier patient informatisé (DPI), dossier d'imagerie médicale, recherche clinique, dossier du résident en EHPAD

Mentions d’information

Secteur médical et médico-social, supports simples, clairs et adaptés aux publics concernés, tout en facilitant la diffusion par les professionnels

Accès aux données de santé

Accès au DPI et aux données hors équipe de soins – un enjeu délicat et une veille active, notamment dans le cadre de la consultation publique lancée par la CNIL jusqu’au 16 mai 2025

Préconisations d’outils sécurisés

Encadrer la circulation interne ou externe de données de santé, et limiter les risques d’exposition

Recherche clinique

Accompagnement de projets de recherche clinique, avec vérification de la conformité RGPD, respect des méthodologies de référence de la CNIL et clarification des responsabilités internes

Relations avec les partenaires

Promoteurs, investigateurs, centres participants, co-responsable de traitement, sous-traitants, fournisseurs, fabricants de dispositifs médicaux, prestataires de services biomédicaux, éditeur d'eCRF

Une veille réglementaire approfondie

Je suis de près les positions de la CNIL et des autres autorités européennes, pour aider mes clients à anticiper les évolutions et à sécuriser leurs pratiques.
L’arrivée de l’Espace Européen des Données de Santé (EHDS) et l’impact croissant du développement de l’intelligence artificielle en santé rendent encore plus cruciales les questions :

FAQs

1. Obligations des structures de santé

❓ Le RGPD s’applique-t-il à tous les établissements de santé ?
Oui, quelle que soit leur taille ou leur statut (public, privé, médico-social, associatif), dès lors qu’ils traitent des données à caractère personnel.

❓ Quels documents doivent être mis en place ?
À minima : un registre des traitements, des politiques internes (confidentialité, sécurité, gestion des droits), des mentions d’information claires pour les patients, et des procédures en cas de violation de données et de demande d’exercice des droits des personnes concernées par les traitements de leurs données. Des analyses d’impact sont généralement requises dans ce secteur.

❓ Le DPO est-il obligatoire ?
Oui, pour tous les établissements qui traitent à grande échelle des données de santé. Le DPO peut être un salarié, un agent désigné ou un prestataire externe.

❓ Que faire en cas de violation de données ?
Il faut évaluer la gravité de l’incident et le documenter dans un registre interne. Si la violation est susceptible d’engendrer un risque pour les personnes concernées il convient de notifier l’incident à la CNIL sous 72 heures. Selon la gravité, une information des personnes concernées par la violation peut être nécessaire.

2. Qu’entend-on par "donnée de santé" au sens du RGPD ?

Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Les données comprennent très largement :

toute information sur l’identification du patient dans le système de soins,
toutes les prestations de services de santé,
des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques (données de santé « par destination ») ;
toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source (considérant 35).

Il existe 3 catégories de données de santé :

données de santé par nature: antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
données qui, du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne: croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc.
données qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite au plan médical.

NB : la loi ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne. A titre d’exemple, la loi ne s’applique pas aux applications mobiles en santé qui proposent dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données à condition que ces opérations s’effectuent localement sur un ordinateur, un smartphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.

A RETENIR : La notion de données de santé est désormais définie de manière large par le règlement européen. Aussi, cette notion recouvre non seulement l’ensemble des données collectées et produites dans le cadre du parcours de soins mais aussi celles qui, détenues par d’autres acteurs (développeurs d’application par exemple), constituent une information sur l’état de santé de la personne.

Par ailleurs, la Cour de justice de l’Union européenne (CJUE) a rendu le 1er août 2022 un arrêt aux implications potentielles considérables en matière de protection des données à caractère personnel (affaire C-184/20). La CJUE affirme que doit être considéré comme un traitement de données sensibles “un traitement portant non seulement sur des données intrinsèquement sensibles, mais également sur des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature”. C’est une interprétation très extensive d’une donnée sensible qui comprend aussi les données de santé.

/!\ Le NIR n’est pas une donnée sensible mais son utilisation est réglementée par le Décret n° 2019-341 du 19 avril 2019

3. Quelles mesures doivent être mises en place pour protéger ces données ?

Il est nécessaire d’adopter des mesures techniques et organisationnelles robustes : contrôle des accès, journalisation, anonymisation ou pseudonymisation, hébergement sécurisé (HDS), et encadrement strict des sous-traitants.

4. Peut-on traiter des données de santé sans le consentement du patient ?

Oui, dans de nombreux cas.

Le consentement est l’une des 6 bases légales prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel.

Les responsables du traitement peuvent justifier d’une autre base légale, comme par exemple l’exécution d’un contrat, une obligation légale ou son intérêt légitime. La base légale appropriée est déterminée par le DPO de manière adaptée à la situation et au type de traitement concerné.

Le consentement est requis uniquement dans certaines situations spécifiques :

Partage de données personnelles et de santé en dehors de l’équipe de soin – Article L1110-4 du CSP ;
Le recours à télémédecine comprenant la téléconsultation et la téléexpertise ;
Le recueil de consentement pour les RIPH interventionnelles de niveau 1 et 2 – Article L1121-1 – Code de la santé publique et Article L1122-1-1 – Code de la santé publique ;
Pour les recherches nécessitant l’examen des caractéristiques génétiques, sauf pour les recherches réalisées en application de l’article L. 1130-5 du Code de la santé publique.

5. Quelle est la différence entre anonymisation et pseudonymisation ?

L’anonymisation consiste à supprimer toute possibilité d’identifier une personne, de manière irréversible. Les données ainsi traitées ne sont plus considérées comme des données personnelles, et ne sont donc plus soumises au RGPD.

La pseudonymisation, quant à elle, consiste à remplacer les identifiants directs (comme le nom, le NIR, etc.) par un code ou un identifiant, tout en permettant une ré-identification possible via une table de correspondance détenue séparément.
Cela permet de réduire les risques, tout en conservant la possibilité de suivre un individu dans un projet, par exemple pour la recherche.

📌 Dans le cadre des recherches cliniques, la pseudonymisation est une exigence formelle des méthodologies de référence de la CNIL.
Les investigateurs de recherche doivent mettre en place des tables de correspondance sécurisées, conservées par une personne ou un service distinct, pour garantir la confidentialité des participants tout en permettant un suivi rigoureux.

👀 Et non, “pseudoanymisation” n’existe pas… sauf peut-être dans les recoins obscurs des réunions trop longues ou des cafés mal dosés ☕😉 Le bon terme, c’est pseudonymisation — promis, il n’y a qu’un « a » et on s’y habitue vite !

6. Accès, partage et sécurisation des données

❓ Qui peut accéder au dossier patient informatisé (DPI) ?
Seuls les professionnels de santé membres de l’équipe de soins, intervenant dans la prise en charge du patient, peuvent y accéder. Tout accès en dehors de ce cadre doit être justifié, tracé, et encadré. La personne concernée doit consentir à l’accès à ces données.

❓ Peut-on transmettre les données de santé à des partenaires externes ?
Oui, mais uniquement si cela est strictement nécessaire, encadré contractuellement (sous-traitance, co-traitance), et conforme au RGPD. Une attention particulière doit être portée aux transferts en dehors de l’UE.

❓ Quels outils utiliser pour sécuriser les échanges ?
Les données de santé ne doivent jamais être envoyées par simple email non chiffré. Il convient d’utiliser des outils de messagerie sécurisée, des plateformes agréées HDS ou des espaces de partage à accès restreint.

❓ Comment tracer les accès aux données ?
Tout accès aux données de santé (DPI, logiciels métiers) doit être journalisé : cela permet de retrouver qui a accédé à quelle donnée, quand, et pourquoi et ce afin de renforcer la sécurité et de pouvoir réagir efficacement en cas d’incident.

7. Recherche et innovation

❓ Quelles règles s’appliquent à la recherche clinique ?
Les recherches impliquant des données de santé doivent se conformer aux méthodologies de référence définies par la CNIL. Hors de ces cadres, une demande d’autorisation spécifique est requise.

❓ Peut-on utiliser des données de santé à des fins secondaires ?
Oui, mais sous conditions : finalité compatible, base légale claire, encadrement éthique, et garanties de sécurité (anonymisation, pseudonymisation). Cela est particulièrement encadré dans le cadre de l’EHDS.

❓ Quels impacts du futur IA Act dans le domaine de la santé ?
Le règlement européen sur l’intelligence artificielle (IA Act) va renforcer l’encadrement des systèmes d’IA à haut risque, dont ceux utilisés dans la santé. Cela impliquera des obligations renforcées en matière de documentation, d’analyse des risques, de transparence et de traçabilité.