RGPD et données de santé : ce qu’il faut savoir
La donnée de santé est devenue la matière première d’un capitalisme numérique qui ne dit pas son nom. Elle alimente les algorithmes, les assureurs, les industriels, les plateformes. Elle révèle le plus intime : le corps, l’esprit, les fragilités. Le règlement général sur la protection des données a tenté de remettre de l’ordre dans ce marché discret. Pas pour sacraliser le secret médical, mais pour rappeler une évidence : sans règles strictes, la donnée de santé se transforme en arme économique. Et celui qui la subit, c’est le patient.
Qu’est-ce qu’une donnée de santé selon le RGPD ?
Une donnée pas comme les autres
Le règlement général sur la protection des données ne tourne pas autour du pot. Une donnée de santé est une information sur l’état physique ou mental d’une personne, passée, présente ou future. C’est large. Et c’est volontaire. Car le but est simple : éviter les échappatoires juridiques qui arrangent les acteurs les plus agressifs.
Concrètement, entrent dans cette catégorie :
- les diagnostics médicaux, les comptes rendus d’hospitalisation, les ordonnances
- les données de remboursement de l’assurance maladie
- les résultats d’examens biologiques, d’imagerie, de tests génétiques
- les informations issues d’objets connectés de santé ou d’applications de suivi
- les données de handicap, d’invalidité, d’addiction ou de santé mentale
Le point clé : ce n’est pas la technologie qui compte, c’est l’usage. Une donnée devient donnée de santé dès qu’elle sert à déduire ou confirmer un état de santé. Une fréquence cardiaque, un poids, un nombre de pas, isolés, peuvent paraître anodins. Utilisés pour ajuster une prime d’assurance, ils basculent dans le champ le plus sensible du règlement.
Les données de santé, une catégorie à haut risque
Les données de santé appartiennent aux catégories particulières de données. En clair : elles sont considérées comme tellement sensibles que leur traitement est en principe interdit. Le règlement n’ouvre la porte que dans des cas précis, encadrés, justifiés par un intérêt clair et défendable.
Le message est brut : plus la donnée est intime, plus la barre est haute. Les acteurs de la santé ne traitent pas une adresse mail ou un numéro de client. Ils gèrent des éléments qui peuvent :
- faire perdre un emploi
- faire augmenter une prime d’assurance
- modifier l’accès à un crédit
- exposer une personne à des discriminations massives
Cette nature à haut risque justifie des obligations renforcées, que le secteur de la santé ne peut plus ignorer. D’autant que la numérisation accélère tout : collecte, croisement, fuite, réutilisation.
Une fois la définition posée, une question s’impose : comment ce cadre général s’applique-t-il concrètement dans un secteur aussi fragmenté que la santé, entre hôpitaux, cabinets libéraux, plateformes numériques et industriels du médicament ?
Comment le RGPD s’applique-t-il dans le secteur de la santé ?
Un cadre général, des exceptions ciblées
Le règlement général sur la protection des données ne fait pas de cadeau au secteur de la santé, mais il ne l’ignore pas non plus. Il part d’un principe clair : interdiction de principe de traiter les données de santé, avec des exceptions strictement encadrées.
Ces exceptions couvrent notamment :
- les soins et la prise en charge médicale d’un patient
- la médecine préventive, la médecine du travail, l’évaluation de la capacité de travail
- la gestion des systèmes et services de santé
- la recherche scientifique dans le domaine de la santé, sous conditions renforcées
- la protection des intérêts vitaux d’une personne, quand elle ne peut pas donner son consentement
- le respect d’obligations légales, par exemple des obligations de déclaration
Ce n’est pas un blanc-seing. Chaque exception est conditionnée à des garanties spécifiques : accès limité, sécurité renforcée, encadrement par le droit national, parfois autorisation d’une autorité de contrôle.
Une mosaïque d’acteurs, une même responsabilité
Le secteur de la santé ressemble à un millefeuille. Hôpitaux, cliniques, cabinets libéraux, laboratoires, pharmacies, éditeurs de logiciels, plateformes de télémédecine, assureurs, employeurs via la médecine du travail. Tous manipulent des données de santé. Tous sont concernés.
Le règlement impose de distinguer clairement :
- le responsable de traitement : celui qui décide des finalités et des moyens
- le sous-traitant : celui qui traite les données pour le compte du responsable
Dans un hôpital, l’établissement est responsable de traitement. L’hébergeur de données, l’éditeur du dossier patient informatisé ou du logiciel de prise de rendez-vous sont sous-traitants. Dans un cabinet libéral, le professionnel est responsable de traitement, même s’il se cache derrière son logiciel ou son secrétariat externalisé.
La règle est brutale : celui qui décide répond. Il doit documenter ses choix, démontrer sa conformité, assumer les conséquences en cas de manquement.
Une fois le périmètre défini, reste à répondre à la question la plus concrète : que doit faire un acteur de santé pour traiter des données de santé sans se mettre hors la loi ?
Traiter des données de santé en conformité avec le RGPD
Des bases légales limitées, des finalités précises
Traiter des données de santé n’est pas une affaire d’habitude, c’est une affaire de base légale. Le règlement impose de justifier chaque traitement par un fondement précis. Dans le domaine de la santé, les plus fréquents sont :
- la nécessité pour des soins ou la prise en charge d’un patient
- le respect d’une obligation légale (déclarations, traçabilité)
- l’exercice de l’autorité publique (santé publique, surveillance épidémiologique)
- la recherche scientifique, encadrée par des textes spécifiques
- le consentement explicite, quand aucune autre base ne s’applique
Le consentement n’est pas la solution magique. Dans la relation de soins, il est souvent inadapté, car le patient n’est pas en position d’égalité. Le règlement pousse à privilégier les bases légales plus solides, liées à la mission de soin ou à la loi.
La logique de minimisation : moins de données, moins de risques
Le règlement impose un principe simple et redoutable : la minimisation. Ne collecter que ce qui est nécessaire. Ne conserver que le temps utile. Ne partager qu’avec ceux qui en ont réellement besoin.
Dans la pratique, cela impose de revoir des réflexes bien ancrés :
- arrêter de collecter « au cas où »
- limiter les champs obligatoires dans les formulaires
- éviter les copies multiples de dossiers et de comptes rendus
- restreindre les accès aux seuls professionnels concernés
Chaque donnée en trop devient un risque supplémentaire. De fuite, de piratage, de mauvaise utilisation. Dans un univers où les cyberattaques ciblent les hôpitaux et les laboratoires, cette règle n’est pas théorique.
La documentation, ou l’art de prouver sa conformité
Le règlement ne se contente pas de fixer des principes. Il exige la preuve. Registre des traitements, analyses d’impact, politiques internes, contrats de sous-traitance, procédures de gestion des incidents : tout doit être écrit, structuré, conservé.
Les outils clés sont :
- le registre des traitements, qui décrit pour chaque traitement : finalité, base légale, catégories de données, destinataires, durée de conservation
- l’analyse d’impact relative à la protection des données pour les traitements à risque élevé
- les contrats de sous-traitance, avec des clauses de sécurité et de confidentialité détaillées
- les procédures internes pour les droits des personnes, les violations de données, les sauvegardes
Cette bureaucratie peut agacer. Elle a pourtant une vertu : elle oblige les acteurs à regarder en face ce qu’ils font réellement avec les données. Et à corriger ce qui dérape.
Cette exigence générale se heurte à une réalité particulière : la pratique quotidienne des professionnels de santé libéraux, souvent seuls face à des règles complexes et à des moyens limités.
Les obligations des professionnels de santé libéraux
Un cabinet libéral est une entreprise de données
Le professionnel de santé libéral n’est pas un cas à part. Pour le règlement, il est un responsable de traitement à part entière. Son cabinet, même modeste, est une petite entreprise de données de santé.
Ses obligations sont claires :
- tenir un registre des traitements, même simplifié
- sécuriser les dossiers papier et numériques
- encadrer ses sous-traitants : secrétariat externalisé, logiciel métier, hébergeur
- informer les patients de leurs droits et des usages de leurs données
- gérer les demandes d’accès, de rectification, d’effacement quand c’est possible
Le discours du « je n’ai rien à cacher » ou du « je ne suis pas un hôpital » ne tient pas. Une seule fuite de dossier médical peut suffire à déclencher un contrôle, une sanction, voire une action en justice.
Des contraintes réelles, mais gérables
La contrainte la plus forte pour les libéraux tient souvent à la sécurité. Mots de passe robustes, chiffrement des supports, sauvegardes régulières, mises à jour des logiciels, verrouillage des écrans, rangement des dossiers papier. Rien de spectaculaire, mais un effort continu.
Les points de vigilance majeurs sont :
- l’usage d’adresses mail non sécurisées pour des comptes rendus ou des ordonnances
- le stockage de données sur des supports non chiffrés (clés usb, disques externes)
- l’accès libre à des ordinateurs dans les salles d’attente ou de consultation
- l’absence de clauses de confidentialité avec les prestataires
Le règlement ne demande pas l’impossible. Il exige des mesures proportionnées aux risques. Pour un cabinet, cela signifie du bon sens, de la rigueur, et un minimum de documentation.
Reste un point souvent négligé : l’information des patients, qui n’est pas une formalité administrative mais une obligation centrale.
Comment informer les personnes concernées par le traitement des données de santé ?
Informer n’est pas noyer sous le papier
Le règlement impose une information claire, compréhensible, accessible. Dans la santé, cette exigence se heurte à une tentation : coller une affiche illisible dans la salle d’attente et cocher la case conformité. C’est insuffisant.
L’information doit couvrir au minimum :
- l’identité et les coordonnées du responsable de traitement
- les finalités du traitement : soins, gestion administrative, facturation, recherche
- la base légale utilisée
- les destinataires des données : autres professionnels, organismes, prestataires
- la durée de conservation ou les critères qui la déterminent
- les droits des personnes : accès, rectification, limitation, opposition, portabilité
- le droit d’introduire une réclamation auprès de l’autorité de contrôle
L’information doit être donnée au moment de la collecte, de manière visible. Affichage, notice remise au patient, mention sur un formulaire en ligne : peu importe le support, pourvu que le message soit lisible et concret.
Adapter le discours au contexte de soin
Informer un patient en urgence vitale n’a rien à voir avec informer un utilisateur qui s’inscrit sur une plateforme de téléconsultation. Le règlement le sait. Il ne demande pas l’impossible, mais il attend un effort réel d’adaptation.
Quelques principes simples s’imposent :
- éviter le jargon juridique et les phrases interminables
- préciser ce qui relève de la prise en charge obligatoire et ce qui repose sur le consentement
- indiquer clairement si les données seront utilisées pour la recherche, l’enseignement, les statistiques
- expliquer comment exercer ses droits, avec un contact identifié
Une information honnête renforce la confiance. Une information floue alimente la suspicion. Dans un contexte où les scandales de fuite de données de santé se multiplient, ce n’est pas un détail.
Informer ne suffit pourtant pas. Encore faut-il protéger effectivement ces données, avec des responsabilités claires et des mesures techniques à la hauteur des enjeux.
La protection des données de santé : responsabilités et sécurisation
La responsabilité ne se délègue pas
Le responsable de traitement peut externaliser l’hébergement, la maintenance, le support. Il ne peut pas externaliser sa responsabilité. En cas de violation de données, c’est lui que l’autorité de contrôle viendra interroger en premier.
Le règlement impose une logique de responsabilisation :
- choisir des sous-traitants offrant des garanties suffisantes
- formaliser ces choix dans des contrats détaillés
- contrôler régulièrement le respect des engagements pris
- documenter les décisions, notamment en matière de sécurité
Le réflexe « c’est le logiciel qui gère » ne tient pas. Le logiciel n’est pas un bouclier juridique. C’est un outil, rien de plus.
La sécurité, un investissement obligatoire
Les cyberattaques sur les hôpitaux et les laboratoires ont rappelé une vérité brutale : la donnée de santé vaut cher. Elle se revend bien, elle s’exploite longtemps, elle se croise avec d’autres bases. Pour les pirates, c’est une cible idéale.
Le règlement impose des mesures techniques et organisationnelles appropriées. Cela passe par :
- le chiffrement des données sensibles, au repos et en transit
- la gestion fine des habilitations : qui accède à quoi, et pourquoi
- les sauvegardes régulières, testées, stockées de manière sécurisée
- les mises à jour rapides des systèmes et des logiciels
- la journalisation des accès et des actions
- la formation minimale des équipes aux risques numériques
En cas de violation de données, le responsable doit :
- documenter l’incident
- notifier l’autorité de contrôle dans les délais requis si le risque est avéré
- informer les personnes concernées lorsque le risque est élevé
La sécurité n’est plus un luxe. C’est un coût de fonctionnement incontournable, au même titre que l’électricité ou les locaux.
Cette exigence de sécurité se complique encore lorsqu’on entre dans un domaine à la fois stratégique et très exposé : celui des essais cliniques.
Interactions entre le RGPD et les essais cliniques
Essai clinique : entre science, industrie et données
L’essai clinique repose sur une promesse : produire de la connaissance scientifique fiable. Il repose aussi sur une réalité moins avouée : collecter et exploiter des volumes massifs de données de santé, souvent sur le long terme.
Le règlement impose plusieurs couches de protection :
- une base légale claire : mission d’intérêt public, obligation légale ou consentement
- une information renforcée des participants, distincte du seul consentement à participer
- une minimisation des données collectées, même au nom de la recherche
- un recours à la pseudonymisation ou à l’anonymisation quand c’est possible
Le consentement au protocole n’est pas automatiquement un consentement au traitement des données au sens du règlement. Confondre les deux est une erreur juridique et éthique.
La recherche ne dispense pas de se conformer
Le secteur de la recherche aime se présenter comme un cas particulier, au nom de l’intérêt général. Le règlement l’entend, mais ne cède pas. Il prévoit des aménagements, pas des exemptions.
Les exigences spécifiques incluent :
- des durées de conservation adaptées mais justifiées
- des restrictions d’accès strictes aux données identifiantes
- des analyses d’impact pour les projets à risque élevé
- des comités d’éthique attentifs aux enjeux de protection des données
La donnée de santé utilisée dans un essai clinique reste une donnée de santé. Elle ne se transforme pas en bien libre au prétexte qu’elle sert la science.
Au-delà de la recherche, un autre acteur manipule des données de santé dans un cadre sensible : la santé au travail, où se croisent intérêt de l’employeur, protection du salarié et exigences réglementaires.
Rôle des services de prévention en santé au travail dans le respect du RGPD
Une zone grise à clarifier
Les services de prévention en santé au travail occupent une position délicate. Ils traitent des données de santé pour évaluer l’aptitude au poste, prévenir les risques professionnels, suivre l’état de santé des salariés. Ils se situent à la frontière entre secret médical et pression économique.
Le règlement impose une séparation nette :
- les données médicales du salarié restent couvertes par le secret
- l’employeur ne reçoit que des informations limitées : apte, inapte, aménagements nécessaires
- les dossiers médicaux sont gérés par le service de santé au travail, pas par l’employeur
Le service de santé au travail est responsable de traitement pour les données médicales. L’employeur ne peut pas exiger un accès à ces données, même sous couvert de gestion des ressources humaines.
Des obligations renforcées pour un contexte sensible
Les services de santé au travail doivent mettre en place :
- des systèmes d’information distincts de ceux de l’employeur
- des accès strictement réservés aux professionnels de santé
- des durées de conservation conformes aux textes spécifiques
- une information claire des salariés sur l’usage de leurs données
La tentation de certains employeurs de contourner ces règles pour obtenir des informations détaillées sur l’état de santé des salariés n’est pas nouvelle. Le règlement offre un cadre pour y résister, à condition que les services de santé au travail assument pleinement leur rôle de garde-fou.
Face à ces multiples acteurs et contextes, il ne faut pas oublier le centre de gravité du dispositif : les droits des personnes, souvent méconnus, parfois difficiles à exercer, mais juridiquement puissants.
Les droits des personnes en matière de données de santé
Des droits théoriques, à rendre effectifs
Le règlement accorde aux personnes des droits étendus sur leurs données de santé. Sur le papier, le patient n’est plus un objet de traitement, mais un acteur.
Les droits principaux sont :
- le droit d’accès : obtenir une copie des données, dans un format compréhensible
- le droit de rectification : corriger les erreurs factuelles
- le droit à la limitation du traitement, dans certaines situations
- le droit d’opposition, quand le traitement repose sur certains fondements
- le droit à la portabilité, pour certaines données traitées de manière automatisée
Ces droits ne sont pas absolus. Dans la santé, ils se heurtent parfois à d’autres enjeux : continuité des soins, sécurité du patient, obligations légales. Mais ils ne peuvent pas être balayés d’un revers de main.
Le secret médical ne bloque pas tout
Le secret médical ne sert pas d’argument pour refuser systématiquement des demandes de patients. Il protège le contenu vis-à-vis des tiers, pas le professionnel vis-à-vis du patient lui-même.
Concrètement :
- un patient a le droit d’accéder à son dossier médical, sous réserve de quelques exceptions limitées
- le délai de réponse doit rester raisonnable
- les frais facturés, le cas échéant, doivent rester encadrés
- les refus doivent être motivés, et non pas simplement opposés
Les patients disposent aussi d’un recours : la possibilité de saisir l’autorité de contrôle en cas de difficulté persistante. Ce pouvoir de contestation change la donne, surtout face à des structures peu enclines à se remettre en cause.
Pour orchestrer ces droits, structurer les obligations et sécuriser les traitements, un acteur joue un rôle clé dans le secteur de la santé : le délégué à la protection des données.
Rôle du délégué à la protection des données (DPO) dans le secteur de la santé
Un poste stratégique, pas décoratif
Dans la santé, la désignation d’un délégué à la protection des données est souvent obligatoire, et toujours pertinente. Le volume de données, leur sensibilité, la diversité des traitements rendent ce rôle central.
Ses missions principales sont :
- informer et conseiller le responsable de traitement et les équipes
- contrôler le respect du règlement et des textes nationaux
- conseiller sur les analyses d’impact
- coopérer avec l’autorité de contrôle et en être l’interlocuteur
- être le point de contact pour les personnes concernées
Le délégué ne décide pas à la place de la direction. Il éclaire, alerte, documente. Sa force vient de son indépendance et de sa capacité à dire non quand la tentation du contournement apparaît.
Un rôle d’arbitre entre soin, recherche et business
Dans les établissements de santé, le délégué se retrouve au croisement de plusieurs logiques :
- la logique de soin, qui veut aller vite pour le patient
- la logique de recherche, qui veut accumuler et croiser les données
- la logique économique, qui veut optimiser les flux, réduire les coûts, développer de nouveaux services
Son rôle est de rappeler une évidence souvent oubliée : la donnée de santé n’appartient ni à l’hôpital, ni au laboratoire, ni à la plateforme. Elle concerne d’abord la personne. Et c’est autour de cette réalité que le règlement a construit son architecture.
Le règlement général sur la protection des données a imposé un changement de culture dans le secteur de la santé. Il ne s’agit plus de collecter d’abord et de réfléchir ensuite, mais de justifier, limiter, sécuriser, documenter. La donnée de santé reste un outil puissant pour soigner, prévenir, rechercher. Elle ne doit pas devenir une marchandise sans garde-fous. Les acteurs qui l’ont compris transforment une contrainte en avantage : la confiance des patients. Les autres s’exposent à des sanctions, mais surtout à une perte durable de crédibilité.
Comment bien choisir sa marque ?Par Maxence, le 25 janvier 2026-
Qu’est-ce que le management visuel ?Par Stéphanie, le 17 juillet 2023
-
Comment faire pour que mon blog soit visible sur Google ?Par Laurent, le 1 janvier 2023
- Comment immatriculer une voiture allemande en France ?Par Maxence, le 29 janvier 2026
- Rapport RSE : enjeux et conseils pour les entreprisesPar Maxence, le 16 février 2026
- Qu’est-ce que la radiation d’office ?Par Maxence, le 27 janvier 2026
- Quels sont les différents types de clients ?Par Laurent, le 12 juin 2023
-
Les différents indicateurs de performances à analyser pour optimiser votre système marketingPar Laurent, le 3 août 2023
- La liquidation amiable : les conditions et la procédure à suivrePar Maxence, le 26 janvier 2026
- Comment lancer son activité d’artisan entrepreneur ?Par Stéphanie, le 4 juillet 2023
