Les professionnels de santé sont confrontés à une réglementation complexe en matière de traitement des données personnelles.
Le RGPD impose des obligations spécifiques dès lors que des données sensibles, comme celles relatives à la santé, sont collectées ou utilisées.
Cet article propose une vue d’ensemble des méthodologies, guides et référentiels disponibles pour mettre en œuvre une conformité rigoureuse et adaptée, du cabinet médical à la recherche biomédicale.
Avis de DPO
Des référentiels sectoriels (CNIL, MR, guides) permettent d’appliquer la réglementation concrètement.
Il est cependant difficile de se retrouver dans le maquis des référentiels à suivre. Quels référentiels sont contraignants ? Où trouver les documents de référence ? Nous espérons répondre à ces attentes dans cet article.
Comprendre les référentiels officiels et guides pratiques pour les professionnels de santé
Avant de détailler les catégories de référentiels, rappelons quelques principes généraux :
- Les traitements de données de santé, en tant que données sensibles, nécessitent des justifications solides au regard du RGPD (article 9) et de la loi Informatique et Libertés
- La CNIL propose des référentiels comme outil de simplification des formalités : lorsqu’un traitement respecte un référentiel applicable, les formalités (déclaration, autorisation) peuvent être allégées ou automatisées
- Toutefois, l’application d’un référentiel est souvent conditionnée à ce que le traitement reste dans les limites fixées par le texte : tout dépassement (finalité, échelle, durée, sécurisation) peut requalifier le traitement et imposer une demande d’autorisation ou une autre formalité
- Enfin, la CNIL distingue entre les traitements de routine / gestion courante (hors recherche) et ceux relevant de la recherche, des études ou évaluations (des cycles « projet »)
Les catégories de référentiels en santé
| Catégorie |
Niveau de contrainte |
Exemples de fichiers |
Formalité CNIL |
| 1. Référentiels souples |
Moyenne |
Vigilances, accès précoce, médico-social |
Déclaration de conformité |
| 2. Guides pratiques |
Faible |
CNOM, CNOP, NIR, SNDS |
Aucune (aide à la conformité) |
| 3. Référentiels “durs” soumis à contrôle |
Élevée |
Entrepôt de données de santé |
Autorisation |
| 4. Méthodologies de référence (MR) |
Moyenne à élevée |
MR-001 à MR-008 |
Déclaration MR / autorisation |
| Catégorie |
Niveau de contrainte |
Exemple de fichiers |
Formalité CNIL |
| 1. Référentiels souples |
Moyenne |
Vigilances, accès précoce, médico-social |
Déclaration de conformité |
| Catégorie |
Niveau de contrainte |
Exemple de fichiers |
Formalité CNIL |
| 2. Guides pratiques |
Faible |
CNOM, CNOP, NIR, SNDS |
Aucune (aide à la conformité) |
| Catégorie |
Niveau de contrainte |
Exemple de fichiers |
Formalité CNIL |
| 3. Référentiels “durs” soumis à contrôle |
Élevée |
Entrepôt de données de santé |
Autorisation |
| Catégorie |
Niveau de contrainte |
Exemple de fichiers |
Formalité CNIL |
| 4. Méthodologies de référence (MR) |
Moyenne à élevée |
MR-001 à MR-008 |
Déclaration MR / autorisation |
1. Les référentiels souples : contrainte moyenne
Répondre à ces référentiels permet d’être en conformité au RGPD : comme ceux présentés ci-dessous :
| Fichier | Intitulé / Contenu | Type de traitement visé |
|---|
| Référentiel cabinet - PDF |
Référentiel relatif aux traitements de données dans les cabinets médicaux et paramédicaux |
Pharmaciens d’officine |
| Fichier | Intitulé / Contenu | Type de traitement visé |
|---|
| Guide durées de conservation - PDF |
Guide CNIL sur les durées de conservation des données en santé |
Tous les acteurs du secteur santé |
Découvrez en plus au sujet du référentiel lié à l’entrepôt de données de santé.
2. Guides pratiques
Les guides pratiques fournissent un cadre d’application pour les professionnels de santé dans les différents cas suivants :
| Fichier | Titre | Public concerné / Usage |
|---|
| Guide CNOM CNIL - PDF |
Guide CNOM–CNIL sur la protection des données personnelles. |
Médecins libéraux et praticiens de santé. |
| Fichier | Titre | Public concerné / Usage |
|---|
| Guide RGPD CNOP CNIL - PDF |
Guide CNOP–CNIL : pharmacien d’officine et protection des données. |
Pharmaciens, officines. |
3. Référentiels “durs” soumis à autorisation si non conforme
Si le traitement respecte intégralement le référentiel, une simple déclaration de conformité à la CNIL suffit. Cependant, chaque mesure de contrôle devra être justifiée. Le plus utilisé est ici le référentiel des entrepôts de données de santé.
| Fichier |
Titre / Domaine |
Traitement visé |
| Référentiel entrepôt - PDF |
Référentiel relatif aux entrepôts de données de santé. |
Centralisation, réutilisation, recherche et pilotage à partir de données hospitalières. |
| Check-list de conformité référentiel données santé - PDF |
Check-list de conformité du référentiel « Entrepôt de données de santé ». |
Outil d’auto-vérification CNIL pour les entrepôts. |
| Référentiel vigilances sanitaires - PDF |
Référentiel relatif aux traitements de données à des fins de gestion des vigilances sanitaires. |
Pharmacovigilance, matériovigilance, biovigilance, etc. |
| Référentiel accès précoce - PDF |
Référentiel pour les laboratoires exploitant un médicament bénéficiant d’une autorisation d’accès précoce. |
Suivi des patients dans les programmes d’accès précoce. |
| Référentiel accès compassionnel - PDF |
Référentiel pour les traitements de médicaments sous autorisation d’accès compassionnel. |
Suivi de patients et gestion des programmes compassionnels. |
| Fichier | Titre | Public concerné / Usage |
|---|
| Référentiel entrepôt - PDF |
Référentiel relatif aux entrepôts de données de santé. |
Centralisation, réutilisation, recherche et pilotage à partir de données hospitalières. |
| Fichier | Titre / Domaine | Traitement visé |
|---|
| Référentiel vigilances sanitaires - PDF |
Référentiel relatif aux traitements de données à des fins de gestion des vigilances sanitaires. |
Pharmacovigilance, matériovigilance, biovigilance, etc. |
| Fichier | Titre / Domaine | Traitement visé |
|---|
| Référentiel accès précoce - PDF |
Référentiel pour les laboratoires exploitant un médicament bénéficiant d’une autorisation d’accès précoce. |
Suivi des patients dans les programmes d’accès précoce. |
| Fichier | Titre / Domaine | Traitement visé |
|---|
| Référentiel accès compassionnel - PDF |
Référentiel pour les traitements de médicaments sous autorisation d’accès compassionnel. |
Suivi de patients et gestion des programmes compassionnels. |
4. Les Méthodologies de référence (MR)
Le traitement est déclaré à la CNIL en auto-conformité déclarative, dans le cadre d’une mission de recherche précise.
Découvrez en plus au sujet des méthodologies de référence.
| Fichier |
Intitulé / Champ couvert |
Base légale principale |
| MR 001 - PDF |
Recherches avec recueil du consentement. |
Consentement (art. 9-2-a RGPD). |
| MR 002 - PDF |
Études non interventionnelles de performance des dispositifs médicaux in vitro. |
Intérêt public / recherche. |
| MR 003 - PDF |
Recherches sans recueil du consentement (information + non-opposition). |
Intérêt public (art. 9-2-j RGPD). |
| MR 004 - PDF |
Recherches n’impliquant pas la personne humaine (réutilisation de données). |
Intérêt public. |
| MR 005 - PDF |
Études nécessitant l’accès aux données PMSI / RPU par les établissements de santé. |
Intérêt public (mission). |
| MR 006 - PDF |
Études PMSI menées par industriels de santé. |
Intérêt public + encadrement CNIL. |
| MR 007 - PDF |
Accès au SNDS par des organismes publics. |
Mission d’intérêt public. |
| MR 008 - PDF |
Accès au SNDS par des organismes agissant selon leur intérêt légitime. |
Intérêt légitime (art. 6-1-f RGPD). |
| Guide accompagnement SDNS - PDF |
Guide pédagogique du référentiel de sécurité du SNDS. |
RSSI et administrateurs manipulant des données SNDS. |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 001 - PDF |
Recherches avec recueil du consentement. |
Consentement (art. 9-2-a RGPD). |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 002 - PDF |
Études non interventionnelles de performance des dispositifs médicaux in vitro. |
Intérêt public / recherche. |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 003 - PDF |
Recherches sans recueil du consentement (information + non-opposition). |
Intérêt public (art. 9-2-j RGPD). |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 004 - PDF |
Recherches n’impliquant pas la personne humaine (réutilisation de données). |
Intérêt public. |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 005 - PDF |
Études nécessitant l’accès aux données PMSI / RPU par les établissements de santé. |
Intérêt public (mission). |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 006 - PDF |
Études PMSI menées par industriels de santé. |
Intérêt public + encadrement CNIL. |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 007 - PDF |
Accès au SNDS par des organismes publics. |
Mission d’intérêt public. |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| MR 008 - PDF |
Accès au SNDS par des organismes agissant selon leur intérêt légitime. |
Intérêt légitime (art. 6-1-f RGPD). |
| Fichier | Intitulé / Champ couvert | Base légale principale |
|---|
| Guide accompagnement SDNS - PDF |
Guide pédagogique du référentiel de sécurité du SNDS. |
RSSI et administrateurs manipulant des données SNDS. |
Comparaison des Méthodologies de Référence (MR) entre elles
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-001 — Recherches avec recueil du consentement |
Consentement (art. 6-1-a RGPD) + Intérêt public (art. 9-2-j RGPD) |
Patients participants à une recherche interventionnelle ou génétique |
Promoteur, investigateurs, autorités sanitaires, CNIL si applicable |
Pseudonymisation, limitation des accès, transfert hors UE strictement encadré |
| MR-002 — Études non interventionnelles de performances des dispositifs médicaux de diagnostic in vitro |
Intérêt public (art. 9-2-j RGPD) |
Participants aux études (patients, professionnels de santé) |
Promoteur de l’étude, laboratoires, autorités compétentes |
Codage alphanumérique, conservation séparée du lien identité/code, hébergement sécurisé |
| MR-003 — Recherches sans recueil du consentement |
Intérêt public (art. 6-1-e et 9-2-j RGPD) |
Patients informés sans opposition |
Promoteur, INDS, CNIL |
Cloisonnement des données, pseudonymisation, conformité au référentiel SNDS |
| MR-004 — Recherches n’impliquant pas la personne humaine (réutilisation de données) |
Intérêt public (art. 6-1-e RGPD) |
Données issues du soin ou d’études antérieures |
Responsable de l’étude, organismes de recherche |
Anonymisation, transfert sécurisé, données strictement nécessaires |
| MR-005 — Études PMSI / RPU (établissements de santé) |
Mission d’intérêt public (art. 6-1-e RGPD) |
Patients hospitalisés (données PMSI et urgences) |
ATIH, fédérations hospitalières, INDS |
Enregistrement au registre public, absence d’appariement, accès restreint |
| MR-006 — Études PMSI (industriels de santé) |
Intérêt public + obligation légale (art. 9-2-i RGPD) |
Données issues du PMSI (patients indirectement identifiés) |
Industriels de santé via bureaux d’études agréés |
Audit triennal, interdiction des finalités interdites, hébergement certifié |
| MR-007 — Accès SNDS (organismes publics) |
Mission d’intérêt public (art. 6-1-e RGPD) |
Données issues du SNDS (patients indirectement identifiés) |
Organismes publics, CNAM, CESREES |
Pseudonymisation, conformité au référentiel SNDS, interdiction de réidentification |
| MR-008 — Accès SNDS (intérêt légitime) |
Intérêt légitime (art. 6-1-f RGPD) |
Données SNDS (patients indirectement identifiés) |
Organismes privés agréés, CNIL, CESREES |
Évaluation éthique préalable, hébergement agréé HDS, traçabilité des accès |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-001 — Recherches avec recueil du consentement |
Consentement (art. 6-1-a RGPD) + Intérêt public (art. 9-2-j RGPD) |
Patients participants à une recherche interventionnelle ou génétique |
Promoteur, investigateurs, autorités sanitaires, CNIL si applicable |
Pseudonymisation, limitation des accès, transfert hors UE strictement encadré |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-002 — Études non interventionnelles de performances des dispositifs médicaux de diagnostic in vitro |
Intérêt public (art. 9-2-j RGPD) |
Participants aux études (patients, professionnels de santé) |
Promoteur de l’étude, laboratoires, autorités compétentes |
Codage alphanumérique, conservation séparée du lien identité/code, hébergement sécurisé |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-003 — Recherches sans recueil du consentement |
Intérêt public (art. 6-1-e et 9-2-j RGPD) |
Patients informés sans opposition |
Promoteur, INDS, CNIL |
Cloisonnement des données, pseudonymisation, conformité au référentiel SNDS |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-004 — Recherches n’impliquant pas la personne humaine (réutilisation de données) |
Intérêt public (art. 6-1-e RGPD) |
Données issues du soin ou d’études antérieures |
Responsable de l’étude, organismes de recherche |
Anonymisation, transfert sécurisé, données strictement nécessaires |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-005 — Études PMSI / RPU (établissements de santé) |
Mission d’intérêt public (art. 6-1-e RGPD) |
Patients hospitalisés (données PMSI et urgences) |
ATIH, fédérations hospitalières, INDS |
Enregistrement au registre public, absence d’appariement, accès restreint |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-006 — Études PMSI (industriels de santé) |
Intérêt public + obligation légale (art. 9-2-i RGPD) |
Données issues du PMSI (patients indirectement identifiés) |
Industriels de santé via bureaux d’études agréés |
Audit triennal, interdiction des finalités interdites, hébergement certifié |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-007 — Accès SNDS (organismes publics) |
Mission d’intérêt public (art. 6-1-e RGPD) |
Données issues du SNDS (patients indirectement identifiés) |
Organismes publics, CNAM, CESREES |
Pseudonymisation, conformité au référentiel SNDS, interdiction de réidentification |
| Méthodologie de Référence (MR) |
Base légale (RGPD / CSP) |
Personnes concernées |
Destinataires des données |
Mesures de sécurité |
| MR-008 — Accès SNDS (intérêt légitime) |
Intérêt légitime (art. 6-1-f RGPD) |
Données SNDS (patients indirectement identifiés) |
Organismes privés agréés, CNIL, CESREES |
Évaluation éthique préalable, hébergement agréé HDS, traçabilité des accès |
Comment construire une méthodologie de conformité en santé ?
La mise en conformité RGPD dans le secteur de la santé ne peut se résumer à l’application formelle d’un texte. Elle repose sur une démarche structurée, adaptée aux spécificités des traitements réalisés.
Cette section détaille une méthodologie opérationnelle, applicable aussi bien à un hôpital qu’à une maison de santé ou à un laboratoire de recherche.
1. Identifier les traitements de données et leurs finalités
La première étape d’une démarche de conformité consiste à recenser les traitements de données à caractère personnel, en décrivant pour chacun :
- Les finalités poursuivies
- Les catégories de données traitées
- Les personnes concernées (patients, professionnels, partenaires…)
- Les destinataires des données
- Les durées de conservation
- La base légale du traitement (consentement, mission d’intérêt public, etc.)
Ce travail alimente le registre des activités de traitement (article 30 du RGPD), document central en cas de contrôle par la CNIL.
Exemple : Un hôpital recense dans son registre :
- Un traitement pour la gestion des rendez-vous patients
- Un autre pour le pilotage médico-économique via son entrepôt de données
- Un troisième pour la recherche clinique sur une pathologie rare
2. Réaliser une AIPD santé : les étapes clés
L’analyse d’impact relative à la protection des données (AIPD) est obligatoire pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.
Les traitements en santé, notamment lorsqu’ils impliquent des données sensibles à grande échelle, relèvent presque toujours de cette exigence.
Les étapes recommandées :
- Décrire le traitement : objectifs, données concernées, acteurs
- Évaluer la nécessité et la proportionnalité
- Identifier les risques potentiels
- Définir les mesures techniques et organisationnelles prévues
- Consulter, si nécessaire, le DPO ou la CNIL (article 36)
Il est possible de s’appuyer sur les guides AIPD de la CNIL, mais aussi sur des trames types développées par des CHU, ARS ou GHT.
3. Mettre en place une gouvernance de la conformité
Une démarche efficace repose sur une gouvernance claire. Celle-ci peut être organisée en plusieurs niveaux :
- DPO : pilote la conformité, sensibilise, audite, conseille les services
- Comité de pilotage : supervise les grands projets (entrepôt, SI, recherche…)
- Référents métiers : relais dans les services cliniques ou administratifs
- DIM (Département d’Information Médicale) : acteur central pour les données issues du soin
Objectif : faire de la conformité un levier de performance collective, plutôt qu’une contrainte isolée.
FAQ – Questions fréquentes sur le RGPD et les données de santé
Le RGPD s’applique-t-il aux chercheurs dans le public ?
Oui. Les chercheurs sont tenus de respecter le RGPD, notamment s’ils traitent des données de santé.
Faut-il toujours une AIPD en santé ?
Oui, dans la majorité des cas. Une analyse d’impact est requise pour les traitements à risque élevé.
Les données pseudonymisées sont-elles encore des données personnelles ?
Oui. Tant qu’une réidentification est possible, elles restent personnelles.
Un professionnel de santé libéral est-il concerné par le RGPD ?
Oui. Dès qu’il traite des données personnelles, il est soumis au RGPD.
Quels traitements doivent faire l’objet d’une autorisation CNIL ?
Ceux qui ne respectent pas un cadre de référence validé doivent être autorisés.
