Blog
GDPR compliance and best practices

Comment encadrer la réutilisation des données de santé : retour sur notre webinar

Découvrez les questions posées lors de notre webinar "Comment encadrer la réutilisation des données de santé ?". Animé en regard croisé par Calixte Descamps (Adequacy) et Valentine Chauveau (Aumans Avocats), il apporte des réponses concrètes sur la licéité, les entrepôts de données de santé (EDS) et l'IA Act pour assurer votre mise en conformité RGPD. Le replay et le support PPT sont disponibles pour approfondir ces enjeux.

By
1
Min
Share this article
Données de santé
Summary
Heading 2

Cet événement a été animé en regard croisé par Calixte Descamps, Privacy Officer certifiée Afnor (Adequacy) et Valentine Chauveau, Avocate au Barreau de Paris (Aumans Avocats), dotées d’une expertise pluridisciplinaire, notamment en matière de conformité dans le secteur de la santé. Vous pouvez dès maintenant visionner le replay de l'événement et télécharger le support de présentation.

La réutilisation des données de santé pour la recherche ou l'intelligence artificielle exige une conformité rigoureuse au RGPD, aux méthodes de référence de la CNIL et au futur EHDS. Entre la vérification de la licéité initiale, l'information des patients et l'application de l'IA Act, les responsables de traitement doivent naviguer entre sécurité juridique et innovation. Ce guide détaille les obligations essentielles pour les entrepôts de données de santé (EDS), les chatbots médicaux et les publications scientifiques.

Afin de vérifier la licéité de la collecte initiale, la notice d'information est-elle suffisante ?

La seule vérification de la notice d’information ne suffit pas à établir la licéité de la collecte initiale de données de santé. Si la notice est susceptible de répondre aux exigences du RGPD et des méthodologies de référence (MR) de la CNIL, elle ne permet pas à elle seule d’assurer la conformité globale du traitement. Il faut ainsi également s’assurer de l’existence :

  • D’une base légale valable (article 6 RGPD)
  • D’une dérogation applicable aux données de santé (article 9 RGPD)
  • D’un engagement de conformité à une MR ou d’une autorisation CNIL le cas échéant
  • Du respect des principes fondamentaux du RGPD (finalité, minimisation, sécurité, droits des personnes)

En cas de réutilisation de données de santé, un examen complet du protocole, des consentements et des avis/autorisations est également indispensable.

Que faut-il mentionner dans les publications de résultats de recherches en santé ?

Par principe, la publication des résultats de recherches en santé ne doit pas contenir de donnée directement ou indirectement identifiante de patient, sauf si leur consentement explicite a été recueilli à cette fin. Cela signifie que seuls des résultats comprenant des données anonymisées pourront faire l’objet d’une publication.

Les responsables de la recherche devront ainsi vérifier que les données publiées remplissent les conditions applicables à l’anonymisation des données (actuellement fixées par l’avis du G29, désormais CEPD, sur les techniques d’anonymisation).

Quelles démarches pour le développeur d'un chatbot IA destiné aux étudiants en médecine ?

En pratique, le développeur d’un tel chatbot devra notamment assurer le respect des obligations suivantes :

  • Vérifier si des données de santé sont concernées : si le chatbot utilise des scénarios médicaux réels, il faut s’assurer que ces données soient anonymisées (pas d’informations identifiantes). Autrement, il sera notamment nécessaire de mobiliser l’une des dérogations de l’article 9 du RGPD et de réaliser une AIPD (analyse d’impact)
  • Assurer le respect du principe de privacy by design : intégrer la protection des données dès l’architecture technique, notamment en intégrant des jeux de données fictifs pour l’entraînement du chatbot, ou encore en adaptant le parcours d’utilisation pour que les informations relatives aux traitements de données effectués via le chatbot soient visibles et claires
  • Vérifier la base légale et l’information complète des personnes concernées : définir une base légale de traitement de données adéquate et informer clairement les étudiants avant utilisation (identité du responsable, finalités, catégories de données collectées, durée de conservation, droits, etc.)

Si le chatbot intègre un système d’IA (SIA) au sens de l’IA Act, le développeur devra qualifier son rôle (ex. déployeur, fournisseur, distributeur) et le niveau de risque du SIA. En fonction de ces deux éléments, des obligations plus ou moins contraignantes issues de l’IA Act devront également être respectées et intégrées dès la phase de conception du chatbot.

Pour en savoir plus sur les obligations applicables aux projets en santé impliquant le recours à l’IA, Aumans Avocats et Adequacy organisent un webinaire dédié le 16 avril prochain auquel vous pouvez participer : [lien inscription].

Quelles démarches sont nécessaires en cas de traitement secondaire par le même responsable ?

En cas de réutilisation de données par le même responsable de traitement, ce dernier doit s'assurer, conformément à l'article 6.4 du RGPD, que la nouvelle finalité est compatible avec la finalité initiale. Pour ce faire, il doit réaliser un test de compatibilité basé sur 5 critères (lien entre les finalités, contexte de la collecte, nature des données, conséquences pour les personnes et garanties de sécurité).Deux scénarios se présentent alors :

  • Si le test est positif (compatible) : le traitement peut se poursuivre sans nouvelle base légale. Le responsable doit simplement mettre à jour son registre et informer les personnes de cette nouvelle finalité (Art. 13.3)
  • Si le test est négatif (incompatible) : le responsable doit soit obtenir un nouveau consentement, soit s'appuyer sur une base légale spécifique. Il devra alors créer une nouvelle fiche de traitement

Enfin, une analyse d'impact (AIPD) devra être envisagée si ce nouveau traitement est susceptible d'engendrer un risque élevé, notamment en cas de changement significatif de la nature du traitement ou de l'usage de technologies innovantes.

La constitution d'un EDS peut-elle avoir une finalité commerciale ?

La constitution d'un EDS peut inclure des objectifs d'optimisation de produits de santé par des acteurs privés, car cela entre dans le cadre de la recherche scientifique et de l'innovation. Cependant, le cadre légal (référentiel de la CNIL) impose que le traitement poursuive un intérêt public. Sont donc strictement exclues les finalités purement mercantiles comme le marketing, la publicité ou l'ajustement de primes d'assurance.

Analyse détaillée : un acteur privé (industriel de santé) peut tout à fait accéder à un EDS ou en constituer un, à condition que la finalité soit de la recherche, de l'étude ou de l'évaluation (REDS). L'optimisation d'un produit de santé (médicament, dispositif médical) par l'analyse du comportement des patients est considérée comme une finalité de recherche scientifique. Même si cette recherche sert in fine les intérêts économiques d'une entreprise, elle est reconnue comme ayant un intérêt public indirect (amélioration des soins, innovation thérapeutique).

Il est interdit d'utiliser les données d'un EDS (Article L1461-1 du Code de la santé publique) pour :

  • La promotion des produits (marketing direct auprès des patients ou des médecins)
  • L'exclusion de garanties de contrats d'assurance ou la modification de cotisations
  • Le ciblage publicitaire

Pour qu'un EDS (ou un accès à un EDS) soit autorisé, le responsable de traitement doit démontrer que le projet présente un intérêt public :

  • Si l'analyse vise seulement à "vendre plus" : c'est interdit
  • Si l'analyse vise à "mieux comprendre les effets secondaires pour améliorer la sécurité du produit" : c'est autorisé, même si cela aide commercialement l'entreprise

Une société privée peut-elle réutiliser des données de santé pour du profilage anonymisé ?

Le point clé réside ici dans le procédé d’anonymisation. Si l’anonymisation permet de lever les restrictions liées à l’application de la règlementation de protection des données dans ce cas de figure, cet aspect doit faire l’objet d’une certaine vigilance. En effet, l’anonymisation en elle-même est considérée comme un traitement de données à caractère personnel, lequel implique ainsi le respect du RGPD.

Il est donc nécessaire de disposer d’une base légale adéquate ou encore d’informer les personnes concernées (les patients) du traitement de leurs données personnelles à des fins d’anonymisation. Le procédé d’anonymisation doit également respecter les conditions applicables en la matière (actuellement fixées par l’avis du G29, désormais le CEPD, sur les techniques d’anonymisation).

Or, ici, le profilage semble antinomique avec la notion d’anonymisation – laquelle implique de ne pas pouvoir réidentifier ou réindividualiser les personnes concernées. Le profilage en question ne doit donc pas permettre d’isoler un patient et doit uniquement permettre de constituer des groupes de patients suffisamment importants pour éviter toute réindividualisation.

Le consentement spécifique est-il nécessaire et suffisant pour ce traitement ?

L’utilisation d’un consentement explicite et spécifique permettrait d’assurer que les patients ont été informés que les données de santé vont être utilisées en dehors de la finalité initiale pour laquelle elles ont été collectées.

Le recueil du consentement ne constitue toutefois pas un "blanc-seing" permettant à lui-seul de réutiliser des données de santé. Les conditions évoquées précédemment demeurent applicables. En outre, le consentement doit être libre, spécifique, éclairé et formulé explicitement (article 9.2.a RGPD).

Quelle différence entre recherche en santé et recherche scientifique pour le RGPD ?

La différence entre recherche en santé et recherche scientifique ne réside pas seulement dans l'objet de l'étude, mais dans le cadre réglementaire applicable. Alors que la recherche scientifique est une notion large au sens du RGPD (Art. 89) permettant des assouplissements sur la durée de conservation et la réutilisation des données, la recherche en santé constitue un régime spécial. Elle impose des contraintes de sécurité et d'éthique plus fortes (Art. 9 du RGPD) car elle manipule des données sensibles.

En France, la recherche en santé est strictement encadrée par le Code de la santé publique et nécessite souvent le respect des méthodes de référence de la CNIL et l'intervention de comités de protection (CPP), ce qui n'est pas le cas pour une recherche scientifique standard ne portant pas sur des données de santé.

Analyse détaillée : au sens du RGPD, la recherche scientifique n'est pas juste un "sujet", c'est un statut. Si un traitement de données est qualifié de "recherche scientifique", il bénéficie de dérogations :

  • Compatibilité par défaut : on peut réutiliser des données collectées pour un autre but si c'est pour de la recherche scientifique (présomption de compatibilité)
  • Conservation longue : on peut conserver les données plus longtemps que prévu initialement
  • Droits des personnes : certains droits (accès, rectification, opposition) peuvent être limités s'ils rendent impossible la réalisation de la recherche

La recherche en santé est une forme de recherche scientifique, mais elle traite par définition des données sensibles (données de santé). À ce titre :

  • Interdiction de principe : le traitement des données de santé est interdit, sauf exception (Art. 9.2.j du RGPD pour la recherche)
  • Le cadre français (CNIL) : en France, contrairement à une recherche scientifique classique, la recherche en santé doit généralement respecter les méthodes de référence (MR) de la CNIL (MR-001, MR-003, MR-004, etc.)
  • Loi Jardé (RIPH) : si la recherche porte sur l'être humain (essais cliniques), elle doit obtenir l'avis d'un CPP, ce qui n'est pas requis pour une recherche scientifique en mathématiques ou en physique

Quels sont les impacts du futur règlement EHDS sur la recherche en santé ?

Le règlement n°2025/327 dit EHDS a notamment pour objectif de faciliter l’accès à de larges volumes de données au sein de l’Union européenne via des organismes d’accès aux données de santé (Health Data Access Bodies), chargés d’évaluer les demandes de réutilisation des données. Ainsi, le règlement EHDS opère une distinction entre la recherche primaire et la recherche secondaire :

  • La recherche primaire couvre l’ensemble des traitements directement liés au parcours de soin, comme la prévention, le diagnostic, la prise en charge du patient ou le fonctionnement du dossier patient
  • La recherche secondaire vise des objectifs ultérieurs et distincts, tels que la recherche scientifique, l’analyse statistique, l’évaluation de technologies en santé, etc.

Ce règlement permettra notamment de disposer d’un cadre unifié pour la réalisation de recherches ou d’entrepôts de données de santé à l’échelle européenne. Toutefois, il doit être précisé que les dispositions relatives à l’usage secondaire des données n’entreront en application qu’en mars 2029.

FAQ - encadrer la réutilisation des données de santé

Peut-on réutiliser des données de santé sans nouveau consentement ?

Oui, si un test de compatibilité selon l'article 6.4 du RGPD est positif ou si le traitement entre dans le cadre de la recherche scientifique avec les garanties appropriées.

Quelles sont les sanctions pour un usage commercial interdit d'un EDS ?

  • L'utilisation de données de santé pour du marketing ou du ciblage publicitaire est strictement interdite par le Code de la santé publique et le RGPD. 


    • Le règlement EHDS remplace-t-il le RGPD ?

  • Non, l'EHDS vient compléter le RGPD en créant un cadre spécifique pour le partage et la réutilisation des données de santé au sein de l'Union européenne.

    • The latest news

    GDPR compliance and best practices

    Registre RGPD : comment définir le bon niveau de granularité pour vos fiches de traitement ?

    Le registre des activités de traitement n'est pas une archive statique, mais un levier de gouvernance vivant. Pour de nombreux DPO, le défi majeur réside dans la granularité des fiches de traitement : comment être précis sans multiplier inutilement les documents ? En s'appuyant sur un faisceau d'indices (finalités, catégories de données, durées de conservation), il est possible de structurer un registre cohérent. Ce guide détaille les règles d'or pour regrouper ou scinder vos activités afin d'assurer une conformité durable et une gestion simplifiée grâce aux outils SaaS adaptés.

    Calixte Descamps
    GDPR compliance and best practices

    Why do consulting and law firms have an interest in relying on a GDPR and IA Act compliance tool?

    Faced with the increasing complexity of the GDPR and the arrival of the AI Act, consulting and law firms must transform compliance from a constraint into a strategic lever. The use of dedicated software makes it possible to centralize records, automate document production and guarantee total traceability, where traditional tools such as Excel reach their limits. By adopting a SaaS solution like Adequacy, professionals secure their deliverables, accelerate the execution of their missions and offer continuous management that retains their customers over the long term.

    Guillemette Songy
    GDPR compliance and best practices

    Cyberbullying and algorithmic surveillance: the urgency of digital ethics

    In 2026, total digital immersion erased the boundaries between private and professional life, giving way to systemic cyberbullying fuelled by intrusive algorithms. Whether it's viral lynchings assisted by AI among adolescents or permanent micro-control via People Analytics in business, data has become a vector of psychological suffering. To counter this invisible epidemic, organizations must move from simple paper compliance to an ethics of responsibility including rigorous audits of their surveillance tools, the anonymization of performance data, and technical compliance with a right to digital darkness.

    Guillemette Songy

    They have trusted us for years

    Used by over 10,000 legal entities

    Discover Adequacy

    One of our experts introduces Adequacy to you in a real situation.
    Request a quote