Blog
GDPR compliance and best practices

Réutilisation des données de santé : les 8 prérequis (RGPD, Code de la santé publique, doctrine CNIL et exigences sectorielles)

La réutilisation des données de santé est un moteur d’innovation crucial, notamment pour la recherche, l'amélioration des soins et le développement d’outils d'IA. Cependant, ce processus est strictement encadré par le RGPD, le Code de la santé publique et la doctrine CNIL. Avant tout projet, il est impératif de valider 8 prérequis incontournables qui conditionnent la licéité et la conformité du traitement ultérieur. De la qualification de l’usage (primaire vs secondaire) à l’hébergement HDS et aux exigences de l’AI Act, une démarche méthodique et rigoureuse est la seule garantie d'un usage innovant, maîtrisé et durable.

By
Rémy Bozonnet
1
Min
Share this article
Recherche données médicales, ordinateur et stéthoscope
Summary
Heading 2

La réutilisation des données de santé représente aujourd’hui un levier majeur d’innovation, qu’il s’agisse de recherche, d’amélioration des parcours de soins, d’analyse statistique ou de développement d’outils d’intelligence artificielle. Mais elle est également encadrée par un ensemble de règles strictes combinant RGPD, Code de la santé publique, doctrine CNIL et exigences sectorielles.

Avant d’envisager le moindre projet, il est essentiel d’identifier les prérequis qui conditionnent la licéité du traitement initial des données.

Webinar - Données de Santé
29 janvier 2026|11h00 - 12h00 : maîtrisez la conformité pour l'innovation et la recherche

Inscrivez-vous au webinar du 29 janvier pour maîtriser le cadre juridique complexe et les étapes clés de la conformité (RGPD, CNIL) encadrant la réutilisation des données de santé. Cette session vous fournira la méthodologie et les outils nécessaires pour sécuriser vos projets d'innovation clinique et d'optimisation des organisations.

S'inscrire


1. Distinguer l’usage : primaire vs. secondaire (RGPD)

La première étape consiste à distinguer si l’on se situe dans une utilisation primaire ou dans une utilisation secondaire des données.

  • L’utilisation primaire recouvre l’ensemble des traitements directement liés au parcours de soin, comme la prévention, le diagnostic, la prise en charge du patient ou le fonctionnement du dossier patient.
  • La réutilisation secondaire vise au contraire des objectifs ultérieurs et distincts, tels que la recherche scientifique, l’analyse statistique, l’amélioration d’un produit ou encore la conception d’un modèle d’IA.

Cette distinction est fondamentale car elle détermine le régime juridique applicable, les bases légales mobilisables et les obligations applicables au responsable de traitement.

2. Valider la licéité de la collecte initiale

Aucune réutilisation n’est possible si la collecte initiale n’a pas été réalisée dans le respect du RGPD. En effet, l’illicéité du traitement initial entache de facto le traitement ultérieur.

Parmi les points à vérifier, il est nécessaire de s’assurer :

  • Qu’une base légale adéquate a été mobilisée lors de la collecte initiale des données, ainsi qu’une exception au titre de l’article 9 du RGPD autorisant le traitement de données sensibles.
  • Que l’information délivrée aux personnes au moment de la collecte a été complète, loyale et transparente, en respectant les mentions obligatoires au titre des articles 12 et suivants du RGPD.
  • Que les durées de conservation prévues sont cohérentes avec la nouvelle finalité et, le cas échéant, adaptées ou réévaluées.
  • Que les droits des personnes peuvent s’exercer de manière effective.
  • Que le traitement initial est correctement documenté dans le registre des activités de traitements.

Lorsque le réutilisateur n’est pas le primo-collectant, des précautions supplémentaires doivent être prises : autorisation explicite du responsable de traitement initial, contractualisation du transfert, clarification des rôles et vérification stricte des exigences de sécurité et d’hébergement, notamment HDS.

3. Vérifier la compatibilité de la nouvelle finalité

La réutilisation n’est licite que si la finalité envisagée est compatible avec celle de la collecte initiale. Cette compatibilité doit être évaluée à l’aide d’un véritable test, prenant en compte :

  • Le lien entre les finalités
  • Le contexte de collecte
  • La nature sensible des données
  • Les impacts potentiels pour les personnes
  • Les mesures de sécurité prévues

Certaines réutilisations bénéficient cependant d’un régime spécifique, notamment celles réalisées à des fins de recherche scientifique ou statistique, ou encore celles reposant sur une anonymisation préalable des données.

4. Qualifier le projet et le cadre juridique (Loi Jardé, AI Act)

La qualification juridique du projet conditionne le cadre applicable. Un projet de recherche ne sera pas traité de la même manière qu’un projet d’entraînement d’un modèle d’IA ou qu’une étude statistique interne.

La réutilisation peut relever d’une méthodologie de référence (MR-003 ou MR-004), de la Loi Jardé, d’une analyse d’impact relative à la protection des données (AIPD), voire d’un avis éthique spécifique. Les projets impliquant de l’intelligence artificielle doivent par ailleurs s’inscrire dans les exigences de l’AI Act, qui renforce les obligations de documentation, de gouvernance et de gestion des risques.

5. Garantir un niveau de sécurité adapté (HDS)

La réutilisation de données de santé suppose un niveau de sécurité particulièrement élevé.

  • Les traitements externalisés doivent être hébergés chez un prestataire certifié HDS (Hébergeur de Données de Santé).
  • Les données doivent être protégées par des mesures fortes de chiffrement, de journalisation, de traçabilité, de contrôle des accès et d’auditabilité.
  • La gestion des habilitations doit répondre à un principe strict de “besoin d’en connaître”.

La sécurité constitue un prérequis absolu et non un simple volet accessoire du projet.

6. Structurer la gouvernance et la documentation (AIPD)

Au-delà de la licéité, un projet de réutilisation doit être solidement documenté.

  • Le registre des traitements doit être mis à jour pour intégrer le nouveau traitement de données réalisé.
  • Une AIPD peut également s’avérer nécessaire au regard de la sensibilité des données et du risque élevé.
  • La base légale, l’analyse de compatibilité, les mesures de sécurité et la logique de minimisation doivent être tracées.

Une gouvernance claire doit être définie : rôles des acteurs, processus de validation, instances internes, documentation et procédures.

{{newsletter}}

7. Encadrer les flux externes et les partenariats

La réutilisation de données de santé implique fréquemment plusieurs acteurs. Les échanges doivent être précisément documentés et sécurisés.

  • Les responsabilités entre responsable de traitement, sous-traitant et éventuel responsable conjoint doivent être définies.
  • Les transferts hors UE doivent être évités ou strictement encadrés.
  • Les contrats doivent inclure des engagements forts en matière de sécurité, de confidentialité, de minimisation et de traçabilité.

8. Assurer un pilotage éthique du projet

La conformité juridique peut également intégrer le respect d’engagements éthiques. À ce titre, les projets de réutilisation doivent également s’inscrire dans une logique éthique fondée sur la transparence, la proportionnalité et l’intérêt collectif. Les patients doivent être informés clairement des usages possibles de leurs données personnelles. Le respect du principe de minimisation permet également de garantir que seules les données strictement nécessaires soient réutilisées.

Webinar - Données de Santé
29 janvier 2026|11h00 - 12h00 : maîtrisez la conformité pour l'innovation et la recherche

Inscrivez-vous au webinar du 29 janvier pour maîtriser le cadre juridique complexe et les étapes clés de la conformité (RGPD, CNIL) encadrant la réutilisation des données de santé. Cette session vous fournira la méthodologie et les outils nécessaires pour sécuriser vos projets d'innovation clinique et d'optimisation des organisations.

S'inscrire

Conclusion

Réutiliser des données de santé exige une démarche maîtrisée, méthodique et rigoureuse. Clarification de la finalité ultérieure poursuivie, licéité de la collecte initiale, analyse de compatibilité, cadrage juridique, sécurité renforcée, documentation complète et gouvernance éthique constituent les piliers indispensables pour garantir une réutilisation conforme et responsable.

Les organisations, comme Adequacy, qui investissent dans cette structuration créent les conditions d’un usage innovant, maîtrisé et durable des données de santé.

FAQ - Réutilisation des données de santé : les questions clés pour les DPO et RSSI

Une collecte initiale illicite rend-elle la réutilisation impossible ?

Non. La réutilisation n’est licite que si la collecte initiale respectait le RGPD (base légale, information complète des personnes, article 9). Une collecte irrégulière entache automatiquement le traitement ultérieur.

Quelle est l’importance de la distinction entre utilisation primaire et réutilisation secondaire ?

Cette distinction est fondamentale. L’utilisation primaire concerne le soin direct ; la réutilisation secondaire vise des objectifs distincts (recherche, analyse, IA). Elle détermine le régime juridique applicable et les obligations du responsable de traitement.

L’Analyse d’Impact (AIPD) est-elle obligatoire pour la réutilisation de données de santé ?

Dans la majorité des cas, oui. Les données de santé étant sensibles, leur réutilisation génère souvent un risque élevé, ce qui impose la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD). Elle peut être obligatoire, notamment dans les projets d’IA, les études à large échelle ou les traitements innovants.

L’hébergement des données de santé doit-il être certifié HDS ?

Oui. Si la réutilisation implique l’hébergement ou le traitement externalisé de données de santé non anonymisées, le prestataire doit impérativement être certifié Hébergeur de Données de Santé (HDS), ce qui couvre les obligations de sécurité accrue.

Quel est l'impact de l'AI Act sur la réutilisation des données de santé ?

Les projets impliquant l'IA devront respecter l’AI Act, notamment en matière d’analyse et gestion des risques, de documentation technique, de transparence, de gouvernance, de qualité et traçabilité des données. La convergence RGPD + AI Act va devenir centrale pour les établissements de santé et les industriels.

Webinar - Données de Santé
29 janvier 2026|11h00 - 12h00 : maîtrisez la conformité pour l'innovation et la recherche

Inscrivez-vous au webinar du 29 janvier pour maîtriser le cadre juridique complexe et les étapes clés de la conformité (RGPD, CNIL) encadrant la réutilisation des données de santé. Cette session vous fournira la méthodologie et les outils nécessaires pour sécuriser vos projets d'innovation clinique et d'optimisation des organisations.

S'inscrire

{{newsletter}}

The latest news

GDPR compliance and best practices

Réutilisation des données de santé : les 8 prérequis (RGPD, Code de la santé publique, doctrine CNIL et exigences sectorielles)

La réutilisation des données de santé est un moteur d’innovation crucial, notamment pour la recherche, l'amélioration des soins et le développement d’outils d'IA. Cependant, ce processus est strictement encadré par le RGPD, le Code de la santé publique et la doctrine CNIL. Avant tout projet, il est impératif de valider 8 prérequis incontournables qui conditionnent la licéité et la conformité du traitement ultérieur. De la qualification de l’usage (primaire vs secondaire) à l’hébergement HDS et aux exigences de l’AI Act, une démarche méthodique et rigoureuse est la seule garantie d'un usage innovant, maîtrisé et durable.

Rémy Bozonnet
News

Marketing viral : de la pub Intermarché qui fait le buzz… à l’importance de la protection des données personnelles

La récente publicité virale d'Intermarché illustre la puissance de l'émotion dans le marketing digital, mais ce succès ne saurait faire oublier l'enjeu majeur de la protection des données personnelles. Aujourd'hui, chaque interaction numérique — du visionnage d'un spot sur les réseaux sociaux à la navigation sur un site — implique la collecte d'informations. Pour les marques, la confiance des consommateurs ne repose plus uniquement sur la qualité du contenu, mais aussi, et surtout, sur une gestion transparente et responsable de leurs données, en adéquation avec le RGPD. Allier message fort et respect de la confidentialité est désormais le véritable gage de réussite dans un monde hyper-connecté.

Guillemette Songy
GDPR compliance and best practices

Intérêt légitime RGPD : sécurisez vos traitements de données personnelles

L'intérêt légitime RGPD est un fondement clé pour le traitement de données personnelles, mais il impose un test d'intérêt légitime rigoureux. Pour sécuriser vos opérations et éviter les sanctions, vous devez garantir la nécessité du traitement, la transparence et le respect du droit d'opposition. Découvrez dans cet article les exigences de conformité et les bonnes pratiques pour maîtriser ce pilier du RGPD avec des outils adaptés.

Guillemette Songy

They have trusted us for years

Used by over 10,000 legal entities

Discover Adequacy

One of our experts introduces Adequacy to you in a real situation.
Request a quote