Comment maîtriser vos traitements de données de santé ! Attention sensible ! [Avis DPO]

Le traitement des données de santé soulève des exigences élevées en matière de protection des données personnelles.

‍

Le RGPD encadre strictement ces traitements, en particulier lorsqu’ils concernent des informations sensibles, médicales ou comportementales.

‍

Dans cet article, nous détaillons les notions clés, les obligations à respecter, les règles spécifiques aux entrepôts de données et les bonnes pratiques à mettre en œuvre pour garantir la conformité

‍

À retenir :

‍

• Les données de santé sont des données sensibles, strictement encadrées par le RGPD
• Le traitement doit reposer sur une base légale claire : intérêt public, consentement, ou obligation légale
• Les entrepôts de données nécessitent une gouvernance, une sécurité renforcée et, selon le cas, une déclaration ou une autorisation CNIL
• Une analyse d’impact (AIPD) est requise pour évaluer les risques
• Le respect des principes RGPD (minimisation, limitation des finalités, transparence) est essentiel pour éviter tout manquement
‍

Par ailleurs, découvrez comment la dernière version d’Adequacy peut répondre aux spécificités de la santé.

‍

Définition et périmètre des données de santé à caractère personnel

‍

La notion de données de santé est au cœur des enjeux de conformité au RGPD. Pour traiter ces informations sensibles, il est essentiel de comprendre ce qu’elles recouvrent, pourquoi elles sont qualifiées de sensibles, et quels exemples concrets sont concernés dans la pratique.

‍

Qu’est-ce qu’une donnée de santé selon le RGPD ?

‍

Le RGPD, dans son article 4, définit les données à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Parmi elles, les données de santé sont considérées comme une catégorie particulière de données sensibles, bénéficiant d’une protection renforcée.

‍

L’article 9 du RGPD interdit en principe le traitement des données de santé, sauf si une exception s’applique (consentement explicite, intérêt public, médecine préventive, etc.).

‍

Une donnée de santé est une information qui révèle :

‍

• L’état de santé physique ou mentale passé, présent ou futur
• Des informations sur une prise en charge médicale
• Les résultats d’examens médicaux, diagnostics ou traitements

‍

Le considérant 35 du RGPD précise que cela inclut les numéros d’identification, les résultats biologiques, les informations sur le handicap, ou encore les habitudes de vie en lien avec la santé.

‍

Données sensibles : quelles spécificités en matière de santé ?

‍

Les données de santé appartiennent à la famille des données sensibles (avec les données biométriques, génétiques, opinions politiques, etc.). À ce titre, leur traitement est encadré plus strictement.

Leur particularité réside dans le niveau de risque accru pour les personnes concernées : divulgation d’une pathologie, discrimination à l’assurance ou à l’emploi, stigmatisation, etc.

‍

C’est pourquoi les traitements impliquant ce type d’information doivent respecter :

‍

• Une base légale solide (article 6 et 9 du RGPD)
• Une minimisation stricte des données collectées
• Une protection renforcée par des mesures de sécurité techniques et organisationnelles (article 32 du RGPD)

‍

Exemples concrets de données concernées

‍

Voici quelques exemples typiques de données de santé à caractère personnel :

‍

• Données administratives liées à la santé : numéro de sécurité sociale, numéro d’identification patient (IPP), code de séjour
• Données médicales : antécédents médicaux, diagnostics, imagerie, résultats d’analyses, prescriptions
• Données de bien-être : activité physique, habitudes alimentaires, consommation d’alcool, de tabac, de drogues
• Données de vie quotidienne en lien avec la santé : niveau d’autonomie, mode de vie (urbain, rural), soutien à domicile
• Données génétiques : issues d’analyses ADN ou d’échantillons biologiques

‍

Toutes ces données, dès lors qu’elles permettent d’identifier directement ou indirectement une personne, tombent sous le champ du RGPD.

‍

Risques associés à une mauvaise qualification

‍

Ne pas reconnaître une donnée comme sensible peut avoir plusieurs conséquences :

‍

• Manquement à l’obligation de sécurité (article 32 RGPD)
• Non-respect du principe de licéité (article 6 et 9 RGPD)
• Amendes administratives (jusqu’à 4 % du CA annuel mondial)

‍

Il est donc crucial de former les équipes à la bonne qualification des données et d’intégrer cette analyse en amont de tout projet de traitement.

‍

Les obligations du RGPD applicables aux données de santé

‍

Le traitement des données de santé impose le respect d’exigences juridiques renforcées. En tant que responsables de traitement ou sous-traitants, il est indispensable d’intégrer les obligations spécifiques du RGPD pour garantir un traitement conforme, sécurisé et respectueux des droits des personnes.

‍

Bases légales : mission d’intérêt public, consentement, obligation légale

‍

Le RGPD interdit en principe le traitement des données de santé (article 9), sauf si une exception justifie ce traitement. Parmi les bases légales autorisées, on distingue :

‍

• Le consentement explicite (article 9.2.a) : requis notamment dans le cadre de projets de recherche ne relevant pas d’une mission d’intérêt public. Le consentement doit être libre, spécifique, éclairé et univoque
• L’exécution d’une mission d’intérêt public (article 6.1.e + 9.2.h ou i) : c’est le cas pour les établissements de santé publics ou les entrepôts de données encadrés par la CNIL
• Une obligation légale : par exemple, la tenue d’un dossier médical imposée par le code de la santé publique

‍

En pratique, le fondement « intérêt public » est le plus fréquemment utilisé par les établissements, dans un cadre sécurisé et encadré par des textes ou référentiels (comme celui de la CNIL pour les entrepôts de données de santé).

‍

Le principe de minimisation et la limitation des finalités

‍

L’article 5 du RGPD impose plusieurs principes fondamentaux, parmi lesquels :

‍

• La limitation des finalités : les données doivent être collectées pour des objectifs déterminés, explicites et légitimes. Par exemple, une donnée collectée pour la prise en charge ne peut être réutilisée sans base légale adéquate
• La minimisation des données : seules les données strictement nécessaires doivent être collectées. Il n’est pas permis de collecter "au cas où"

‍

Prenons l’exemple d’un projet de recherche : si le sexe ou la date de naissance complète ne sont pas utiles à l’étude, ces données ne peuvent être traitées.

‍

Pseudonymisation, anonymisation et sécurité des données

‍

Les mesures de sécurité (article 32 RGPD) doivent être adaptées à la sensibilité élevée des données de santé. Cela inclut :

‍

• Pseudonymisation systématique : identifiants directs séparés des données médicales dans des espaces sécurisés. C’est une exigence du référentiel CNIL pour les entrepôts
• Anonymisation : lorsqu’aucun lien n’est conservé, les données peuvent être utilisées en dehors du champ du RGPD (à condition que la réidentification soit impossible)
• Chiffrement, journalisation, contrôle d’accès strict : notamment pour éviter les accès non autorisés ou les fuites de données

‍

Exemple de bonne pratique : les entrepôts doivent respecter les exigences SEC-LOG-4 à SEC-LOG-6 sur la séparation physique et logique des données identifiantes.

‍

Pour aller plus loin, nous vous renvoyons à l’excellent Patrick Tiev, qui nous explique tout en vidéo.

‍

Registre, AIPD, DPO : dispositifs de conformité

‍

Tout traitement de données de santé doit faire l’objet d’une gouvernance de conformité bien structurée :

‍

• Registre des traitements (article 30 RGPD) : document obligatoire listant les finalités, catégories de données, mesures de sécurité, etc.
• Analyse d’impact sur la protection des données (AIPD) : exigée pour les traitements à haut risque, y compris les entrepôts de données. Elle doit démontrer que les risques ont été identifiés et maîtrisés
• Délégué à la protection des données (DPO) : sa désignation est obligatoire pour les organismes traitant à grande échelle des données sensibles. Il veille à la conformité continue et conseille sur les traitements envisagés

‍

Une organisation sans DPO dédié expose son traitement à des failles de conformité fréquentes, notamment sur la gestion des risques, les droits des personnes et la documentation. Consultez notre guide de saisie.

‍

Focus sur les entrepôts de données de santé : cadre juridique et gouvernance

‍

Les entrepôts de données de santé occupent une place centrale dans les projets de valorisation des données au sein des établissements de santé. Leur mise en œuvre suppose un respect strict des règles du RGPD, ainsi que des référentiels spécifiques publiés par la CNIL. Ils permettent de structurer et réutiliser les données de manière encadrée, dans une logique d’intérêt public, de recherche ou d’amélioration du système de soins.

‍

Qu’est-ce qu’un entrepôt de données de santé ?

‍

Un entrepôt de données de santé est un traitement de données à caractère personnel mis en œuvre dans un but de réutilisation des données collectées lors de la prise en charge médicale. Il ne s’agit ni d’un simple archivage, ni d’un dossier médical élargi.

‍

Les finalités sont strictement encadrées, par exemple :

‍

• La production d’indicateurs médico-économiques
• L’amélioration du codage des soins
• La faisabilité de projets de recherche
• La mise en œuvre d’outils d’aide à la décision médicale

‍

Conformément au référentiel CNIL, ces entrepôts doivent exclure toute finalité commerciale (assurance, ciblage, exclusion de garanties).

‍

Déclaration de conformité ou autorisation CNIL

‍

Le RGPD exige une base légale claire (article 6 et 9). Pour les entrepôts, il s’agit souvent de l’exécution d’une mission d’intérêt public, fondée sur l’article 6.1.e du RGPD.

‍

Deux régimes sont possibles :

‍

• Déclaration de conformité au référentiel CNIL, si le projet respecte toutes les conditions listées (finalités, données traitées, mesures de sécurité, gouvernance, etc.)

• Demande d’autorisation spécifique, si une ou plusieurs conditions du référentiel ne sont pas remplies (ex. : traitement par un acteur privé hors mission d’intérêt public, ou données sensibles non prévues par le référentiel)

‍

Ces démarches s’effectuent en ligne, via la plateforme de déclaration de la CNIL.

‍

Exigences de gouvernance, sécurité et durée de conservation

‍

Un entrepôt de données impose une gouvernance documentée :

‍

• Un comité de pilotage : définit les orientations stratégiques, valide les données collectées, justifie leur utilité
• Un comité scientifique et éthique : rend un avis systématique sur les projets qui réutilisent les données de l’entrepôt, incluant des représentants indépendants, des chercheurs, professionnels de santé et représentants des usagers
• Une traçabilité des accès, avec journalisation obligatoire, segmentation des bases, pseudonymisation forte

‍

Concernant la durée de conservation, les données médicales pseudonymisées peuvent être conservées jusqu’à 20 ans, tandis que les données identifiantes doivent être supprimées dès que leur usage n’est plus justifié.

‍

Exemple pratique : si un patient est inclus dans une recherche 5 ans après sa prise en charge, les données pseudonymisées peuvent être utilisées dans le cadre du protocole, mais les données directement identifiantes doivent rester séparées, sécurisées, et strictement accessibles aux personnes autorisées.

‍

La séparation logique des données identifiantes et des données d’analyse est un prérequis fondamental. Cela implique souvent des infrastructures informatiques complexes, avec des accès restreints, des clés de correspondance chiffrées, et des audits réguliers.

‍

Enfin, l’usage de l’entrepôt à des fins de recherche doit faire l’objet de démarches spécifiques supplémentaires : soit une déclaration de conformité à une méthodologie de référence, soit une demande d’autorisation recherche (article 66 de la loi Informatique et Libertés).

‍

Cas pratiques et bonnes pratiques de mise en conformité RGPD

‍

La conformité RGPD en matière de données de santé ne se résume pas à des obligations théoriques. Elle implique des démarches concrètes, adaptées à chaque contexte : hôpital public, start-up numérique, projet de recherche. Illustrons cela à travers des cas pratiques, suivis d’une synthèse opérationnelle sous forme de checklist.

‍

Exemple 1 : Centre hospitalier public et entrepôt de données

‍

Un centre hospitalier universitaire souhaite mettre en place un entrepôt de données de santé pour analyser les parcours de soins et améliorer la qualité des prises en charge. La direction s’appuie sur le référentiel CNIL, s’assure que les finalités respectent une mission d’intérêt public, et déclare sa conformité.

‍

Les actions clés menées :

‍

• Désignation d’un DPO impliqué dès la phase de conception
• Réalisation d’une analyse d’impact complète
• Pseudonymisation automatique à l’entrée dans l’entrepôt
• Sécurisation des accès par profils et traçabilité

‍

Ici, la méthodologie de référence à appliquer est la MR-005 (création et fonctionnement d’un entrepôt de données de santé).

‍

La MR-005 couvre la gouvernance, l’analyse d’impact, la pseudonymisation, la sécurité et l’usage pour pilotage/recherche sans consentement individuel.

‍

Résultat : l’établissement utilise les données pour piloter son activité et préparer des projets de recherche internes sans avoir à redemander un consentement systématique.

‍

Exemple 2 : Projet de recherche académique réutilisant un entrepôt

‍

Un groupe de chercheurs universitaires souhaite étudier les effets secondaires d’un traitement en analysant les données issues d’un entrepôt hospitalier. Le projet nécessite la réutilisation de données pseudonymisées.

‍

Étapes mises en œuvre :

‍

• Soumission du projet au comité scientifique et éthique
• Avis favorable, puis déclaration de conformité à la méthodologie MR-004
• Vérification par le DPO du cadre de sécurité
• Documentation dans le registre des traitement

‍

Ici, la méthodologie de référence est la MR-004 (recherches n’impliquant pas la personne humaine).

La  MR-004 encadre les études observationnelles, l’utilisation secondaire de données issues des soins ou d’entrepôts, avec passage devant comité éthique et enregistrement dans le registre.

‍

Le projet peut être lancé sans consentement individuel, car les finalités sont compatibles avec la mission initiale, dans le respect du RGPD et de la loi Informatique et Libertés.

‍

Pour plus d’informations concernant l’utilisation des Méthodologies de référence : cf https : Comprendre les méthodologies de référence en santé vf

‍

Exemple 3 : Start-up santé et plateforme numérique

‍

Une start-up développe une application mobile de suivi post-opératoire. Elle collecte des données de santé directement auprès des patients, avec leur consentement explicite.

‍

Actions de conformité menées :

‍

• Collecte du consentement via interface claire et granularité des choix
• Limitation des données aux besoins fonctionnels (symptômes, évolution)
• Stockage chez un hébergeur de données de santé (HDS) certifié
• Délégué à la protection des données externalisé

‍

Le projet ne relève pas d’une mission d’intérêt public, mais le traitement reste conforme grâce à une base légale fondée sur l’article 9.2.adu RGPD (consentement explicite).

‍

Checklist : Mettre en conformité un traitement de données de santé

Ces bonnes pratiques s’appliquent autant aux grandes structures qu’aux petites entités. Elles permettent d’anticiper les risques, d’éviter les sanctions, et surtout de garantir la maîtrise des données sensibles traitées.

‍

Pour finir sur ces exemples concrets, nous vous partageons l’interview d’Alexandra Turbellier, DPO au sein de la Fondation Santé Service.

‍

Foire aux questions (FAQ)

‍

• Une donnée de santé est-elle toujours une donnée sensible ?

Oui. Le RGPD classe les données de santé parmi les catégories particulières de données, donc sensibles, dès lors qu’elles révèlent des informations sur l’état physique ou mental d’une personne.

‍

• Le consentement est-il obligatoire pour traiter des données de santé ?

Non, pas toujours. Il est requis si aucune autre base légale ne s’applique. Les missions d’intérêt public ou les obligations légales permettent aussi un traitement sans consentement.

‍

• Peut-on utiliser des données pseudonymisées sans autorisation ?

Non. Même pseudonymisées, les données restent personnelles. Leur traitement nécessite une base légale et, selon les cas, une autorisation ou une déclaration à la CNIL.

‍

• Quelles sont les sanctions en cas de non-conformité

Les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Elles dépendent de la gravité du manquement constaté.

‍

• Le Health Data Hub est-il conforme au RGPD ?

Le HDH fonctionne sous supervision de la CNIL. Sa conformité repose sur une gouvernance renforcée, une pseudonymisation systématique et des encadrements juridiques spécifiques.