Données de santé : du cadre juridique aux choix opérationnels
La troisième édition de La Matinale organisée par La Robe Numérique, réunie le 14 avril 2026 autour de praticiens de la conformité, de la sécurité des systèmes d'information et de la protection des données de santé, a confirmé ce que beaucoup pressentent sans toujours savoir le formuler : les données de santé ont quitté depuis longtemps le seul territoire du soin. Le périmètre est plus large, les obligations plus diffuses, et les arbitrages opérationnels plus complexes qu'un simple exercice de mise en conformité santé. Ce texte en restitue les principaux enseignements.
Il y a un réflexe courant, et compréhensible, qui consiste à penser que les données de santé concernent d'abord les hôpitaux, les médecins, les laboratoires. C'est vrai. Mais c'est incomplet. Un questionnaire d'assurance emprunteur met en jeu des données de santé. Un parcours de remboursement peut en révéler. Des données issues d'une application de suivi ou d'un objet connecté entrent dans ce périmètre dès lors qu'elles permettent de déduire un état de santé. Un score de crédit automatisé, s'il joue un rôle déterminant dans une décision individuelle, peut relever de l'article 22 du RGPD, même si personne n'a jamais prononcé le mot "santé" dans le processus.
Ce glissement n'est pas anecdotique. Le risque juridique ne se situe pas uniquement au niveau de la collecte. Il se loge dans les inférences, les croisements de données, les effets réels des systèmes sur la situation des personnes. Assureurs, établissements bancaires, employeurs, éditeurs de logiciels, hébergeurs : tous sont potentiellement concernés par la réglementation RGPD santé, souvent sans l'avoir anticipé.
La qualification des données : un flou interprétatif qui a un coût
La définition juridique des données de santé est claire dans ses principes. Elle l'est moins dans son application concrète. Une prise de rendez-vous chez un médecin généraliste constitue-t-elle une donnée de santé ? La consultation d'un article médical en ligne ? À partir de quel croisement une donnée ordinaire acquiert-elle la qualification de donnée de santé et emporte avec elle le régime renforcé du RGPD ?
Ces questions ne sont pas académiques. Dans la pratique des organisations, elles conditionnent des décisions d'architecture technique, des choix de prestataires et des projets d'innovation. Comprendre les principes ne suffit pas : c'est leur application concrète qui pose problème. Cartographier correctement ses données de santé, savoir précisément ce qui relève ou non de ce régime dans son propre système d'information, reste un exercice redoutablement complexe pour la plupart des organisations. Ce manque de guidance jurisprudentielle et doctrinale est l'un des freins les plus cités par les praticiens. La gouvernance de la donnée, entendue comme la capacité à qualifier précisément chaque actif informationnel de son propre système d'information, est devenue une nécessité opérationnelle avant d'être une obligation réglementaire.
Sécurité : le facteur humain reste le premier vecteur de risque
Entre 2023 et 2024, les notifications de violation de données ont progressé de 21 % dans le secteur de la santé selon les données de la CNIL. La santé occupe le troisième rang sectoriel en volume de violations notifiées, un constat que l'ANSSI confirme dans ses propres bilans d'incidents. Environ deux tiers de ces violations ont une origine non-cyber : erreurs humaines, mauvaise adressabilité de documents, segmentation insuffisante des droits d'accès.
Le problème est donc moins technique qu'organisationnel, aggravé par deux facteurs structurels. D'une part, des outils métier qui ne permettent souvent pas de segmenter finement les habilitations, contraignant les organisations à des logiques d'accès binaires peu compatibles avec la réalité des parcours patients. D'autre part, une dépendance forte à des prestataires sur lesquels le levier contractuel reste limité, en particulier pour les éditeurs de solutions en situation de quasi-monopole sectoriel.
La réponse passe par la formation, à tous les niveaux hiérarchiques. Les obligations portées par NIS2 sur la sensibilisation des organes de direction constituent à cet égard une évolution structurante que les praticiens accueillent positivement : la sécurité des données de santé ne peut pas rester cantonnée à une fonction support sans mandat réel sur les décisions de gouvernance.
La certification HDS face au déploiement de l'IA : une zone grise à clarifier
La certification HDS (Hébergeur de Données de Santé) s'applique à toute personne hébergeant des données de santé à caractère personnel recueillies dans le cadre d'activités de prévention, de diagnostic ou de soins. Le périmètre de cette obligation dans le contexte du déploiement des modèles d'intelligence artificielle reste, lui, mal délimité.
La question est précise : faire tourner un modèle d'IA sur des données de santé pseudonymisées, sans rétention de données, sur une infrastructure tierce, implique-t-il que cette infrastructure soit certifiée HDS ? Aucune réponse établie n'existe aujourd'hui. En pratique, les organisations les mieux armées négocient au cas par cas avec leurs fournisseurs de modèles, généralement américains, pour faire prévaloir leurs propres accords de traitement de données conclus avec des hébergeurs certifiés. Ces négociations prennent parfois six mois, soit souvent la durée de vie utile d'un modèle dans un cycle d'innovation rapide.
Une clarification réglementaire est attendue sur la distinction entre l'hébergement au sens strict, c'est-à-dire le stockage et la rétention de données, et les opérations d'inférence ou d'entraînement sans rétention. Cette distinction conditionne directement la capacité des acteurs de santé à évaluer et déployer des solutions d'IA dans des délais compétitifs, sans contourner les exigences de protection des données de santé.
Souveraineté numérique et données de santé : les limites du marché européen
Sur le marché des solutions techniques, cloud, IA appliquée à la santé, logiciels métier, les acteurs français et européens accusent un retard fonctionnel réel. Les organisations de santé qui souhaitent favoriser des prestataires européens pour des raisons de conformité et de maîtrise des risques se heurtent à un constat répété : la solution conforme n'est pas toujours la solution la plus performante, et la pression concurrentielle ne leur laisse pas toujours le temps d'attendre.
Le problème est structurel et circulaire. Si les acteurs n'accordent pas leur confiance aux solutions françaises et européennes, ces solutions ne progresseront pas faute de marché. Si elles ne progressent pas, les acteurs se tourneront vers des fournisseurs extra-européens dont la chaîne de sous-traitance est moins maîtrisée et dont le statut exact au regard du RGPD, responsable de traitement conjoint ou sous-traitant, n'est pas toujours tranché de bonne foi. Des appels explicites ont été formulés en direction de la puissance publique : durcissement des exigences dans les cahiers des charges des appels d'offres publics, investissement dans l'écosystème européen de la santé numérique, clarification des obligations des sous-traitants pour mettre fin aux stratégies de qualification opportunistes.
Le cadre réglementaire européen est perçu simultanément comme un frein compétitif à court terme, face à des marchés américain et chinois qui avancent dans un environnement normatif moins contraignant, et comme un différenciateur structurel à long terme. La réglementation européenne produit une forme de confiance que d'autres marchés ne peuvent pas offrir. C'est une valeur réelle, à condition de cesser de la traiter exclusivement comme une contrainte.
Comment les organisations doivent adapter leur gouvernance des données de santé
Trois orientations pratiques se dégagent de ces échanges.
La première : calibrer l'ambition de mise en conformité sur les priorités business. La méthode la plus efficace consiste à partir des périmètres les plus exposés, à définir le champ d'application des référentiels au plus juste, à construire un premier projet audible avec un sponsor de direction, puis à étendre progressivement la couverture. Une démarche exhaustive présentée sans ancrage business n'obtient ni budget ni adhésion.
La deuxième : entrer dans un dialogue actif avec les régulateurs. La CNIL construit sa doctrine à partir des cas d'usage et des difficultés que les acteurs lui remontent. Les méthodologies de référence (MR) évoluent : la refonte en cours porte notamment sur les recherches impliquant la personne humaine et sur des usages innovants non couverts par les versions actuelles. L'EHDS, le règlement européen qui organise la circulation et la réutilisation des données de santé au sein de l'Union, est en cours d'implémentation et va redistribuer certaines cartes. Les DPO santé et responsables conformité qui participent à ces chantiers contribuent à façonner un cadre qui leur sera praticable. Celles qui attendent que le cadre soit stabilisé pour agir risquent d'attendre longtemps.
La troisième est plus fondamentale. La conformité sur les données de santé n'est pas la fin du sujet. C'en est la condition minimale de départ. La question posée en ouverture de cette matinée, et qui traverse l'ensemble des échanges, reste entière : à quelles conditions les personnes acceptent-elles que leurs informations les plus intimes soient traitées par des organisations dont la finalité première n'est pas médicale ? Le droit organise un cadre. La confiance se construit sur ce qu'on en fait concrètement.
________________________
Nos autres articles consacrés aux données de santé :
Sécurisation des données de santé : enjeux, risques et bonnes pratiques
________________________
Vous traitez ou stockez des données de santé et souhaitez sécuriser vos pratiques ?
La Robe Numérique vous accompagne dans l’audit et la mise en conformité de vos traitements de données sensibles.
