Données de santé : quelles contraintes réglementaires et sécuritaires pour leur conservation en 2025 ?

Écrit par Guillaume Vandermarcq

En matière de conformité, les données de santé figurent parmi les données à caractère personnel les plus sensibles. Leur conservation, tout comme leur traitement, nécessite un encadrement juridique, technique et organisationnel renforcé, fondé sur des bases légales clairement établies (consentement, obligation légale, intérêt public, etc.). Le contexte réglementaire actuel, notamment avec la révision du référentiel HDS (Hébergeur données de santé), la montée en puissance de la e-santé et de l’intelligence artificielle, ou encore l’adoption du règlement européen sur l’Espace européen des données de santé (EHDS), impose aux acteurs du secteur de revoir en profondeur leurs pratiques. 

Ce panorama opérationnel vise à fournir aux professionnels du droit, de la santé et de l’IT un éclairage actualisé sur les obligations à respecter en matière de conservation des données de santé, à l’aune des dernières évolutions réglementaires et technologiques. 

1. Données de santé : une catégorie juridique spécifique sous haute protection 

Le Règlement général sur la protection des données (RGPD) classe les données de santé comme des données sensibles, bénéficiant d’un régime de protection renforcé (art. 9 du RGPD). La CNIL distingue trois grandes catégories de données de santé : 

  • Les données de santé par nature (ex. : antécédents médicaux, diagnostics, traitements) ; 

  • Les données de santé par croisement (données révélant un état de santé du fait de leur combinaison avec d’autres) ; 

  • Les données de santé par destination (traitées à des fins médicales, quelle que soit leur nature initiale). 

Leur traitement n’est licite que dans des hypothèses strictement encadrées : consentement explicite, nécessité pour des motifs d’intérêt public dans le domaine de la santé, mission d’intérêt public, ou encore recherche scientifique, sous réserve de garanties appropriées. L'article 5 du RGPD impose par ailleurs des principes de minimisation, d'intégrité, de sécurité, de limitation de la conservation, et de transparence. Le non-respect de ces principes expose les responsables de traitement à des sanctions administratives importantes. 

2. Conservation des données de santé : des durées encadrées 

La conservation des données de santé doit répondre à des critères de nécessité et de proportionnalité, selon les finalités pour lesquelles elles sont collectées. Le régime applicable varie selon qu’il s’agisse de traitements hors recherche ou à des fins de recherche. 

Données de santé hors recherche 

La CNIL a publié plusieurs référentiels visant à accompagner les professionnels dans la détermination des durées de conservation. Ils concernent notamment les cabinets médicaux et paramédicaux, les pharmacies, les laboratoires ou encore le Dossier Médical Partagé (DMP). 

Les durées sont généralement scindées entre : 

  • une base active, correspondant à la période d’utilisation courante des données, 

  • une base intermédiaire, permettant une conservation à des fins administratives ou précontentieuses, lorsque les données ne sont plus activement utilisées. 

Les textes du Code de la santé publique (CSP) ou du Code de la sécurité sociale (CSS) peuvent imposer certaines durées légales, à défaut desquelles les recommandations de la CNIL font foi à titre indicatif. Par exemple, le référentiel sur la gestion des cabinets médicaux recommande une conservation du dossier patient en base active pendant 5 ans à compter de la dernière intervention sur le dossier du patient. Dans les établissements de santé, la conservation des informations médicales suit aussi un encadrement strict. Ainsi, les données contenues dans le dossier médical du patient doivent être conservées, en principe, pendant une durée de 20 ans à compter de la date du dernier séjour de leur titulaire dans l’établissement (R1112-7 CSP). Cela afin d’assurer la continuité des soins, mais aussi de répondre à d’éventuelles demandes de communication de ces informations en application de l’article L1111-7 CSP. Ce délai permet également de garantir la traçabilité des actes et la défense des droits du patient comme de l’établissement. 

Données de santé à des fins de recherche 

Les traitements de données de santé dans le cadre de recherches impliquant la personne humaine (RIPH) ou non (RNIPH) sont régis par des méthodologies de référence (MR) ou des autorisations spécifiques de la CNIL. Lorsque des durées ne sont pas fixées réglementairement, il appartient au responsable de traitement de les définir au regard du principe de limitation (art. 5.1.e du RGPD), sous réserve de validation éventuelle par la CNIL lors de l’instruction du projet. 

3. Certification HDS : un socle structurant de conformité 

Depuis le décret n° 2018-137 du 26 février 2018, l’hébergement de données de santé ne peut être réalisé que par des acteurs certifiés HDS (Hébergeur de Données de Santé), dans les conditions prévues par le Code de la santé publique (article L.1111-8). 

Cette certification est exigée dès lors qu’une structure héberge, pour le compte d’un tiers (professionnel, établissement ou patient), des données de santé collectées dans le cadre d’activités de soins, de diagnostic, de prévention ou d’accompagnement médico-social. 

Un nouveau référentiel HDS pour 2024 

La publication de l’arrêté du 26 avril 2024 approuvant le nouveau référentiel de certification HDS marque une refonte attendue. Elle impose : 

  • Aux nouveaux candidats : une certification selon le référentiel mis à jour à partir du 16 novembre 2024. 

  • Aux hébergeurs ayant déjà été certifiés : une mise en conformité d’ici le 16 mai 2026 ; 

Ce nouveau référentiel a pour objectif d’assurer un haut niveau de sécurité, conforme à l’état de l’art, pour les hébergeurs de données de santé, tout en renforçant la confiance des acteurs du secteur. Il s’inscrit dans le cadre des normes ISO 27001, en intégrant ses évolutions les plus récentes, tout en introduisant des exigences propres au domaine de la santé. 

Parmi les principales évolutions introduites : 

  • Renforcement de la souveraineté des données : obligation d’hébergement dans l’Espace Économique Européen (EEE), avec une transparence accrue sur les accès et transferts hors EEE, accompagnée de la publication d’une cartographie des flux. 

  • Clarification des obligations contractuelles de l’hébergeur : pour garantir la lisibilité des responsabilités et engagements vis-à-vis des clients. 

  • Définition détaillée de l’activité 5 (administration et exploitation du système d'information) : incluant la gestion nominative des droits d’accès, la journalisation des actions, et la validation formelle des interventions. 

  • Articulation renforcée avec la certification SecNumCloud proposée par l’ANSSI : les acteurs du cloud public sont incités à se conformer aux deux référentiels. Ce dernier vise à garantir un niveau de sécurité élevé pour les services cloud, en particulier dans les contextes sensibles, comme la santé. Il définit des mesures ciblées à appliquer pour exploiter les services cloud notamment une isolation stricte des données, ainsi que des garanties en matière de contrôle d’accès, de journalisation, et de surveillance opérationnelle. 

La mise en conformité avec le référentiel HDS n’est pas une formalité : elle impose une révision complète de l’architecture contractuelle, des procédures de sécurité et des relations avec les sous-traitants. Le non-respect pourrait conduire à une interdiction d’héberger des données de santé. 

Par ailleurs, les exigences liées à la souveraineté numérique prennent une importance croissante, notamment à la lumière des récents développements autour du Health Data Hub (HDH). Lancé en 2019, le HDH a pour ambition de centraliser les données de santé pour soutenir la recherche médicale. Toutefois, le recours initial au cloud Microsoft Azure a été vivement critiqué du fait de la soumission de ce fournisseur au Cloud Act américain. La CNIL a ainsi rappelé la nécessité de privilégier des prestataires relevant exclusivement du droit européen. 

En réponse, le gouvernement a annoncé en janvier 2024 une migration du HDH vers un cloud certifié SecNumCloud, d’ici janvier 2026. Cette démarche vise à renforcer la protection juridique des données de santé contre tout accès non autorisé de pays tiers. La CNIL a cependant exprimé son impatience face à l’absence d’appel d’offres formel à ce jour. 

La situation juridique actuelle illustre une tolérance encadrée : dans le cadre du projet européen Darwin EU, la CNIL a autorisé en février 2025 un traitement réalisé avec Microsoft en tant que sous-traitant. Cette décision, a été attaquée par voie de référé devant le Conseil d’État, le 25 avril 2025. L’ordonnance de référé a rejeté la demande de suspension de la décision administrative, au motif que la condition d’urgence n’était pas remplie et que les garanties mises en place (pseudonymisation, hébergement local certifié HDS) étaient suffisantes en l’état du droit applicable, en l’absence de solution immédiatement équivalente. La requête visant à saisir la Cour de justice de l’Union européenne sur la validité du Data Privacy Framework a aussi été écartée.  

Ce cadre jurisprudentiel renforce l’exigence d’une évaluation rigoureuse des risques, d’une documentation précise (Data Process Agreement, Analyse d’impact relative à la protection des données), et d’une gouvernance contractuelle aboutie. Il confirme également la nécessité, pour les acteurs hébergeant ou sous-traitant des traitements de données de santé, de se conformer aux nouvelles exigences du référentiel HDS en matière de souveraineté, de traçabilité et de sécurité contractuelle. 

4.  Gouvernance intégrée : cybersécurité, dispositifs connectés et intelligence artificielle 

a. Cybersécurité, données de santé et règlement NIS 2 

Face à l’intensification des cybermenaces dans le secteur de la santé, la conformité aux exigences du règlement (UE) 2022/2555 dit "NIS 2", entré en vigueur en janvier 2023, devient impérative pour les structures critiques, dont les établissements de santé et les prestataires HDS. Ce texte impose une gestion structurée des risques, incluant : 

  • la mise en place de plans de continuité et de reprise d’activité (PCA/PRA) testés et opérationnels ; 

  • une politique de sécurité des systèmes d’information (PSSI) formalisée et actualisée ; 

  • le respect des bonnes pratiques issues des guides techniques de l’ANSSI (segmentation réseau, surveillance des journaux, cloisonnement des accès). 

Les entités couvertes doivent notamment désigner un responsable de la cybersécurité, notifier tout incident grave à l’ANSSI sous 24 heures, et être en mesure de démontrer leur conformité sur demande. Le non-respect des obligations NIS 2 peut entraîner des sanctions administratives significatives, notamment financières, pouvant atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 millions ou 1,4 % pour les entités importantes), ainsi qu'un ensemble de mesures coercitives, comme l’interdiction pour une personne physique d’exercer des fonctions de direction au sein d’une entité essentielle. 

b. Dispositifs médicaux connectés (DMC), RGPD et documentation de conformité 

Les dispositifs médicaux connectés (DMC), de plus en plus utilisés dans les parcours de soins, sont soumis à une double régulation : technique (Règlement (UE) 2017/745) et juridique (RGPD). Opérationnellement, cela implique : 

  • une conception "secure by design", incluant l’authentification forte, la journalisation des actions et la protection des flux de données ; 

  • la constitution de bases légales claires pour les traitements (le plus souvent, intérêt public ou consentement explicite dans le cadre de la recherche) ; 

  • la fourniture d’informations transparentes aux patients (articles 12 à 14 RGPD) ; 

  • la tenue d’un registre des activités de traitement, incluant les sous-traitants techniques, les durées de conservation et les mesures de sécurité. 

Les acteurs doivent également intégrer des clauses contractuelles types avec les fabricants ou hébergeurs, et réaliser des Analyses d’impact relatives à la protection des données en cas de risque élevé pour les droits et libertés des personnes concernées. La conformité au RGPD n’est pas seulement une exigence juridique : elle conditionne l’autorisation de mise sur le marché et l’acceptabilité clinique des dispositifs. 

c. Intelligence artificielle en santé, IA Act et encadrement juridique 

L’AI Act prévoit que les systèmes d’IA utilisés à des fins médicales soient classés comme à haut risque. Ils devront se conformer à des obligations strictes de transparence, traçabilité et robustesse à l’horizon 2026. 

Dans le secteur de la santé, ces nouvelles exigences ne s’ajoutent pas simplement au RGPD : elles le restructurent, créant une double matrice réglementaire. Le RGPD repose sur une logique de protection des droits fondamentaux, tandis que l’AI Act s’organise autour de la maîtrise du risque technologique. Ce chevauchement se traduit par des défis pratiques considérables : analyse d’impact, documentation technique, information des patients, consentement, gouvernance des biais. 

La tension est particulièrement marquée autour du principe de minimisation des données (RGPD) et des exigences de performance algorithmique, qui poussent à enrichir les jeux de données d’entraînement. Le risque est de collecter de manière anticipée, sans finalité définie et de stocker sans limite de temps définie. 

Le non-respect des obligations de l’AI Act expose à des sanctions administratives financières pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial en cas de violations graves, avec des seuils réduits pour les manquements moins critiques et les PME. Outre les sanctions financières, les autorités de contrôle peuvent ordonner le retrait du marché ou le rappel des systèmes d’IA non conformes. 

Dans ce contexte mouvant, le rôle des DPO, juristes et RSSI devient stratégique. Il ne s’agit plus de simplement appliquer le droit, mais de construire une gouvernance IA cohérente et alignée sur les référentiels techniques. 

Guillaume Vandermarcq
Suivant

Cybersécurité : un focus excessif qui fait oublier d'autres risques IT critiques