Donnée de santé : définition, réglementation et enjeux pour les organisations

Introduction

À l’ère du numérique et de la e-santé, les données de santé sont devenues un actif stratégique majeur. Les dossiers médicaux dématérialisés, les applications de suivi de santé, les objets connectés ou encore les plateformes de télémédecine, comme Doctolib, génèrent chaque jour un volume colossal d’informations personnelles et sensibles. Ces données permettent non seulement de suivre la santé des individus et la prise en charge des patients, mais également de développer des innovations médicales, d’améliorer la qualité des services de soins et d’optimiser les services de santé publique.

Cependant, leur traitement implique des risques élevés, tels que fuites de données ou exposition sur le dark web, et peut avoir des conséquences graves pour les personnes concernées. Une mauvaise gestion peut entraîner la divulgation de numéros de téléphone, d’adresse mail, ou d’autres informations personnelles, révélant la notion de données sensibles liées à l’état de santé.

Pour cette raison, les données de santé font l’objet d’une règlementation stricte, combinant le RGPD au niveau européen et un ensemble de normes françaises plus contraignantes, issues notamment du Code de la santé publique, des méthodologies de référence (MR) de la CNIL et de la certification Hébergement de Données de Santé (HDS).

Qu’est-ce qu’une donnée de santé ?

Définition

Une donnée de santé désigne toute information relative à l’état de santé physique ou mentale d’une personne, passée, présente ou future. Selon le RGPD, il s’agit d’une donnée à caractère personnel sensible, bénéficiant d’une protection renforcée.

Cette définition large des données inclut non seulement les informations médicales classiques, comme les diagnostics ou les traitements, mais aussi les données provenant de technologies numériques, comme les objets connectés, les applications de suivi de bien-être, ou encore les bases de données issues de recherches cliniques.

Exemples de données de santé :

• Dossier médical et comptes rendus de consultation : informations sur les antécédents, diagnostics et traitements.
• Résultats d’examens médicaux : analyses biologiques, radiographies, imageries médicales, risque de maladie, etc. et cela inclue la nature des examens et les références associées.
• Prescriptions et traitements médicamenteux : ordonnance, suivi des traitements chroniques sur la partie du corps concernée, etc.
• Données issues d’objets connectés : rythme cardiaque, activité physique, sommeil, pression artérielle.
• etc.

Pourquoi les données de santé sont-elles sensibles ?

Les données de santé sont classées comme données sensibles au sens du RGPD et de la réglementation française, car elles révèlent des informations intimes sur la vie d’un individu. Leur divulgation ou leur mauvaise utilisation peut avoir des conséquences importantes, tant sur le plan personnel que social compte tenu de la sensibilité des données.

Les risques liés à la mauvaise gestion

1. Atteinte à la vie privée : fuite d’informations personnelles sensibles.
2. Discrimination : refus d’assurance, discrimination à l’embauche, stigmatisation sociale.
3. Usurpation d’identité et fraude : les données médicales peuvent être utilisées pour créer de faux dossiers.
4. Perte de confiance : patients et utilisateurs perdent confiance dans les services de santé ou les applications médicales.
5. Enjeux éthiques et sociaux : l’exploitation commerciale de données à des fins autres que la prise en charge médicale est strictement encadrée.

C’est pour cette raison que la sécurisation des données de santé n’est pas seulement une obligation légale, mais un impératif éthique et stratégique pour toute organisation.

Données de santé : un cadre réglementaire renforcé en France

Si le RGPD constitue le socle européen, il ne suffit pas à lui seul à protéger les données de santé. En France, ces données sont régies par un corpus juridique dense et strict, qui impose des exigences supplémentaires et précises.

Le RGPD : un cadre de base

Le RGPD classe les données de santé parmi les catégories particulières de données. L’article 9 interdit leur traitement sauf exceptions strictement définies :

• consentement explicite de la personne concernée ;
• obligations légales ;
• protection des intérêts vitaux ;
• intérêt public en matière de santé publique ;
• médecine préventive, diagnostic médical ou soins.

Ces règles établissent un niveau de protection minimum à l’échelle européenne, notamment en matière de sécurité, de transparence et de droits des personnes.

Le Code de la santé publique : un encadrement spécifique

En France, le Code de la santé publique complète le RGPD en imposant :

• des obligations de sécurité et de confidentialité renforcées ;
• des règles strictes pour la collecte et l’utilisation des données médicales ;
• le respect du secret médical, protégé par la loi ;
• des exigences spécifiques pour les établissements de santé et les professionnels.

Ainsi, une organisation traitant des données de santé en France doit appliquer un niveau de protection supérieur à celui prévu par le RGPD.

Le rôle de la CNIL et des méthodologies de référence (MR)

La CNIL encadre strictement les traitements de données de santé. Elle propose des méthodologies de référence (MR) pour certains traitements spécifiques :

• recherche clinique et épidémiologique ;
• dispositifs médicaux et applications de santé ;
• études statistiques et évaluations de performance.

Le respect d’une MR permet de se conformer au cadre légal sans autorisation préalable, à condition de respecter toutes les prescriptions. Hors de ces MR, les traitements nécessitent une autorisation spécifique de la CNIL.

Hébergement de données de santé (HDS)

L’hébergement des données de santé doit être réalisé par des prestataires certifiés HDS, garantissant sécurité physique et logique, traçabilité, sauvegarde et chiffrement.

L’obligation HDS s’applique notamment aux éditeurs de logiciels médicaux, plateformes de télémédecine, prestataires IT intervenant sur des données de santé, etc.

L’EHDS : vers un cadre européen à venir pour les données de santé

Au-delà des règles françaises et du RGPD, l’Union européenne met en place l’European Health Data Space (EHDS), un espace européen sécurisé pour l’échange et l’utilisation des données de santé. L’objectif est de faciliter la prise en charge des patients, la recherche médicale, et l’interopérabilité des données tout en garantissant la confidentialité et la sécurité.

Pour comprendre comment l’EHDS impacte le traitement des données de santé et les obligations des organisations, vous pouvez revoir notre dernier webinar dédié à l’EHDS, où nos experts détaillent les enjeux réglementaires et pratiques.

Qui peut traiter des données personnelles de santé ? Uniquement les professionnels de santé ?

Le traitement n’est pas réservé aux seuls professionnels de santé. Sont concernés :

• Professionnels et établissements de santé : médecins, hôpitaux, laboratoires ;
• Assureurs et organismes sociaux : sous conditions légales strictes ;
• Entreprises de la e-santé : applications de suivi, objets connectés, plateformes de télémédecine ;
• Sous-traitants et prestataires informatiques : hébergement, maintenance, cloud ;
• Chercheurs et organismes publics : études épidémiologiques, santé publique.

Chaque acteur doit définir son rôle exact (responsable de traitement ou sous-traitant) et respecter des politiques de santé de sécurité strictes.

Protection des données de santé : informations et références pour la mise en œuvre des bonnes pratiques

1. Chiffrement : données au repos et en transit.
2. Gestion des habilitations : accès strictement contrôlé.
3. Sensibilisation des équipes : formation régulière sur sécurité et confidentialité.
4. Procédures de violation : plans de réponse et notification rapide.
5. Audits réguliers : sécurité et conformité ISO 27001.
6. Anonymisation et pseudonymisation : réduire les risques en cas de fuite.
7. Documentation et traçabilité : journalisation des traitements et des accès.

Enjeux stratégiques et business

Les données de santé ne sont pas seulement un enjeu légal, mais aussi stratégique :

• Enjeux juridiques : sanctions RGPD jusqu’à 20 M€ ou 4 % du CA mondial ;
• Enjeux financiers : coûts de non-conformité et incidents de sécurité ;
• Enjeux de réputation : confiance des patients et des clients ;
• Enjeux d’innovation : e-santé, IA médicale, médecine personnalisée ;
• Avantages compétitifs : maîtrise des données, services de santé innovants, fidélisation.

FAQ – Données de santé

Une donnée de santé est-elle toujours une donnée personnelle ?
Oui, dès qu’elle permet d’identifier directement ou indirectement une personne physique.

Une entreprise non médicale peut-elle traiter des données de santé ?
Oui, mais uniquement avec une base légale valide et le respect strict des obligations réglementaires.

Les données de santé anonymisées sont-elles concernées par le RGPD ?
Non, uniquement si l’anonymisation est irréversible, c’est-à-dire qu’il n’est pas possible de revenir en arrière pour réidentifier la personne concernée. Toutefois, les données pseudonymisées restent, quant à elles, soumises au RGPD car cela reste des données personnelles.

Que sont les méthodologies de référence (MR) de la CNIL ?
Ce sont des cadres préétablis pour certains traitements de données de santé et y compris certaines prestations de soins, permettant de se conformer à la réglementation sans autorisation spécifique.

Qu’est-ce que l’hébergement HDS et qui doit s’y conformer ?
C’est la certification obligatoire pour tout prestataire stockant ou traitant des données à des fins de santé en France. Sont concernés hébergeurs, plateformes de prise en charge des soins et éditeurs de logiciels médicaux.