RGPD & santé : faire de la protection des données un levier de confiance

Le 28 janvier dernier marquait les 20 ans de la Journée européenne de la protection des données. Deux décennies plus tard, le sujet n’a jamais été aussi stratégique, et particulièrement dans le secteur de la santé, où la donnée n’est pas seulement sensible… elle est vitale.

Dossiers patients, téléconsultations, messageries sécurisées, plateformes de rendez-vous, objets connectés : la transformation numérique du soin a multiplié les flux de données. Résultat : la conformité RGPD n’est plus un simple sujet juridique, mais un enjeu de pratique quotidienne, de responsabilité professionnelle et de pérennité économique.

RGPD : un cadre qui structure la pratique des soignants

Entré en application en 2018, le Règlement Général sur la Protection des Données encadre l’utilisation des données personnelles de tous les résidents européens. Pour les professionnels de santé, il impose surtout une exigence : maîtriser qui accède à quoi, pourquoi, combien de temps… et avec quelles garanties de sécurité.

Des droits renforcés pour les patients

Chaque patient peut notamment :

• Accéder à ses données (droit d’accès)
• Faire corriger des informations (rectification)
• Demander la suppression de certaines données (dans les limites du cadre légal)
• S’opposer à certains usages
• Récupérer ses données (portabilité)

Des obligations concrètes pour les structures de soins

Dans les faits, cela se traduit par :

• Sécuriser les logiciels métiers et les accès aux dossiers
• Encadrer les accès internes (secrétariat, remplaçants, stagiaires, prestataires)
• Informer clairement les patients
• Superviser les sous-traitants (contrats, garanties, sécurité, hébergement)
• Gérer et notifier toute violation de données (et réagir vite)

Conformité : un facteur de confiance pour les patients

Dans un contexte où la confiance peut être fragile, la protection des données devient un marqueur fort de professionnalisme. Être au clair sur ses pratiques, c’est aussi se protéger : en cas d’audit, de contrôle, de regroupement, de partenariat… ou tout simplement au quotidien.

• Rassurer les patients sur la confidentialité de leurs informations
• Sécuriser les collaborations (CPTS, MSP, cliniques, cabinets multi-sites…)
• Faciliter les audits et démarches qualité
• Anticiper les projets de croissance ou de mutualisation

Fuites de données : la santé en première ligne

Fin 2025 et début 2026 confirment une tendance : les violations de données s’enchaînent et touchent tous les secteurs, y compris des acteurs liés à la santé. Le risque n’est plus “si”, mais “quand”, et surtout “comment on réagit”.

Pourquoi c’est critique en santé ?

• Données ultra sensibles : identité, parcours de soins, pathologies, traitements
• Risque d’usurpation et de fraude (sociale, administrative, médicale)
• Phishing ciblé exploitant le contexte de santé
• Atteinte potentielle au secret médical et à la relation de soin
• Impact réputationnel immédiat

Combien coûte une fuite de données ?

En 2025, les estimations parlent de plusieurs millions d’euros en moyenne par incident. Le plus lourd n’est pas toujours la facture “technique” : ce sont les conséquences humaines, organisationnelles et réputationnelles.

Les coûts visibles

• Intervention d’urgence (audit, sécurisation, experts)
• Frais juridiques et communication de crise
• Notification CNIL et information des personnes concernées
• Risque de sanctions

Les coûts invisibles (souvent les plus destructeurs)

• Perte de confiance des patients
• Désorganisation interne (procédures, accès, outils)
• Projets bloqués ou ralentis (partenariats, appels d’offres, certifications)
• Atteinte durable à l’image

Consentement : attention aux idées reçues

“Pour être conforme, il faut demander le consentement pour tout.” C’est l’erreur la plus fréquente. Le RGPD prévoit plusieurs bases légales : dans le secteur de la santé, l’exécution des soins et les obligations légales couvrent une grande partie des traitements.

Exemples concrets

• Dossier patient et suivi de soins : pas de consentement à demander “par défaut”
• Facturation, traçabilité, obligations réglementaires : base légale imposée
• Cookies non essentiels sur un site : consentement requis
• Prospection BtoC (email/SMS) : consentement requis
• Transmission à des tiers à des fins marketing : consentement requis

Avis en ligne : un enjeu croissant pour les soignants

Les avis en ligne influencent la prise de rendez-vous. Dès qu’un avis permet d’identifier un professionnel (ou contient des informations personnelles), le RGPD entre en jeu.

Vos droits en pratique

• Répondre publiquement à un avis
• Demander le retrait d’un avis diffamatoire, injurieux ou manifestement excessif
• Faire retirer des données personnelles citées dans un avis
• Conserver des captures et tracer les demandes (utile en cas de plainte)

Cookies : nouvelles recommandations sur le multi-appareils

Depuis janvier 2026, la CNIL encadre plus clairement le consentement multi-terminaux : l’idée est de permettre à un utilisateur de choisir une fois, et d’appliquer ce choix à ses appareils liés au même compte. Cela peut concerner les portails patients, applications, plateformes et services en ligne.

Important : c’est une possibilité encadrée, pas une obligation.

Sanctions : 2025, année record

Le bilan des sanctions 2025 publié début 2026 montre une hausse massive des montants d’amendes. Au-delà des gros dossiers médiatisés, les motifs les plus fréquents sont très “terrain” : sécurité insuffisante, droits des personnes mal gérés, non-coopération.

• Renforcer les mots de passe et supprimer les comptes partagés
• Mettre en place une procédure simple pour répondre aux demandes (accès, rectification, opposition…)
• Auditer les sous-traitants et contractualiser correctement
• Vérifier la conformité des bandeaux cookies si vous avez un site / un portail

Où va l’argent des amendes ?

Les amendes ne financent pas la CNIL : elles sont reversées intégralement au Trésor public, donc au budget de l’État.