Data Privacy

RGPD établissements de santé : guide 2026

RGPD santé : HDS, secret médical, DPI dossier patient, télémédecine. Sanctions CNIL Cegedim/Dedalus et obligations hôpitaux/cliniques 2026.

TD
Dr. Thiébaut Devergranne
3 juin 20267 min read

En une phrase. Les établissements de santé (hôpitaux, cliniques, EHPAD, cabinets) cumulent RGPD article 9 (données sensibles), Code de la santé publique (secret médical L1110-4), certification HDS (Hébergeurs de Données de Santé, décret 2018), MR-006 et autres méthodologies de référence CNIL. La CNIL a sanctionné lourdement le secteur en 2022-2024 : Dedalus Biologie 1,5 M€ (2022), Cegedim Santé 800 K€ (2022), Doctolib mises en demeure 2022-2024. Une violation sur dossier patient impose notification CNIL + parfois personnes + ARS.

Le secteur santé concentre les violations RGPD les plus graves : Dedalus Biologie (491 000 patients exposés, 2021), Viamedis/Almerys (33 millions Français, 2024). Le coût moyen d’une violation hospitalière atteint 9 millions $ aux USA (IBM 2024), proportionnellement comparable en France.

Pour approfondir : PSSI ANSSI, SecNumCloud, PCA ANSSI.

Points clés

  • L’HDS est obligatoire pour héberger des données de santé pour le compte d’un professionnel.
  • Le secret médical (CSP L1110-4) prime sur le RGPD : pas d’accès tiers sans autorisation patient.
  • Le DPI (Dossier Patient Informatisé) doit suivre les référentiels ANS/Délégation numérique santé.
  • Mon espace santé (depuis 2022) est l’application nationale du carnet de santé numérique.
  • Sanctions CNIL santé 2022-2024 : 4,5 M€ cumulés (Dedalus, Cegedim, Doctolib, Active Soins).

1. Cadre juridique consolidé

Texte Champ
RGPD art. 9 Données santé = données sensibles
CSP L1110-4 Secret médical
CSP L1111-8 Hébergement données santé
Décret HDS 2018-137 Certification HDS
MR-001 à MR-008 Méthodologies recherche médicale
Loi 26 janv. 2016 Système national des données de santé
Arrêté HDS 2018 Certification ASIP

2. Certification HDS : obligation incontournable

L’hébergement de données de santé pour le compte d’un tiers requiert une certification HDS délivrée par un organisme accrédité COFRAC. Standards :

  • ISO 27001 + ISO 20000 + ISO 27018 + exigences spécifiques santé
  • Audit annuel + renouvellement triennal
  • Personnel formé secret médical
  • Hébergement physique sécurisé

Hébergeurs HDS certifiés 2024 (extraits) : OVHcloud, AWS (S3 HDS), Azure (régions FR), Outscale, Worldline, Atos Santé, Claranet, Cegedim Cloud Services.

3. Secret médical : CSP article L1110-4

Le secret médical couvre « tout ce qui a été confié, vu, entendu, compris, voire interprété ». Implications RGPD :

  • Pas de transfert sans consentement patient (sauf cas légaux)
  • Information explicite sur les destinataires
  • Cloisonnement des accès dans le SI hospitalier (rôle, service, mission)
  • Journalisation des consultations dossier (qui, quand, quoi)
  • Sanctions pénales : 1 an + 15 K€ (CP art. 226-13)

4. DPI : Dossier Patient Informatisé

Le DPI centralise les données du patient durant son parcours. Référentiel ANS (Agence du Numérique en Santé) :

  • Authentification forte des professionnels (CPS, e-CPS)
  • Cloisonnement par service (urgences, chirurgie, psychiatrie)
  • Journal d’accès systématique
  • Habilitation par rôle (médecin, infirmier, secrétaire, étudiant)
  • Conservation 20 ans après dernière visite (art. R1112-7 CSP)
  • Conservation 10 ans après décès pour dossier post-mortem

Éditeurs DPI référents : Maincare (Hexagone+), Dedalus, Software, Easily, Lifen, Doctolib Pro.

5. Mon espace santé : enjeux RGPD

Lancé en février 2022, Mon espace santé est le carnet de santé numérique national :

  • DMP (Dossier Médical Partagé) intégré
  • Messagerie sécurisée santé
  • Outil agenda
  • Profil de prévention

Hébergement : HDS souverain (Worldline). Plus de 65 millions d’espaces ouverts (juillet 2024). Le patient garde le contrôle des partages.

6. Télémédecine et téléconsultation

Cadre : décret du 13 septembre 2018 + Code santé publique L6316-1.

  • Plateformes : Doctolib, Maiia, Qare, Livi, Hellocare
  • HDS obligatoire pour conservation
  • Chiffrement bout-en-bout vidéo recommandé
  • Information patient préalable
  • Pas d’enregistrement par défaut
  • Tarification conventionnelle CPAM (téléconsultations)

Doctolib a fait l’objet de mises en demeure CNIL (2022-2024) sur la transparence des sous-traitants.

7. Sanctions CNIL marquantes 2020-2026

Année Entité Amende Motif
2022 Dedalus Biologie 1,5 M€ Fuite 491 000 patients
2022 Cegedim Santé 800 K€ Données santé sans HDS
2022 Active Soins 110 K€ Sécurité, secret médical
2023 Cityscoot 100 K€ Géolocalisation + santé
2024 Viamedis / Almerys Procédure en cours 33 M Français exposés
2024 Cegedim Cloud Services Mise en demeure Sécurité
2025 Clinique privée 150 K€ Vidéosurveillance excessive

8. Notification violation santé

Régime spécifique santé :

  • CNIL sous 72h (RGPD art. 33)
  • Personnes concernées si risque élevé (RGPD art. 34)
  • ARS (Agence Régionale de Santé) si incident SI majeur
  • CERT-Santé (rattaché ANS) pour appui technique
  • Cellule d’accompagnement cybersécurité santé (ACSS) depuis 2022

Procédure ACSS gratuite pour établissements santé < 100 lits.

9. Ransomwares santé : panorama 2022-2026

Date Établissement Impact
Août 2022 CH Sud Francilien (Corbeil) Lockbit, 10M$ refusés, 30j perturbé
Sept. 2022 CH Versailles Lockbit, 10 To exfiltrés
Juin 2023 CHU Rennes 3 semaines perturbé
Mai 2024 Cegedim Santé Impact cabinets clients
Févr. 2024 Viamedis 33 M Français exposés
Sept. 2024 CHU Toulouse Intrusion, blocage partiel

Le secteur santé représente 34 % des cyberattaques sectorielles en France (CERT-FR 2024).

10. Cloud santé : SecNumCloud émergent

L’ANSSI et la délégation numérique santé poussent SecNumCloud + HDS pour les données les plus sensibles :

  • OVHcloud HDS + SecNumCloud : disponible 2024
  • Outscale HDS + SecNumCloud (3DS) : disponible
  • Bleu (Microsoft + Capgemini + Orange) : qualification SecNumCloud en cours

Objectif politique : rapatrier les données de santé françaises hors influence US Cloud Act.

11. Recherche médicale : MR de référence

CNIL méthodologies de référence :

  • MR-001 : recherche impliquant la personne humaine avec recueil consentement
  • MR-003 : recherche sans consentement
  • MR-004 : recherche n’impliquant pas la personne humaine
  • MR-005 : études évaluation pratiques de soins
  • MR-006 : entrepôts de données de santé (EDS)
  • MR-007 : études sécurité produits cosmétiques
  • MR-008 : pharmacovigilance

Adhésion MR = formalité simplifiée (pas d’autorisation préalable CNIL).

12. Checklist établissement santé 2026

À vérifier :

  1. DPO désigné (obligatoire hôpitaux publics)
  2. Registre des traitements détaillé
  3. Hébergeur HDS certifié pour tous les outils
  4. DPI avec journalisation accès systématique
  5. Politique cloisonnement par rôle/service
  6. PIA pour DPI, télémédecine, IA diagnostique
  7. Procédure violation < 72h opérationnelle
  8. Plan de continuité activité (PCA) testé annuellement
  9. Adhésion MR pour toute recherche
  10. Formation personnel RGPD + secret médical annuelle
  11. Audit cybersécurité CERT-Santé biennal
  12. Politique BYOD médecins/infirmiers

FAQ

L’HDS est-elle obligatoire pour tous les hôpitaux ?

Pour héberger chez un tiers : oui (art. L1111-8 CSP). Si l’établissement héberge en propre dans ses locaux : pas de certification HDS mais respect des règles de sécurité équivalentes. La plupart des établissements externalisent partiellement (DPI cloud, télémédecine, sauvegarde) et exigent HDS pour ces prestataires.

Combien de temps conserver un dossier médical ?

20 ans à compter de la dernière visite ou consultation (art. R1112-7 CSP). En cas de décès : 10 ans après décès. Pour mineurs : 20 ans après majorité au minimum. Pour transfusions : 30 ans (art. R1221-58 CSP).

Le secret médical empêche-t-il l’accès au DPO ?

Non. Le DPO peut accéder aux données nécessaires à sa mission de contrôle de conformité, sans violation du secret médical (CNIL FAQ santé). Le DPO est lui-même soumis à confidentialité renforcée. Pour les DPO externes : NDA strict.

Qui peut accéder au dossier patient ?

Les professionnels de santé prenant en charge le patient (CSP L1110-4) + leur équipe rapprochée + le patient lui-même + son représentant légal. Tout autre accès = consentement patient. Tracé via journalisation. Les commerciaux, RH, comptabilité n’ont pas accès au dossier médical.

Quel hébergeur santé choisir en 2026 ?

Hébergeurs HDS certifiés français : OVHcloud, Outscale (3DS), Worldline, Atos Santé, Claranet, Cegedim Cloud Services, Oodrive. Pour données très sensibles ou recherche stratégique : combinaison HDS + SecNumCloud (OVH, Outscale). À éviter pour données très sensibles : hébergeurs US sans clauses spécifiques garanties.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →