Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Policy & Procedure Management
Gestion des divulgations
Third-party risk management
Conformité ABAC
Whistleblowing & case management
Compliance awareness
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Risks
Détectez les problèmes. Agissez. Gardez une longueur d’avance.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

Données de santé et RGPD : attention aux règles spécifiques

by Ola Mohty - Experte en protection des données & Docteure en droit  | Updated: 15/12/2025

Les données de santé font partie des informations les plus sensibles traitées par les organisations. Leur utilisation est strictement encadrée par le RGPD et par des règles nationales spécifiques. Comprendre ce qui constitue une donnée de santé, les conditions de leur traitement et les obligations associées est essentiel pour assurer une conformité durable et protéger efficacement les droits des personnes concernées.

Le Règlement Européen sur la protection des données entend renforcer le cadre juridique applicable en matière des données personnelles et permettre notamment aux personnes concernées de décider quant au sort de leurs données. Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier une personne physique de manière directe ou indirecte en se référant par exemple à son nom, prénom, un identifiant ou autres éléments 1. 

Le traitement de ces données est en principe autorisé. Des mesures adaptées doivent toutefois être mises en place par le responsable de traitement pour une protection optimale des données. Ainsi, l’organisme souhaitant traiter des données relatives à des individus doit se poser tout un tas de questions au préalable afin de savoir s’il a le droit ou pas de le faire et de déterminer les obligations dont il est tenu. 

Donnée de santé : une notion large

Ce principe d’autorisation de traitement n’est toutefois pas absolu. Le RGPD distingue en effet une catégorie de données qu’il désigne de « catégories particulières de données à caractère personnel », non concernée par cette autorisation générale. Une liste exhaustive de ces données est introduite à l’article 9 et les données appartenant à cette liste ont pour point commun un degré de sensibilité important. Leur traitement ou encore leur révélation peut être à l’origine de risques élevés pour les droits et libertés des personnes. 

Les données de santé qui appartiennent à cette liste sont considérées comme des données sensibles et sont soumises à des règles spécifiques. L’article 4 du RGPD les définit comme étant celles qui renseignent sur la santé physique ou mentale d’une personne physique. Cette définition a connu une évolution progressive au fil des années. Alors que la Directive 95/46/CE donnait une définition restreinte en considérant qu’il s’agit des données relatives à la santé, la Commission Européenne a considéré que la simple information qu’une personne se soit blessée au pied et qu’elle est en congé maladie constitue une donnée de santé 2. Aussi, la CNIL a adopté une définition large de la donnée de santé dans sa délibération du 10 octobre 2013 et a considéré que les données sur les addictions et la dépendance sont des données de santé. 

Depuis l’entrée en application du RGPD, cette notion ne couvre plus la seule hypothèse d’une information en lien direct avec une pathologie, mais plus largement avec tout l’environnement lié à la prestation de santé. Les renseignements peuvent ainsi concerner la santé présente, passée ou future d’une personne et tout élément informant sur l’état de santé d’une personne. Il peut en effet s’agir non seulement des informations relatives à une éventuelle maladie ou pathologie mais aussi de celles obtenues lors d’un test ou examen d’une partie du corps. Ainsi, selon la nouvelle définition, les objets connectés et dispositifs de « quantified self » qui collectent, par exemple, des données brutes relèvent désormais du régime des données de santé. Autre exemple, le simple fait qu’une personne soit en arrêt maladie, sans en connaître la raison, constitue une donnée de santé. 

La CNIL pour sa part distingue trois catégories de données de santé 3 : 

  • Les données de santé par nature ; 
  • Les données qui deviennent des données de santé du fait de leur croisement avec d’autres données car permettant de tirer des informations sur l’état de santé de la personne ; 
  • Les données qui deviennent des données de santé en fonction de leur destination. 

Les deux dernières catégories peuvent regrouper un grand nombre de données. Ceci permet une protection plus élevée des personnes et invite dans une certaine mesure le responsable de traitement à porter une attention particulière à toute donnée pouvant révéler de loin ou de près une information sur la santé d’une personne. 

Les principes entourant le traitement des données de santé

Les données de santé sont régies par un cadre juridique complexe. En plus des dispositions introduites par le RGPD, des règles plus spécifiques se retrouvent dans la loi Informatique et Libertés. 

Au vu du caractère sensible des données de santé, ces données ne peuvent, en principe, pas être utilisées, voire traitées. Ce principe d’interdiction vise à limiter autant que possible les risques pouvant découler de leur usage et les conséquences nuisibles pour les personnes concernées. Des exceptions existent toutefois 4. 

Le recueil du consentement

Les données de santé peuvent être traitées dans le cas où le consentement de la personne a été collecté au préalable. Cette exception introduite à l’article 9 du RGPD ne peut être considérée comme valide que lorsque les principes généraux du consentement ont été respectés. Le consentement doit être collecté de manière libre, spécifique, éclairée et univoque. La personne concernée ne doit notamment pas être forcée à donner son accord et il ne doit pas y avoir de doute quant à la volonté de consentir. 

Les autres exceptions

En plus de l’exception portant sur la collecte du consentement, d’autres exceptions existent permettant d’autoriser le traitement des données de santé, notamment dans les cas suivants : 

  • Respect des obligations légales. 
  • Sauvegarde des intérêts vitaux. 
  • Données rendues publiques par la personne concernée. 
  • Pour des motifs d’intérêt public. 
  • Nécessaire aux fins de la médecine préventive ou de la médecine du travail. 
  • À des fins archivistiques, de recherche ou statistiques. 

Les obligations à respecter pour un traitement conforme des données de santé

Tout organisme traitant des données de santé est soumis à un certain nombre d’obligations portant sur les modalités de mise en œuvre des traitements. Les principes généraux du RGPD doivent être respectés et des mesures renforcées doivent être mises en place au vu du caractère sensible de ces données.

Mettre en place une documentation

Afin de se conformer au principe d’accountability, l’organisme doit tenir une documentation en interne qui décrit les traitements ainsi que les mesures prises pour assurer la conformité de ces traitements. Parmi ces documents, il faut surtout porter une attention particulière à la conservation des autorisations conférées par la CNIL pour tel ou tel traitement. En effet, dans le domaine de la santé, la CNIL doit être sollicitée dans certains cas notamment pour les traitements de recherche et le traitement ne peut être mis en œuvre qu’après avoir reçu l’autorisation de la CNIL. 

Désigner un DPO

L’organisme peut être soumis à l’obligation de désigner un DPO. Cette obligation concerne tous les établissements publics de santé. Les organismes privés ne sont toutefois pas tous concernés et cela dépend de l’étendue du traitement des données de santé mis en œuvre. Ainsi, pour les traitements de données de santé mis en œuvre à « grande échelle », l’article 37 du RGPD impose à l’organisme de désigner un DPO. Celui-ci a pour mission d’organiser la mise en conformité au sein de l’organisme, d’anticiper les mesures à mettre en place et de le protéger contre tout risque de non-conformité. 

Définir des procédures pour le respect des droits des personnes

Le RGPD a renforcé les droits dont bénéficient les personnes concernées. Ces droits visent particulièrement à permettre aux personnes de maîtriser leurs données. 

Il peut s’agir du droit à l’information, de rectification, d’accès, d’opposition, etc. Des procédures spécifiques doivent être mises en place en interne afin de permettre aux personnes dont les données sont traitées d’exercer leurs droits et pour organiser le traitement des demandes ainsi que la transmission des réponses aux personnes dans les délais.

Réaliser un PIA

La mise en place de traitements portant sur des données de santé est susceptible le plus souvent d’engendrer des risques élevés pour les droits et libertés des personnes. Une analyse d’impact doit, dès lors, être menée préalablement à la mise en œuvre de ce type de traitement. 

Mettre en place des mesures de sécurité suffisantes

Les mesures mises en place doivent permettre d’assurer une sécurité renforcée des données de santé afin de limiter les risques pour les droits et libertés des personnes et d’éviter tout accès non autorisé aux données. 

Formaliser les relations avec les tiers

Dans le cas où l’organisme entend recourir à un sous-traitant, il doit veiller à choisir un prestataire qui met en place des mesures techniques et organisationnelles suffisantes. Le recours à un prestataire de service pour une prestation portant sur des traitements de données de santé doit être formalisé par un acte juridique décrivant les prestations concernées ainsi que les responsabilités de chaque partie. 

L’hébergement des données de santé

L’article L. 1111-8 du Code de la santé publique impose dans certains cas une obligation de certification pour l’hébergement des données de santé. Cette obligation de recourir à un prestataire certifié HDS ne s’applique toutefois pas de manière absolue. Est uniquement concerné l’hébergement externalisé des données de santé, c’est-à-dire celui effectué pour le compte d’un responsable de traitement ou pour le compte du patient lui-même. Ainsi, si l’organisme décide de stocker ses données en interne, il n’est pas tenu d’obtenir cette certification au préalable. Dans tous les cas, l’hébergement doit être conforme au RGPD et des mesures de sécurité suffisantes doivent être prises afin de garantir sa sécurité. 

Conclusion

Le traitement des données de santé impose un niveau d’exigence particulièrement élevé en matière de conformité. La qualification large de ces données, la multiplicité des règles applicables et les risques associés nécessitent une approche rigoureuse, documentée et anticipée. En intégrant dès la conception des traitements les exigences du RGPD et de la législation nationale, les organismes renforcent non seulement leur conformité, mais aussi la confiance des personnes concernées.

Sources 

1 Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 4. 

2 CJUE, 6 novembre 2003, C-101/01 : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=ecli:ECLI%3AEU%3AC%3A2003%3A596 

3 https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante 

4 Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 9. 

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact