Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Policy & Procedure Management
Gestion des divulgations
Third-party risk management
Conformité ABAC
Whistleblowing & case management
Compliance awareness
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Risks
Détectez les problèmes. Agissez. Gardez une longueur d’avance.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

RGPD : Tout savoir sur le traitement des données de santé

by Ola Mohty - Experte en protection des données & Docteure en droit  | Updated: 15/12/2025

Les données de santé posent des enjeux majeurs pour les entreprises et les institutions, entre enjeux technologiques et respect de la vie privée. La bonne compréhension des règles encadrant leur traitement est essentielle pour garantir la conformité au RGPD et aux directives européennes. Cet article fait le point sur la législation et les bonnes pratiques, avec un focus sur les lignes directrices du Conseil de l’Europe et du Comité Européen de la Protection des Données (CEPD).

Données personnelles relatives à la santé : les précisions du Conseil de l’Europe et du CEPD

Les données de santé sont diverses et posent des enjeux majeurs, qui ne cessent de prendre de l’importance. D’une part, en raison du développement des technologies permettant des traitements de plus en plus importants, et des problématiques de vie privée que le traitement de ces données pose (à qui sont-elles destinées, existence d’une finalité ultérieure, gestion du recueil du consentement, etc.). 

L’idée est de faire un état des lieux de la législation entourant les données de santé, en revenant notamment sur les lignes directrices du Conseil de l’Europe du 27 mars 2019 encadrant le traitement des données de santé. Ces lignes directrices viennent étendre les principes énoncés dans l’avis rendu le 23 janvier 2019 par le CEPD sur l’interaction entre le CTR et le RGPD. 

Qu’est-ce qu’une donnée de santé ?

Le RGPD donne une définition large des données de santé, qualifiées de données relatives à la santé physique ou mentale (passée, actuelle ou future) d’une personne physique, révélant des informations sur l’état de santé de cette même personne. 

Sont considérées comme données personnelles relatives à la santé : 

  • Les données de santé par nature : antécédents médicaux, éventuelle maladie, réalisation d’une prestation de soin, etc. 
  • Les données qui deviennent des données de santé à la suite d’un croisement avec d’autres données : par exemple, croisement d’une mesure de poids avec d’autres données telles que le nombre de pas ou la mesure des apports caloriques. 
  • Les données qui deviennent des données de santé en raison de leur destination, c’est-à-dire de leur utilisation sur le plan médical. 

La protection des données de santé

Un principe d’interdiction de traitement

Les données de santé sont protégées par la loi Informatique et Liberté, le RGPD et le Code de la santé publique. La loi Informatique et Libertés dispose que les données de santé sont particulières et leur traitement est interdit sauf exception particulière l’autorisant. Construit sur le même format, l’article 9 du RGPD impose également une interdiction complétée par des exceptions. 

Assortis d’exceptions : 

  • L’article 9 § 2 du RGPD établit une liste d’exceptions permettant le traitement des données sensibles, dont les données de santé. 
  • De la même façon, l’article 9 §3 du RGPD dispose que « les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel ». 

Le secteur de la santé étant particulièrement impacté par le RGPD, le traitement des données de santé a été précisé par le Conseil de l’Europe et par le CEPD.

Interactions RGPD – Règlement relatif aux essais cliniques (CTR)

Le règlement européen (536/214) relatif aux essais cliniques est entré en vigueur le 31 janvier 2022 et a remplacé la directive 2001/20/CE. Il vise à simplifier et harmoniser les réglementations relatives aux essais cliniques. Son application définitive est prévue pour 2025. 

Une des évolutions majeures concerne le portail Clinical Trial Information System (CTIS), où devaient se faire les demandes et autorisations d’essais cliniques au niveau européen. Il harmonise également les processus de soumission et d’évolution des essais cliniques en Europe. 

Un avis explicatif a été publié par le CEPD pour clarifier les champs d’application et les interactions entre le RGPD et le CTR. La nature des traitements de données relatifs aux essais cliniques y est précisée, et l’utilisation des données de santé y est expliquée. 

Le CEPD différencie l’utilisation première des données de leur utilisation secondaire (réutilisation). Parmi les utilisations premières, on retrouve les actions relatives à des traitements liés à la protection de la santé (en s’assurant du respect des normes sanitaires). 

Les bases légales des traitements initiaux des données sont traitées, et la réutilisation des données à des fins de recherche est considérée comme compatible avec le RGPD. 

Les méthodologies de référence dans le domaine de la recherche

Pour le traitement des données de santé à des fins de recherche, deux régimes de formalités existent : conformité à une méthodologie de référence élaborée par la CNIL ou autorisation auprès de la CNIL. 

La CNIL élabore des référentiels pour guider les responsables de traitement et alléger les formalités. Si un traitement est conforme à une méthodologie de référence (MR), il peut être mis en œuvre sans autorisation préalable, sous réserve d’une déclaration attestant de sa conformité. 

Actuellement, 6 méthodologies de référence existent : 

  • MR-001 et MR-003 : recherches impliquant la personne humaine 
  • MR-002 : études non interventionnelles de performances de dispositifs médicaux de diagnostic in vitro 
  • MR-004 : recherches n’impliquant pas la personne humaine 
  • MR-005 et MR-006 : accès aux données du PMSI par les établissements de santé et fédérations industrielles pour des études sécurisées et confidentielles 

Principales nouveautés : 

  • Obligation pour le responsable de traitement de désigner un DPO 
  • Obligation de délivrer une information conforme aux articles 13 et 14 du RGPD 
  • Possibilité de traitement de données identifiantes par des sous-traitants sous conditions 

Les autres référentiels

En juillet 2020, la CNIL a adopté trois nouveaux référentiels pour aider les responsables de traitement dans la gestion des données de santé, notamment pour les cabinets médicaux et paramédicaux. 

  • Un référentiel pour encadrer les traitements courants des cabinets 
  • Deux référentiels pour guider la durée de conservation des données, un pour les traitements hors recherche et un pour les traitements à des fins de recherche, d’étude et d’évaluation 

En novembre 2021, un référentiel sur les entrepôts de données de santé a été adopté pour simplifier les formalités et mettre à disposition un cadre juridique rigoureux. Si l’entrepôt est conforme, une autorisation préalable de la CNIL n’est pas nécessaire, mais le responsable doit déclarer sa conformité et respecter le RGPD. 

Conclusion

Le traitement des données de santé reste un enjeu majeur pour les entreprises et les institutions. Conformité au RGPD, méthodologies de référence, solutions adaptées comme EQS Privacy Cockpit et suivi attentif des directives européennes et de la CNIL sont indispensables pour protéger les droits des personnes et sécuriser les traitements. 

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact