Données de santé et RGPD : les sanctions CNIL se multiplient

Données de santé : pourquoi un régime si strict ?

Les données de santé font partie des informations les plus sensibles que l'on puisse traiter. Elles regroupent toutes les informations relatives à la santé physique ou mentale d'une personne : pathologies, traitements, résultats d'examens, prescriptions, antécédents médicaux, mais aussi le simple fait de consulter tel ou tel spécialiste.

Le RGPD les classe dans les "catégories particulières de données personnelles" (article 9), aux côtés des données révélant l'origine ethnique, les opinions politiques, les convictions religieuses ou l'orientation sexuelle. Leur traitement est interdit par défaut, sauf exceptions strictement encadrées.

Pourquoi une telle protection ?

Une fuite ou un mauvais usage de données de santé peut avoir des conséquences graves :

• Atteinte à la vie privée : révélation d'une pathologie stigmatisante
• Discrimination : refus d'assurance, de prêt, ou discrimination à l'embauche
• Usurpation d'identité : création de faux dossiers médicaux
• Chantage : menace de divulgation d'informations sensibles

C'est pourquoi la CNIL se montre particulièrement vigilante dans le secteur de la santé et adopte une appréciation stricte des manquements.

Qui est concerné ?

Tous les acteurs qui manipulent des données de santé :

• Professionnels de santé libéraux : médecins généralistes et spécialistes, dentistes, kinésithérapeutes, infirmiers, audioprothésistes, orthophonistes...
• Établissements de santé : cliniques, hôpitaux, laboratoires d'analyses
• Éditeurs de logiciels médicaux : SIRH santé, logiciels de gestion de cabinet
• Entreprises de e-santé : applications de suivi, objets connectés, plateformes de télémédecine
• Assureurs et mutuelles : sous conditions légales strictes
• Toute entreprise : dès lors qu'elle traite des informations de santé (arrêts maladie, aptitude au travail...)

Les sanctions CNIL : ce qui s'est passé en 2024-2025

La CNIL a considérablement durci le ton ces dernières années. En 2024, elle a prononcé 87 sanctions pour un montant cumulé de 55 212 400 euros. Parmi celles-ci, de nombreuses concernent directement le secteur de la santé.

Les professionnels de santé sanctionnés

Les sanctions à l'encontre de professionnels de santé libéraux se multiplient. Voici quelques exemples récents :

• Stomatologue : 5 000€ d'amende pour non-respect du droit d'accès au dossier médical et défaut de coopération avec la CNIL
• Orthophoniste : 4 000€ pour absence de réponse à une injonction de la CNIL
• Chirurgiens-dentistes : plusieurs sanctions entre 3 000€ et 5 000€ pour des manquements similaires
• Clinique : 15 000€ pour défaut de coopération
• Groupement régional e-santé : 20 000€ pour manquement aux obligations de traitement et absence d'encadrement des relations avec les sous-traitants

Les manquements les plus fréquents

L'analyse des sanctions 2024 révèle trois principaux motifs :

1. Le non-respect du droit d'accès au dossier médical

C'est le premier déclencheur de plaintes. Un patient demande son dossier médical, le professionnel ne répond pas ou refuse. Le patient saisit la CNIL. Pourtant, l'article 64 de la loi Informatique et Libertés est clair : le patient a droit à une copie de son dossier, et le refus constitue une atteinte aux droits fondamentaux.

2. Le défaut de coopération avec la CNIL

C'est le manquement le plus sanctionné dans le cadre de la procédure simplifiée (27 organismes en 2024). Quand la CNIL vous écrit, il faut répondre. Ne pas répondre à ses sollicitations, c'est ajouter une infraction à l'infraction initiale.

3. Les défauts de sécurité

La CNIL a mis en demeure plusieurs établissements de santé en 2024 concernant la sécurité du dossier patient informatisé (DPI). Le problème récurrent : les données des patients sont accessibles à des personnes qui n'ont pas besoin d'en connaître.

Les obligations RGPD pour les données de santé

Traiter des données de santé impose le respect des principes généraux du RGPD, mais aussi des obligations renforcées liées au caractère sensible de ces informations.

1. Identifier une exception à l'interdiction de traitement

Le traitement des données de santé est interdit par défaut. Pour le rendre licite, vous devez vous appuyer sur l'une des exceptions de l'article 9 du RGPD :

• Consentement explicite de la personne concernée (par écrit, clair et spécifique)
• Nécessité pour la médecine préventive ou curative : diagnostics, traitements, gestion des services de santé
• Intérêt public dans le domaine de la santé publique
• Obligations légales en matière de droit du travail ou de protection sociale
• Recherche scientifique (sous conditions strictes, avec autorisation CNIL)

2. Respecter les principes fondamentaux

Minimisation : ne collectez que les données strictement nécessaires. Un audioprothésiste n'a pas besoin de l'ensemble de l'historique médical de son patient pour un appareillage auditif.

Finalité déterminée : chaque donnée doit être collectée pour un objectif précis, explicite et légitime. Les données collectées pour des soins ne peuvent pas être réutilisées pour du marketing sans consentement.

Durée de conservation limitée : les données ne doivent pas être conservées au-delà de ce qui est nécessaire. Pour le dossier médical, c'est 20 ans après la dernière consultation (avec des exceptions).

Sécurité renforcée : les mesures techniques et organisationnelles doivent être à la hauteur de la sensibilité des données. Chiffrement, contrôle des accès, traçabilité...

3. Garantir les droits des patients

Les patients disposent de droits qu'il faut respecter scrupuleusement :

• Droit d'accès : obtenir une copie de leur dossier médical
• Droit de rectification : corriger des informations inexactes
• Droit à l'information : savoir comment leurs données sont utilisées
• Droit à la portabilité : récupérer leurs données dans un format structuré
• Droit d'opposition : dans certains cas limités (pas pour les soins eux-mêmes)

Le délai de réponse est d'un mois maximum. Un retard ou une absence de réponse peut déclencher une plainte, puis un contrôle.

4. Documenter votre conformité

Le RGPD repose sur un principe d'accountability : vous devez être en mesure de démontrer votre conformité à tout moment. Cela implique :

• Un registre des traitements (obligatoire) décrivant chaque traitement, ses finalités, les catégories de données, les destinataires, les durées de conservation
• Des procédures documentées pour répondre aux demandes d'exercice des droits
• Une information claire des patients (affichage en salle d'attente, mentions sur les formulaires, politique de confidentialité)
• Un DPO si vous traitez des données de santé à grande échelle (obligatoire pour les établissements publics)

Comment éviter les sanctions : les bonnes pratiques

La plupart des sanctions auraient pu être évitées avec quelques réflexes simples.

Mettre en place une procédure pour le droit d'accès

C'est la première cause de plaintes. Documentez une procédure claire :

• Qui reçoit les demandes et comment
• Comment vérifier l'identité du demandeur
• Délai maximum de réponse (1 mois)
• Format de transmission (papier, numérique, consultation sur place)
• Cas particuliers (mineur, personne décédée, tutelle)

Répondre systématiquement à la CNIL

Si vous recevez un courrier de la CNIL, répondez. Dans les délais. Avec tous les éléments demandés. Le défaut de coopération est une infraction en soi, qui vient s'ajouter à l'éventuel manquement initial et aggrave la sanction.

Sécuriser les accès aux données

Les données de santé ne doivent être accessibles qu'aux personnes qui en ont besoin pour exercer leurs fonctions :

• Comptes nominatifs avec mots de passe robustes
• Gestion fine des habilitations (qui peut voir quoi)
• Traçabilité des accès (logs)
• Verrouillage automatique des postes
• Chiffrement des données sensibles

Informer les patients

Affichez une information claire sur l'utilisation des données :

• Affiche en salle d'attente
• Mention sur les formulaires de recueil d'informations
• Politique de confidentialité accessible

Cette information doit préciser : qui est responsable du traitement, quelles données sont collectées, pourquoi, sur quelle base légale, combien de temps elles sont conservées, et comment exercer ses droits.

Former le personnel

Les erreurs proviennent souvent d'un manque de sensibilisation. Formez vos équipes sur :

• Le secret médical et le secret professionnel
• Les règles de confidentialité
• Les bons réflexes en cas de demande d'un patient
• La marche à suivre en cas de violation de données

En cas de violation de données

Une violation de données (fuite, accès non autorisé, perte) concernant des données de santé est particulièrement grave. Le RGPD impose :

Notification à la CNIL sous 72 heures si la violation présente un risque pour les droits et libertés des personnes (ce qui est quasi systématique pour des données de santé).

Information des personnes concernées sans délai si le risque est élevé.

Documentation de l'incident dans tous les cas.

Votre politique de confidentialité : une obligation légale

Tout professionnel de santé doit informer ses patients sur le traitement de leurs données. Cette information peut prendre la forme d'une politique de confidentialité affichée dans le cabinet ou remise aux patients.

Cette politique doit indiquer :

• L'identité et les coordonnées du responsable de traitement
• Les finalités et la base légale du traitement
• Les catégories de données collectées
• Les destinataires des données (laboratoires, spécialistes, sécurité sociale...)
• Les durées de conservation
• Les droits des patients et comment les exercer
• Les coordonnées du DPO le cas échéant
• Le droit d'introduire une réclamation auprès de la CNIL

RGPDKit génère automatiquement une politique de confidentialité adaptée à votre activité, conforme au RGPD et à la réglementation française. En quelques minutes, vous disposez d'un document professionnel que vous pouvez afficher ou remettre à vos patients.

En résumé

Les données de santé bénéficient du plus haut niveau de protection dans le RGPD. Leur traitement, interdit par défaut, n'est autorisé que dans des cas précis et impose des obligations renforcées de sécurité, d'information et de documentation.

La CNIL intensifie ses contrôles dans le secteur de la santé. En 2024, elle a prononcé 87 sanctions pour plus de 55 millions d'euros d'amendes. Les professionnels de santé libéraux ne sont pas épargnés : plusieurs ont été sanctionnés à hauteur de 3 000 à 5 000 euros pour des manquements qui auraient pu être évités.

Les deux principaux déclencheurs de procédures sont le refus de communiquer un dossier médical et l'absence de réponse aux sollicitations de la CNIL. Ces deux erreurs sont facilement évitables avec des procédures claires et une sensibilisation du personnel.

La conformité RGPD n'est pas qu'une obligation légale : c'est aussi un gage de confiance pour vos patients. Dans un contexte où les cyberattaques se multiplient et où les fuites de données font régulièrement la une, démontrer que vous protégez les informations de santé de vos patients est un atout.