Respect de votre vie privée

Nous utilisons des cookies pour améliorer votre expérience sur DPO Manager. Les cookies essentiels sont nécessaires au fonctionnement de la plateforme. Les cookies analytiques nous aident à comprendre comment vous utilisez notre service afin de l'améliorer (anonymisés, conformes RGPD).

DPO Manager
Secteur
28 décembre 2025
12 min de lecture

RGPD et données de santé : obligations renforcées pour les professionnels

Les données de santé bénéficient d'une protection renforcée sous le RGPD. Découvrez les obligations spécifiques pour les professionnels et établissements de santé.

RGPDdonnées santéHDSsecret médicalprofessionnel santéhopital

Les données de santé font partie des catégories de données dites "sensibles" au sens de l'article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions strictement encadrées. Pour les professionnels et établissements de santé, cette qualification entraîné des obligations renforcées à chaque étape du traitement.

Données sensibles = protection renforcée

Les données de santé incluent : informations sur l'etat de santé physique ou mental, données génétiques, données biométriques, prescriptions médicales, résultats d'examens, antécédents medicaux, numéro de sécurité sociale. Leur traitement est interdit sauf exceptions de l'article 9.2 du RGPD.

Qui est concerne ?

  • Médecins, dentistes, pharmaciens, infirmiers, kinesitherapeutes
  • Hopitaux, cliniques, centres de santé, EHPAD
  • Laboratoires d'analyses médicales
  • Mutuelles et assurances santé
  • Editeurs de logiciels de santé (DMP, téléconsultation)
  • Médecine du travail
  • Recherche médicale et essais cliniques

Hébergement certifié HDS obligatoire

Depuis 2018, toute personne qui héberge des données de santé à caractère personnel pour le compte de tiers doit être certifiée HDS (Hébergeur de Données de Sante). Cette certification, délivrée par un organisme accrédité, garantit un niveau de sécurité adapte à la sensibilité des données. Elle s'applique aux hébergeurs cloud, aux editeurs de logiciels SaaS de santé et à tout prestataire stockant des données de santé.

Les bases légales pour traiter des données de santé

  • Médecine preventive, diagnostic médical, prise en charge sanitaire (article 9.2.h) - base la plus courante pour les professionnels de santé
  • Consentement explicite de la personne (article 9.2.a)
  • Sauvegarde des intérêts vitaux (urgence médicale)
  • Recherche scientifique ou statistique avec garanties appropriées
  • Motifs d'intérêt public dans le domaine de la santé publique

Mesures de sécurité spécifiques

  • Chiffrement des données au repos et en transit (obligatoire)
  • Authentification forte (carte CPS pour les professionnels de santé)
  • Traçabilité des accès (qui a consulte quel dossier, quand)
  • Cloisonnement des accès (principe du moindre privilege)
  • Sauvegardes chiffrees et testées régulièrement
  • Plan de continuité d'activité (PCA) pour garantir l'accès aux dossiers en urgence
  • Formation régulière du personnel au secret médical et à la cybersécurité
Art. 9
Données sensibles RGPD
HDS
Certification obligatoire
20 ans
Conservation dossier médical
CPS
Authentification obligatoire

DPO Manager pour le secteur santé

DPO Manager accompagne les professionnels de santé avec un registre intégrant les traitements spécifiques au secteur (dossier patient, télémédecine, pharmacovigilance), le suivi de la certification HDS des hébergeurs et des alertes de conformité adaptees aux exigences du secteur.

Simplifiez votre conformité avec DPO Manager

Registre des traitements, gestion des droits, DPIA, incidents, sous-traitants, cookies et formation : tout en un seul outil.

Démarrer l'essai gratuit 14 jours

Sans carte bancaire • Configuration en 15 minutes

Articles similaires

Conformité12 min

Comment créer et maintenir votre registre des traitements RGPD

Le registre des traitements est la pierre angulaire de votre conformité RGPD. Découvrez comment le créer, le maintenir à jour et éviter les erreurs courantes conformément à l'article 30.

Lire
Organisation10 min

Le rôle du DPO : missions, obligations et bonnes pratiques

Le Délégué à la Protection des Données (DPO) est un acteur clé de la conformité RGPD. Découvrez ses missions, quand sa désignation est obligatoire et comment exercer ce rôle efficacement.

Lire
Droits11 min

RGPD : les droits des personnes concernées expliqués simplement

Le RGPD confere aux personnes des droits renforcés sur leurs données personnelles. Découvrez les 8 droits fondamentaux et comment mettre en place des procédures efficaces pour y répondre.

Lire
Tous les articles du blog