Données de santé et RGPD : obligations concrètes pour les établissements hospitaliers en 2026

L'essentiel en 30 secondes

Comparatif

‍

Introduction

L'heure de l'expérimentation est terminée. Depuis 2024, l'AI Act européen a transformé le déploiement des intelligences artificielles médicales en obligation réglementaire encadrée, et non plus en projet de recherche à risque limité. Les hôpitaux qui pilotaient des solutions IA en « mode bac à sable » se retrouvent aujourd'hui face à une réalité juridique incontournable : les IA impactant le diagnostic ou les décisions cliniques sont classées à haut risque, et ce statut exige transparence, traçabilité et souveraineté des données.

Le RGPD, entré en vigueur en 2018, n'a pas attendu cette accélération pour poser ses exigences. Mais en 2026, la conjonction du RGPD, de l'AI Act, dont le calendrier d'application s'étend de 2024 à 2027 selon les catégories de systèmes, de la directive NIS2 et du référentiel HDS v2.0 crée un cadre de conformité que les DSI ne peuvent plus gérer de façon fragmentée. Une donnée de santé non structurée, hébergée hors certification, traitée par une IA opaque : c'est à la fois un risque médical et une fragilité juridique majeure.

Galeon déploie son DPI intelligent dans 19 hôpitaux, couvrant plus de 3 millions de dossiers patients et 10 000 soignants actifs. Ce déploiement repose sur une architecture qui intègre la conformité dès la conception, selon le principe du privacy by design inscrit à l'article 25 du RGPD. Cet article décrypte ce que cela signifie concrètement pour les DSI et DG d'établissements hospitaliers en 2026.

Pourquoi une IA entraînée sur des données non structurées est-elle un danger juridique et médical ?

Qu'est-ce qu'une donnée de santé « non structurée » et pourquoi pose-t-elle problème ?

Une donnée non structurée, c'est un compte-rendu rédigé en texte libre, une image DICOM (format standard d'imagerie médicale numérique) sans métadonnées normalisées, un résultat de biologie saisi dans un champ ouvert sans codage SNOMED (nomenclature internationale des termes cliniques) ou LOINC (système de codification des examens biologiques et cliniques). Ce type de donnée est la norme dans la majorité des DPI hospitaliers français d'ancienne génération.

Le problème est double. D'un côté, une IA entraînée sur des données hétérogènes produit des résultats non reproductibles et potentiellement biaisés, ce qui contrevient directement aux exigences d'exactitude et de minimisation du RGPD (art. 5). De l'autre, l'AI Act impose que les systèmes d'IA à haut risque soient entraînés sur des données « pertinentes, représentatives et exemptes d'erreurs autant que possible ».

La grande majorité des établissements hospitaliers français n'a pas encore atteint un niveau de maturité FHIR suffisant pour simplifier un déploiement IA conforme. Ce retard structurel crée une tension directe avec les exigences du cadre réglementaire 2026.

Sans structuration FHIR, garantir l'exactitude et la non-discrimination exigées par le RGPD devient un défi quasi insurmontable. C'est la réalité à laquelle font face la majorité des DSI hospitaliers en 2026.

L'AIPD dynamique : nouvelle obligation pour chaque déploiement IA

L'Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire dès qu'un traitement est susceptible de générer un risque élevé pour les personnes concernées, ce qui est le cas pour les IA médicales impactant le diagnostic ou les décisions de prise en charge. En 2026, la CNIL précise que cette AIPD doit être dynamique : elle doit être mise à jour à chaque modification substantielle du modèle d'IA, pas seulement lors du déploiement initial.

Concrètement, une AIPD hospitalière doit couvrir : la finalité précise du traitement, la base légale retenue (souvent le motif d'intérêt public ou de médecine préventive, art. 9.2.h et j RGPD), les mesures techniques de sécurité, les durées de conservation et les droits des patients. Toute sous-traitance à un éditeur logiciel impose en plus un DPA (Data Processing Agreement) conforme.

Pourquoi la certification HDS est-elle la seule option viable pour héberger des données patients en 2026 ?

Qu'est-ce que la certification HDS et que couvre-t-elle réellement ?

La certification HDS (Hébergement de Données de Santé), délivrée par des organismes accrédités par le COFRAC (Comité Français d'Accréditation, organisme national chargé d'accréditer les organismes de certification), est obligatoire pour tout acteur qui héberge des données de santé à caractère personnel pour le compte d'un professionnel de santé. Elle repose sur la norme ISO 27001 – qui en est le prérequis – et ajoute des exigences spécifiques au secteur de la santé : gestion des accès, traçabilité des opérations, plan de continuité d'activité, localisation des données dans l'EEE (Espace Économique Européen, qui regroupe les 27 États membres de l'UE ainsi que la Norvège, l'Islande et le Liechtenstein).

En 2026, le référentiel HDS v2.0 intègre explicitement des exigences renforcées sur la résilience des infrastructures et l'audit des accès aux données, en cohérence avec les obligations NIS2 (directive européenne sur la sécurité des réseaux et des systèmes d'information, entrée en vigueur en 2023, qui renforce les obligations de cybersécurité pour les entités essentielles dont les hôpitaux) pour les opérateurs de services essentiels : catégorie dans laquelle entrent désormais les hôpitaux de taille significative.

Galeon détient les certifications HDS et ISO 27001. Ces deux certifications constituent le socle minimal de confiance pour tout partenariat avec un établissement hospitalier français.

Le cloud public américain : un risque majeur pour la souveraineté des données de santé

Confier des données patients à un hébergeur non certifié HDS expose l'établissement à une violation caractérisée du Code de la santé publique (art. L.1111-8) et du RGPD. La CNIL rappelle régulièrement l'importance de la sécurisation, de la traçabilité des accès et du respect des exigences applicables aux données de santé.

Au-delà de la certification, la question de la juridiction applicable est structurante. Le CLOUD Act américain de 2018 autorise les autorités fédérales américaines à contraindre les prestataires cloud de droit américain à communiquer des données, y compris celles hébergées en Europe. Cette extraterritorialité constitue un risque majeur pour la souveraineté des données de santé et doit être intégrée explicitement dans l'analyse de risque et dans le choix d'architecture.

La question n'est pas seulement où les données sont hébergées : c'est sous quelle juridiction elles peuvent être requises.

L'architecture Blockchain Swarm Learning® de Galeon répond à cette exigence par construction : les données demeurent sur les serveurs de l'hôpital, et seuls les algorithmes se déplacent pour l'entraînement décentralisé.

Comment garantir la transparence et l'explicabilité des IA médicales face à l'AI Act ?

Qu'impose concrètement l'AI Act aux hôpitaux déployant une IA ?

L'AI Act, entré en vigueur en août 2024, suit un calendrier progressif : les dispositions sur les systèmes à haut risque s'appliquent pleinement à partir d'août 2026 pour les nouveaux systèmes mis sur le marché, avec des dispositions transitoires pour les systèmes existants. Les IA utilisées dans les décisions médicales – diagnostic, triage, prescription assistée – relèvent de la catégorie « haut risque » dès lors qu'elles influencent une décision clinique (Annexe III de l'AI Act).

Cette classification entraîne un ensemble d'obligations : enregistrement dans la base de données EU, documentation technique complète, logs d'audit conservés a minima 10 ans, et obligation de supervision humaine. L'AI Act n'exige pas qu'une IA soit infaillible, il exige qu'un humain qualifié reste en mesure de comprendre, contester et corriger ses décisions. Ces exigences relèvent d'un cadre de gestion des risques, de gouvernance des données, de journalisation et de conformité continue.

Transparence algorithmique : le défi des architectures complexes

L'obligation d'explicabilité est particulièrement structurante pour les équipes techniques. Les modèles d'apprentissage profond (deep learning) les plus performants en diagnostic médical – détection de pathologies sur imagerie, prédiction de complications – sont précisément ceux dont l'explicabilité est la plus difficile à produire.

L'AI Act n'interdit pas ces architectures complexes, mais il impose une supervision humaine renforcée et une documentation démontrant que les décisions peuvent être comprises et contestées par un clinicien. En pratique, déployer une IA médicale de type « boîte noire » sans couche d'explicabilité rend la mise en conformité avec l'AI Act extrêmement complexe et risquée, aussi bien juridiquement qu'opérationnellement.

Les DSI ont la responsabilité de qualifier leurs fournisseurs d'IA sur ces critères. Les questions à poser sont directes : l'algorithme est-il auditable par un tiers indépendant ? Produit-il des explications lisibles par un clinicien ? Les biais de son jeu d'entraînement ont-ils été documentés ?

Le BSL® de Galeon trace l'intégralité des actions lors de l'entraînement des IA sur la blockchain inter-hospitalière. Cette traçabilité native répond directement aux exigences de documentation de l'AI Act, sans sur-couche technique supplémentaire.

Comparatif : approche traditionnelle vs approche Galeon face aux obligations RGPD/AI Act 2026

Quelles sont les limites et les enjeux réels de la conformité RGPD pour les hôpitaux ?

La conformité RGPD en milieu hospitalier ne se décrète pas : elle se construit dans la durée, et plusieurs obstacles demeurent significatifs.

La charge opérationnelle pèse sur des équipes sous-dimensionnées. Les DPO (Délégués à la Protection des Données) hospitaliers gèrent en moyenne plusieurs centaines de traitements différents. La mise à jour des registres de traitement, la conduite des AIPD dynamiques et la gestion des droits patients représentent une charge difficile à absorber sans outillage dédié.

La migration des données historiques est un chantier sous-estimé. Structurer des données produites sur 10 ou 20 ans dans des formats propriétaires vers FHIR est un projet pluriannuel. Pendant la transition, les établissements opèrent dans un environnement hybride où une partie des données reste difficile à exploiter dans un cadre conforme.

La tension entre performance IA et explicabilité n'est pas résolue. Les modèles les plus performants en diagnostic médical sont souvent les moins explicables. L'AI Act exige la supervision humaine et la documentation sans prescrire la méthode technique. Les éditeurs et les hôpitaux doivent trouver leurs propres solutions, ce qui représente un effort R&D significatif.

La formation des soignants est le maillon faible. Un DPI conforme ne suffit pas si les utilisateurs contournent les procédures : partage de données par messagerie non sécurisée, accès hors protocole en situation d'urgence. La conformité réelle dépend autant de la culture que de la technique.

La coexistence de plusieurs référentiels crée de la complexité. RGPD, AI Act, NIS2, HDS, PGSSI-S, référentiel d'identito-vigilance : chaque norme a son propre calendrier, ses propres exigences et ses propres organes de contrôle. L'absence d'un cadre unifié oblige les DSI à orchestrer une mise en conformité multi-référentiels, souvent sans ressources dédiées.

FAQ – Données de santé et RGPD : questions fréquentes des DSI

Un hôpital peut-il utiliser un outil IA fourni par un éditeur américain pour traiter des données patients ? Pas sans garanties contractuelles et techniques strictes. Depuis l'invalidation du Privacy Shield, tout transfert de données vers les États-Unis exige des Clauses Contractuelles Types (CCT) validées par la CNIL et une analyse des lois américaines susceptibles de contraindre l'éditeur à communiquer les données (CLOUD Act). En pratique, l'extraterritorialité du droit américain constitue un risque juridique documenté que peu d'établissements ont les moyens de maîtriser complètement, ce qui rend les solutions à hébergement souverain structurellement plus sûres.

Quelle est la différence entre HDS et ISO 27001 ? ISO 27001 est un standard international de management de la sécurité de l'information, exigé comme prérequis à la certification HDS. La certification HDS est spécifique au secteur de la santé français et ajoute des obligations sur la gestion des données patients, la continuité d'activité et les droits des personnes concernées. Obtenir ISO 27001 ne suffit pas pour héberger légalement des données de santé en France : les deux certifications sont distinctes et complémentaires.

À quelle fréquence une AIPD doit-elle être mise à jour pour une IA médicale ? La CNIL recommande de revoir l'AIPD à chaque changement substantiel du traitement : mise à jour majeure de l'algorithme, changement de périmètre des données traitées, nouveau cas d'usage clinique, changement d'hébergeur. Pour des IA médicales en production active et régulièrement réentraînées, une révision au minimum annuelle est attendue, plus fréquente si le modèle évolue significativement.

Le droit à l'effacement s'applique-t-il aux données médicales ? Oui, mais avec des exceptions importantes. Les données de santé peuvent être conservées au-delà de la demande d'effacement si leur traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique, ou pour l'exécution d'une mission de service public. La durée légale de conservation du dossier patient en France est de 20 ans à compter du dernier séjour. Le droit à l'effacement s'applique aux traitements qui dépassent ces finalités légitimes.

Qu'est-ce qu'un traitement « à haut risque » au sens de l'AI Act et comment un hôpital le qualifie-t-il ? L'AI Act classe « à haut risque » les systèmes d'IA utilisés dans des domaines sensibles listés à son Annexe III, dont les dispositifs médicaux et systèmes d'aide à la décision clinique. En pratique, une IA qui influence un diagnostic, un triage ou une décision de traitement entre dans cette catégorie. La qualification doit être effectuée par l'établissement avec son DPO et son fournisseur, en s'appuyant sur les lignes directrices publiées par la Commission européenne.

Que se passe-t-il si un hôpital subit une violation de données et ne notifie pas la CNIL dans les 72 heures ? Le RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation (art. 33). Le non-respect de ce délai constitue une violation distincte, susceptible d'entraîner une sanction administrative indépendante. La CNIL a prononcé des amendes contre des établissements de santé pour défaut ou retard de notification : le secteur de la santé figure parmi les secteurs les plus contrôlés en France.

Conclusion – L'IA éthique comme fondation de la confiance médicale

En 2026, la conformité RGPD dans les établissements hospitaliers n'est plus un projet informatique : c'est une condition d'exercice. La convergence du RGPD, de l'AI Act et du référentiel HDS v2.0 dessine un cadre exigeant, dans lequel chaque déploiement d'IA médicale doit pouvoir être justifié, tracé et audité. Les hôpitaux qui ont investi dans une donnée structurée, un hébergement souverain et une architecture transparente ne subissent pas cette réglementation : ils en tirent un avantage concurrentiel et une relation de confiance renforcée avec leurs patients.

L'IA médicale la plus fiable sera celle qui repose sur les données les plus rigoureusement gouvernées. La souveraineté de la donnée hospitalière n'est pas un frein à l'innovation : c'est son socle. Sans structuration FHIR, sans certification HDS, sans traçabilité algorithmique, la mise en conformité avec le cadre réglementaire 2026 devient un chantier permanent et coûteux. Galeon construit cette fondation depuis 2016, dans 19 hôpitaux, pour que la médecine de demain repose sur des données dignes de confiance.