Blog

Health and AI

RGPD et données de santé : ce que tout DSI d'hôpital doit savoir en 2026

Sommaire
Text Link
Health and AI

RGPD et données de santé : ce que tout DSI d'hôpital doit savoir en 2026

RGPD et données de santé : ce qu'il faut savoir pour un hôpital
Tanguy BertogliatiGrowth Marketer
Updated on
29/6/2026

L'essentiel en 30 secondes

Question Réponse courte Ce qu'il faut retenir
Qu'est-ce qu'une donnée de santé au sens du RGPD ? Toute donnée révélant l'état de santé physique ou mentale d'une personne Définition large (art. 4.15) : un champ "allergie" ou une glycémie suffisent à qualifier la donnée
Le traitement des données de santé est-il autorisé ? Interdit par principe, sauf exception L'article 9 pose une interdiction, levée par 10 exceptions strictes (consentement, soin, recherche)
RGPD et HDS, est-ce la même chose ? Non, deux cadres complémentaires Le RGPD encadre le traitement, la certification HDS encadre l'hébergement. Les deux sont obligatoires
Faut-il une double base légale ? Oui Il faut cumuler une base de l'article 6 ET une exception de l'article 9 (système du "double verrou")
Quels risques en cas de manquement ? Sanctions lourdes La CNIL sanctionne l'absence d'AIPD et la collecte excessive, avec des amendes documentées
Qu'est-ce qui change en 2026 ? HDS v2 et EHDS Migration HDS v2 obligatoire au 16 mai 2026, montée en puissance de l'Espace Européen des Données de Santé
Comment Galeon répond à ces enjeux ? Données localisées, jamais déplacées Les données restent dans l'hôpital ; seuls les algorithmes circulent via le Blockchain Swarm Learning®

Introduction

Un hôpital qui informatise ses dossiers patients manipule chaque jour les données les plus sensibles qui existent au regard du droit européen. Diagnostics, résultats d'analyses, prescriptions, antécédents : chacune de ces informations relève d'un régime juridique d'exception. La moindre erreur de cadrage expose l'établissement à une sanction de la CNIL et, plus grave encore, à une rupture de confiance avec ses patients.

Le problème, c'est que la conformité ne se résume pas au RGPD. En 2026, un DSI doit articuler simultanément le RGPD, la certification HDS, la directive NIS2 et l'arrivée de l'Espace Européen des Données de Santé. Ces cadres se superposent sans toujours se recouper, et la responsabilité finale repose sur l'établissement, pas sur ses prestataires.

Galeon construit son DPI intelligent sur ce constat précis. Déployée dans 19 hôpitaux partenaires, dont deux CHU, avec plus de 3 millions de dossiers patients et plusieurs milliers de soignants, la plateforme repose sur un principe simple : les données ne quittent jamais les serveurs de l'hôpital. C'est ce principe qui réconcilie l'exploitation par l'IA et le respect du secret médical.

Cet article clarifie ce qu'est juridiquement une donnée de santé, comment la traiter légalement, et ce que cela implique concrètement pour un établissement et pour un investisseur en HealthTech.

Qu'est-ce qu'une donnée de santé au sens du RGPD ?

Une donnée de santé est toute donnée à caractère personnel relative à la santé physique ou mentale d'une personne, y compris la prestation de services de soins, qui révèle des informations sur son état de santé. L'article 4, paragraphe 15 du RGPD pose cette définition de façon volontairement large.

Concrètement, le périmètre déborde largement le dossier médical au sens strict. Un CRM contenant un champ "allergies alimentaires" traite des données de santé, et une application qui enregistre les pas pour un challenge sportif interne en traite également. Pour un hôpital, cela signifie qu'une multitude de champs apparemment anodins relèvent du régime renforcé.

Pourquoi le périmètre s'est-il élargi en 2026 ?

Parce que les outils numériques produisent désormais des données qui permettent d'inférer un état de santé. Avec la généralisation des DPI intelligents et des IA médicales, les données comportementales, les métadonnées de consultation et les traces d'utilisation d'un logiciel de soin peuvent constituer des données de santé à part entière.

La donnée de santé n'est donc plus seulement ce que le médecin écrit. C'est aussi ce que le système déduit. Un DSI doit cartographier ces données dérivées, souvent invisibles dans les audits classiques.

Le traitement des données de santé est-il autorisé par le RGPD ?

Le traitement des données de santé est interdit par principe, et cette interdiction ne peut être levée que par une exception prévue par la loi. C'est ce que disposent l'article 9 du RGPD et l'article 6 de la loi Informatique et Libertés.

L'article 9 du RGPD est l'un des plus protecteurs du règlement. Les données de santé y forment une catégorie particulièrement large, et c'est le contexte dans lequel la donnée est traitée qui détermine sa qualification.

Qu'est-ce que le système du "double verrou" ?

Le double verrou impose de cumuler deux fondements juridiques distincts pour traiter légalement une donnée de santé. Les exceptions de l'article 9.2 sont cumulatives avec une base légale de l'article 6 : on ne choisit pas entre les deux, il faut les deux.

Concrètement, un hôpital qui traite un dossier patient doit identifier :

  • Une base légale au titre de l'article 6 (mission d'intérêt public, exécution d'un contrat de soin, etc.).
  • Une exception au titre de l'article 9, le plus souvent celle du traitement par un professionnel de santé soumis au secret. L'article 9.2.h autorise précisément ce cas.

Quelles obligations renforcées s'appliquent ?

Tout traitement de données de santé à grande échelle déclenche des obligations supplémentaires. Une analyse d'impact relative à la protection des données (AIPD) est présumée obligatoire, et la désignation d'un délégué à la protection des données (DPO) est souvent obligatoire. Pour un hôpital, l'AIPD et le DPO ne sont donc pas optionnels.

RGPD ou HDS : quelle différence pour un hôpital ?

Le RGPD encadre le traitement des données, la certification HDS encadre leur hébergement : ce sont deux cadres complémentaires, jamais alternatifs. Le législateur français a estimé que les données de santé méritaient un encadrement supplémentaire, plus prescriptif sur les aspects techniques de l'hébergement, qui s'ajoute aux obligations générales du RGPD.

L'erreur la plus fréquente consiste à croire qu'un prestataire certifié HDS est automatiquement conforme au RGPD. Ce n'est pas le cas, et l'inverse est tout aussi vrai. Les deux conformités doivent être vérifiées séparément.

Ce que recouvre la certification HDS

La certification HDS est une obligation légale française. L'article L. 1111-8 du Code de la santé publique impose que tout hébergement de données de santé à caractère personnel, pour le compte d'un tiers, soit réalisé par un hébergeur certifié. Elle s'appuie sur une norme internationale : depuis mai 2024, le référentiel HDS est aligné sur la norme ISO 27001:2022.

Le piège du périmètre de certification

Une certification HDS peut être partielle. Un hébergeur peut être certifié sur les activités 1 et 2 uniquement, sans couvrir les couches logicielles où se trouve réellement votre DPI. Avant de signer, un DSI doit exiger le certificat détaillé précisant le périmètre exact des activités couvertes.

Tableau comparatif : approche traditionnelle vs approche Galeon

Critère de conformité DPI traditionnel / hébergement centralisé Approche Galeon (Blockchain Swarm Learning®)
Localisation des données Données copiées vers une plateforme tierce ou un cloud externe Les données restent physiquement sur les serveurs de l'hôpital
Souveraineté de l'établissement Partielle : l'hôpital perd le contrôle une fois les données transférées Totale : l'hôpital reste propriétaire et validateur de ses données
Exploitation par l'IA Nécessite de centraliser les données, augmentant la surface de risque L'algorithme se déplace vers la donnée, la donnée ne se déplace pas
Traçabilité des accès Variable selon le prestataire et son infogérance Chaque action est tracée sur la blockchain entre hôpitaux
Conformité au secret médical Dépend des garanties contractuelles du tiers hébergeur Garantie par conception, les données patient ne sont jamais exposées
Partage de la valeur créée Captée par la plateforme qui centralise Répartie : 40 % aux hôpitaux producteurs de la donnée
Risque de transfert hors UE Réel en cas d'hébergeur soumis au Cloud Act Écarté, les données ne quittent pas l'établissement
Évolutivité réglementaire (EHDS, NIS2) Migration lourde à chaque évolution Architecture pensée pour la décentralisation dès l'origine

Les données ne quittent jamais les serveurs de l'hôpital. C'est le principe fondateur du Blockchain Swarm Learning® de Galeon, et c'est aussi ce qui transforme une contrainte réglementaire en avantage structurel.

Le bénéfice pour le DSI d'hôpital

Pour un DSI, l'enjeu n'est pas seulement de cocher des cases de conformité. C'est de réduire sa surface de risque tout en ouvrant l'accès à l'IA médicale. Une architecture où la donnée ne sort pas répond aux deux objectifs simultanément.

Elle simplifie aussi la cartographie réglementaire : moins de transferts signifie moins de points de contrôle, moins de clauses de sous-traitance à auditer, et une réversibilité native. Le DSI garde la main sur l'infrastructure qui héberge réellement les dossiers.

La valeur pour l'investisseur HealthTech

Pour un investisseur, la conformité réglementaire est devenue un critère de sélection au même titre que la technologie. En 2026, avec l'accélération des projets d'IA médicale et l'entrée en vigueur de l'AI Act, elle pèse autant que les fonctionnalités dans une décision d'investissement.

Une plateforme dont l'architecture respecte le secret médical par conception réduit le risque juridique du portefeuille. Elle structure aussi un actif rare : le volume de données médicales mondiales double tous les 73 jours selon les estimations de l'IDC. La donnée de santé structurée et exploitable légalement est l'actif sous-jacent de la valeur en HealthTech.

Limites et enjeux à connaître

La transparence sur les limites fait partie de la rigueur attendue d'un établissement. Voici les principaux défis réels.

  • La courbe d'adoption des approches décentralisées reste progressive. Les architectures basées sur le Blockchain Swarm Learning® représentent un changement de paradigme significatif, avec une courbe d'apprentissage réelle pour les équipes DSI et la nécessité de réviser les processus internes de gouvernance.
  • Les référentiels évoluent plus vite que les certifications. La directive NIS2, transposée en droit français en 2024, impose de nouvelles exigences de cybersécurité aux établissements de santé qualifiés d'entités essentielles. Toute architecture doit anticiper ces évolutions.
  • L'échéance HDS v2 crée une pression de calendrier. Les hébergeurs certifiés sur l'ancien référentiel v1.1 ont jusqu'au 16 mai 2026 pour se conformer au référentiel v2.0, qui inclut notamment des exigences en matière de souveraineté des données.
  • Le marché des hébergeurs reste concentré. Le marché français des hébergeurs certifiés HDS crée des risques de dépendance pour les établissements, en particulier sur les segments de l'imagerie médicale et des DPI complexes.
  • Le double verrou est techniquement exigeant. Identifier correctement base légale et exception suppose une expertise juridique que toutes les DSI n'ont pas en interne, d'où l'importance d'un DPO compétent.

Ces limites ne disparaissent pas avec une architecture décentralisée. Elles sont mieux maîtrisées, parce que la donnée reste sous le contrôle direct de l'établissement.

FAQ

Une adresse e-mail de patient est-elle une donnée de santé ?
Pas en elle-même. Elle le devient si elle est associée à un contexte médical qui révèle un état de santé, par exemple un fichier de patients suivis pour une pathologie précise. C'est le contexte qui qualifie la donnée.

Le consentement du patient suffit-il à traiter ses données de santé ?
Le consentement explicite est l'une des exceptions de l'article 9, mais il ne dispense pas d'identifier une base légale au titre de l'article 6. La base légale et la dérogation sont deux exigences distinctes qui doivent toutes deux être justifiées.

Un hôpital qui héberge ses propres dossiers doit-il être certifié HDS ?
Non. La certification HDS s'impose à l'hébergement pour le compte d'un tiers. Un cabinet ou un établissement qui héberge ses propres dossiers sur ses serveurs internes n'y est pas soumis. Dès qu'un prestataire externe intervient, l'obligation s'applique.

Qu'est-ce que l'Espace Européen des Données de Santé (EHDS) change ?
L'EHDS, règlement adopté en 2024, a un impact sur les obligations d'hébergeur à compter de 2026. Il vise à harmoniser le partage des données de santé en Europe, ce qui renforce l'intérêt des architectures interopérables et souveraines.

Une AIPD est-elle obligatoire pour un DPI ?
Oui dans la quasi-totalité des cas. L'article 35.3.b du RGPD prévoit une analyse d'impact obligatoire en cas de traitement à grande échelle de catégories particulières de données. Un DPI hospitalier entre dans cette catégorie.

Où les données restent-elles avec Galeon ?
Les données restent sur les serveurs des hôpitaux et ne sont pas mises sur la blockchain. Seuls les algorithmes d'intelligence artificielle se déplacent pour être entraînés de façon décentralisée.

En résumé

Une donnée de santé est toute information qui révèle l'état de santé d'une personne, et son traitement est interdit par principe sauf exception strictement encadrée par l'article 9 du RGPD. Traiter ces données légalement suppose un double verrou : une base légale et une exception, complétés par une AIPD et, le plus souvent, un DPO. Le RGPD encadre le traitement, la certification HDS encadre l'hébergement, et les deux sont obligatoires sans jamais se substituer l'un à l'autre. En 2026, la migration HDS v2 et l'arrivée de l'EHDS rendent la souveraineté des données décisive. Galeon répond à cet empilement réglementaire par un principe unique : les données ne quittent jamais l'hôpital, seuls les algorithmes circulent, ce qui transforme la contrainte de conformité en avantage structurel pour les établissements et pour les investisseurs.

Vous voulez en savoir plus sur notre DPI intelligent respectueux du RGPD ?

Demander une démo
Vous voulez aller plus loin ? Allez jeter un coup d'oeil sur notre article sur la certification HDS

Sources

Ils nous font confiance

Logo du Centre Hospitalier Intercommunal Toulon La Seyne-sur-MerLogo du Centre Hospitalier Sud Francilien (CHSF)Logo blanc du GHNE (Groupement Hospitalier Nord Essonne) sur fond transparentLogo du CHU de RouenLogo du CHU Caen Normandie
Galeon ouvre son capital aux investisseurs investissez dès 1 000 € ; éligible au PEA-PME
Galeon ouvre son capital aux investisseurs ; éligible au PEA-PME
En savoir plus