AIPD et données de santé : quand une analyse d’impact est-elle obligatoire ?

‍

Le traitement de données de santé à caractère personnel expose les acteurs à des risques élevés pour les droits et libertés des personnes concernées.

‍
C’est précisément pour ces situations que le RGPD impose, dans certains cas, la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Pourtant, l’AIPD reste l’un des outils les plus mal compris par les acteurs de la e-santé, alors même que son absence constitue un motif fréquent de non-conformité relevé par la CNIL.

Le Cabinet Barbour Avocat, cabinet d’avocat intervenant en RGPD, données personnelles et DPO e-santé, accompagne régulièrement des éditeurs, startups et professionnels de santé dans la réalisation et la sécurisation juridique de leurs AIPD.

Qu’est-ce qu’une AIPD au sens du RGPD ?

L’AIPD (ou DPIA – Data Protection Impact Assessment, ou encore EIVP dite étude d'impact sur la vie privée) est une analyse destinée à :

• identifier les risques d’un traitement de données personnelles,
• évaluer leur gravité et leur vraisemblance,
• définir des mesures permettant de les réduire.

Elle est prévue par l’article 35 du RGPD et doit être réalisée avant la mise en œuvre du traitement.

L’AIPD n’est ni un simple document formel, ni un modèle standard à remplir : elle doit être adaptée au traitement concerné.

Pourquoi les données de santé impliquent-elles presque toujours une AIPD ?

Les données de santé font partie des données sensibles au sens de l’article 9 du RGPD.
À ce titre, leur traitement est considéré comme présentant un risque élevé pour les personnes concernées.

La CNIL considère notamment que constituent des traitements à risque élevé :

• les traitements de données de santé à grande échelle,
• les traitements innovants (applications, IA, algorithmes),
• les traitements impliquant une surveillance ou un suivi des personnes.

En pratique, la majorité des projets e-santé nécessitent une AIPD.

Dans quels cas une AIPD est-elle obligatoire en e-santé ?

Une AIPD est obligatoire notamment pour :

Applications et plateformes de santé

• applications de suivi médical ou bien-être,
• plateformes de téléconsultation,
• outils de gestion de données patients.

Projets innovants

• intelligence artificielle en santé,
• dispositifs de diagnostic assisté,
• traitements fondés sur des algorithmes prédictifs.

Traitements impliquant plusieurs acteurs

• éditeurs SaaS santé,
• hébergement externalisé (HDS),
• interconnexion de bases de données.

Le fait qu’un traitement soit “courant” ou “déjà existant” n’exclut pas l’obligation d’AIPD.

Que risque-t-on en cas d’absence ou d’AIPD insuffisante ?

Lors des contrôles récents, la CNIL a relevé :

• l’absence totale d’AIPD,
• des AIPD réalisées a posteriori,
• des analyses trop superficielles ou génériques.

Les conséquences peuvent être :

• une mise en demeure,
• une injonction de suspendre le traitement,
• une sanction financière,
• une remise en cause du projet (blocage produit, perte de partenaires).

L’absence d’AIPD est souvent perçue par la CNIL comme un manquement structurant à la conformité RGPD.

Comment se déroule une AIPD conforme ?

Une AIPD conforme comprend notamment :‍

Une description précise du traitement

1. finalités,
2. données traitées,
3. acteurs impliqués.

Une analyse de la nécessité et de la proportionnalité

1. minimisation des données,
2. durée de conservation,
3. information des personnes.

Une évaluation des risques

1. risques juridiques, techniques, organisationnels,
2. atteintes potentielles aux droits et libertés.‍

La définition de mesures de réduction des risques

1. mesures de sécurité,
2. organisation interne,
3. gouvernance RGPD.

Une AIPD pertinente suppose un dialogue entre juridique, technique et métier.

Les erreurs fréquentes constatées en pratique

Parmi les erreurs les plus courantes :

• utiliser un modèle générique non adapté,
• confondre AIPD et registre des traitements,
• négliger les risques organisationnels,
• ne pas associer le DPO au processus,
• considérer l’AIPD comme un document figé.

Ces erreurs fragilisent fortement la conformité en cas de contrôle.

L’intérêt d’un accompagnement par un avocat RGPD et données de santé

L’accompagnement par un avocat RGPD e-santé permet notamment :

• de sécuriser juridiquement l’analyse,
• d’anticiper les attentes de la CNIL,
• d’articuler AIPD, contrats et gouvernance RGPD,
• de faciliter les échanges avec le DPO et les équipes techniques.

Barbour Avocat accompagne les acteurs de la santé numérique dans :

• la réalisation et la mise à jour d’AIPD,
• l’audit des traitements à risque,
• les missions de DPO externe,
• la préparation et la gestion des contrôles CNIL.

Conclusion

En matière de données de santé, l’AIPD n’est pas une option mais bien un outil central de la conformité RGPD.
Réaliser une AIPD pertinente en amont permet de sécuriser les projets, d’éviter des blocages ultérieurs et de réduire significativement les risques de sanction.

Un accompagnement juridique adapté constitue un levier de sécurité et de confiance, notamment dans les projets e-santé innovants.

‍