Quelles obligations RGPD pour les éditeurs de logiciels utilisés par les établissements publics (action sociale, santé, MDPH) ?

Les établissements publics intervenant en action sociale et en santé (MDPH, établissements médico-sociaux, collectivités, opérateurs publics, hôpitaux, services sociaux) utilisent de plus en plus de logiciels métiers pour traiter des informations sensibles : données de santé, situation de handicap, données sociales, données relatives à la vulnérabilité des personnes.

Or, la délibération CNIL n° SAN-2025-015 constitue un signal fort : la CNIL rappelle que les obligations RGPD ne concernent pas uniquement les administrations utilisatrices, mais aussi les éditeurs de solutions numériques qui conçoivent et mettent à disposition ces outils.

Barbour Avocat, cabinet d’avocat RGPD intervenant auprès d’acteurs du secteur public, de l’action sociale et de la santé, accompagne les établissements publics et leurs prestataires (éditeurs, intégrateurs, hébergeurs) dans la mise en conformité RGPD et la sécurisation des projets numériques sensibles.

Pourquoi la décision CNIL SAN-2025-015 est importante pour le secteur public

Cette décision concerne un progiciel utilisé par une structure publique en charge de dossiers d’usagers. Elle illustre des risques très concrets : des erreurs de paramétrage ou de conception peuvent conduire à une violation de données personnelles, avec accès à des informations de tiers.

Dans le secteur public, ces situations sont particulièrement sensibles car elles impliquent souvent :

• des données de santé (au sens RGPD),
• des données sociales (aides, prestations, vulnérabilité),
• des données relatives à des publics fragiles (handicap, protection sociale),
• des obligations renforcées de sécurité et de confidentialité.

Résultat : la CNIL attend des acteurs une conformité RGPD exigeante, documentée et opérationnelle.

RGPD et action sociale / santé : quelles données sont concernées ?

Dans l’action sociale et la santé, les traitements portent fréquemment sur :

• des données de santé (article 9 RGPD),
• des données sur le handicap,
• des informations administratives et financières,
• des éléments sur la vie personnelle et familiale,
• des informations relatives à des dispositifs d’accompagnement.

La combinaison de ces données constitue un risque élevé pour les personnes concernées : discrimination, atteinte à la vie privée, exposition de situations personnelles.

Qui est responsable RGPD : établissement public, éditeur, sous-traitant ?

1) L’établissement public est souvent responsable de traitement

Il détermine les finalités et moyens essentiels :

• gestion des dossiers usagers,
• instruction des demandes,
• suivi des prestations et accompagnements.

2) L’éditeur est souvent sous-traitant… mais pas uniquement

L’éditeur peut être qualifié de sous-traitant lorsqu’il traite les données pour le compte de l’établissement.

Mais attention : en pratique, la CNIL analyse aussi :

• la capacité de l’éditeur à influencer les moyens,
• les choix techniques imposés,
• les paramétrages “par défaut”.

L’enjeu : sécuriser la qualification dans le contrat et dans les faits.

La décision confirme explicitement que le sous-traitant (éditeur) est tenu d’obligations propres de sécurité au titre de l’article 32, indépendamment de ce qui incombe au responsable de traitement (l’administration cliente). C’est repris dans la communication CNIL et pleinement motivé dans la délibération.

Les obligations RGPD des éditeurs de logiciels pour le secteur public (enseignements CNIL SAN-2025-015)

Obligation de sécurité (article 32 RGPD) : l’éditeur est en première ligne

La décision rappelle un point essentiel : l’éditeur doit mettre en œuvre des mesures adaptées au risque, notamment :

• contrôle strict des habilitations,
• cloisonnement des comptes,
• prévention des accès croisés,
• sécurité du paramétrage,
• journalisation et détection d’anomalies.

Dans le secteur public (action sociale / santé), le niveau d’exigence est élevé car les données sont sensibles et les usagers vulnérables.

Pour les éditeurs, cela implique une approche security by design et privacy by design.

La délibération met en lumière le fait que l’article 32 est une obligation de moyens “qualifiée”, dont le contenu se concrétise par des standards cybersécurité reconnus (OWASP/ANSSI). C’est très utile pour argumenter en marché public / négociation contractuelle (“ce n’est pas une lubie, c’est le standard CNIL”). La délibération vise expressément l’usage de SHA-1 dans certaines suites cryptographiques et rappelle que cette fonction doit être abandonnée (référence ANSSI/CERTFR 2017) ; elle en déduit un manquement à l’article 32, au titre de la garantie d’intégrité.

Paramétrages par défaut : attention à la responsabilité de l’éditeur

Une erreur fréquente : considérer que le paramétrage est uniquement de la responsabilité du client.

Or, la CNIL attend que l’éditeur :

• fournisse une solution sécurisée par défaut,
• documente les paramètres,
• alerte sur les risques,
• accompagne le déploiement lorsque nécessaire.

Dans les établissements publics, la CNIL sanctionne sévèrement les failles issues d’une mauvaise configuration entraînant l’accès à des données de tiers.

La CNIL rappelle également l'exigence d'une traçabilité active les logs ne doivent pas être “au cas où”, ils doivent être exploitables (détection/réaction). D'autre part, le “faible déploiement” du logiciel ne neutralise pas le manquement quand le risque et la sensibilité sont élevés (action sociale / médico-social = typiquement élevé).

Documentation RGPD : le “paper compliance” ne suffit pas

L’éditeur doit pouvoir prouver :

• ses tests de sécurité,
• sa gouvernance de développement,
• ses procédures de mise à jour,
• ses audits,
• sa gestion des incidents.

En contrôle CNIL, les audits (code scan, pentest) deviennent des pièces centrales et discutables contradictoirement, mais pas disqualifiables en bloc. La CNIL érige la gestion du correctif (patch management / priorisation) en critère central : identifier ne suffit pas, il faut corriger dans des délais compatibles avec le risque.

Gestion des violations : réactivité, traçabilité, coopération

En cas de violation de données :

• l’établissement public doit notifier la CNIL dans certains cas,
• mais l’éditeur doit être en capacité de :
  • détecter l’incident,
  • fournir les informations nécessaires,
  • coopérer rapidement,
  • documenter la chronologie.

Dans les projets action sociale / santé, une violation implique souvent une obligation d’information des personnes concernées.

Sous-traitants (hébergeur, intégrateur) : l’éditeur doit maîtriser sa chaîne

Même si un hébergeur est certifié (ex. HDS), l’éditeur doit :

• contrôler la conformité contractuelle,
• encadrer les sous-traitants ultérieurs,
• assurer la cohérence sécurité de bout en bout.

Quelles actions RGPD prioritaires pour les éditeurs et établissements publics ?

Pour les établissements publics (MDPH, collectivités, hôpitaux…)

• vérifier la qualification des acteurs (responsable/sous-traitant),
• exiger des garanties de sécurité (article 32),
• mettre en place une gouvernance DPO,
• exiger une AIPD lorsque nécessaire.

Pour les éditeurs / prestataires numériques

• sécuriser les paramétrages par défaut,
• documenter les mesures,
• intégrer la conformité RGPD au cycle de développement,
• prévoir un protocole de gestion des violations.

Pourquoi faire appel à un avocat RGPD spécialisé secteur public / action sociale / santé ?

Les établissements publics et les éditeurs opérant dans l’action sociale et la santé font face à :

• des obligations RGPD renforcées,
• des exigences de sécurité élevées,
• des risques réputationnels et juridiques importants,
• des contrôles CNIL de plus en plus concrets.

Un avocat RGPD avec une connaissance du secteur public, tel que Barbour Avocat, intervient notamment pour :

• audit RGPD et mise en conformité,
• accompagnement DPO externe,
• analyse contractuelle (sous-traitance, marchés publics, clauses RGPD),
• gestion de contrôles CNIL,
• gestion de violations de données.

Quelques apports juridiques clés de la délibération CNIL SAN-2025-015

• Un éditeur/sous-traitant est pleinement responsable de la sécurité (art. 32 RGPD). La CNIL confirme qu’un éditeur ne peut pas se retrancher derrière le fait que le client exploite/paramètre l’outil : le sous-traitant a des obligations propres de sécurité.
• "L’état de l’art” n’est pas abstrait : il est apprécié via des standards (OWASP/ANSSI). La CNIL rattache l’exigence “mesures appropriées” à des référentiels cybersécurité reconnus (OWASP notamment), ce qui objectivise le niveau attendu d’un éditeur.
• ‍La CNIL exige une logique de “défense en profondeur”. Une mesure unique (ex. authentification) ne suffit pas si elle peut être contournée : l’architecture doit limiter l’impact d’un contournement (contrôles serveur, cloisonnement, etc.).‍
• Identifier une faille ne suffit pas : l’obligation porte sur la correction rapide. Le manquement est aggravé par la persistance de vulnérabilités (y compris critiques/hautes) malgré audits/alertes, et par des corrections intervenues après les incidents
• ‍La journalisation doit être exploitable en cas d’incident. La CNIL attend une traçabilité permettant de reconstituer précisément les données affectées et de détecter des comportements anormaux (pas de simples logs “passifs”).

Conclusion

La délibération CNIL SAN-2025-015 confirme une tendance forte : la conformité RGPD dans le secteur public, l’action sociale et la santé ne peut pas être approximative. Les obligations des éditeurs et prestataires numériques sont désormais examinées de manière précise, notamment sur la sécurité, la documentation et la gestion des incidents.

Pour sécuriser vos projets numériques (action sociale, médico-social, santé, établissements publics), un accompagnement RGPD spécialisé est un levier de conformité… et de confiance.