RGPD et e-santé : les 7 erreurs que commettent encore les acteurs du secteur

‍

La e-santé connaît un développement rapide : applications de suivi, plateformes de téléconsultation, logiciels SaaS pour professionnels de santé, solutions intégrant de l’intelligence artificielle…
Tous ces projets reposent sur le traitement de données de santé, parmi les données les plus sensibles au sens du RGPD.

Pourtant, malgré plusieurs années d’application du RGPD, la CNIL constate encore de nombreuses non-conformités, y compris chez des acteurs de bonne foi.

Barbour Avocat, cabinet d’avocat intervenant en RGPD, données personnelles et DPO e-santé, accompagne régulièrement des acteurs du secteur confrontés à ces erreurs, souvent évitables.

Confondre consentement et base légale

Première erreur très fréquente : penser que le consentement est toujours la solution.

En e-santé :

• le consentement doit être libre, spécifique, éclairé et explicite,
• il peut être invalide en cas de déséquilibre (relation patient / plateforme, relation contractuelle).

De nombreux traitements devraient en réalité reposer sur une autre base légale, combinée à une exception de l’article 9 du RGPD.

Ne pas réaliser d’AIPD alors qu’elle est obligatoire

Les acteurs de la e-santé sous-estiment encore l’analyse d’impact relative à la protection des données (AIPD).

Or, les traitements de données de santé :

• présentent presque toujours un risque élevé,
• figurent sur les listes de la CNIL des traitements nécessitant une AIPD.

L’absence d’AIPD ou une AIPD superficielle est un motif récurrent de non-conformité lors des contrôles CNIL.

Mal qualifier les rôles : responsable ou sous-traitant ?

Autre erreur majeure : une mauvaise qualification des acteurs.

Sont souvent concernés :

• les éditeurs de logiciels santé,
• les plateformes numériques,
• les prestataires techniques ou cloud.

Une qualification erronée entraîne :

• des contrats RGPD non conformes,
• une mauvaise répartition des responsabilités,
• une exposition accrue en cas de violation de données.

Cette analyse doit être fonctionnelle et non purement contractuelle.

Négliger l’obligation d’hébergement HDS

En France, l’hébergement externalisé de données de santé à caractère personnel impose le recours à un hébergeur certifié HDS.

Erreur fréquente :

• utiliser un cloud “standard” sans vérifier la certification,
• penser que l’obligation ne concerne que les établissements de santé.

Cette obligation s’applique également à de nombreux éditeurs et plateformes e-santé.

Avoir une documentation RGPD uniquement “théorique”

Beaucoup d’acteurs disposent :

• d’un registre des traitements,
• de politiques ou procédures écrites,

mais sont incapables de démontrer leur application effective.

La CNIL sanctionne notamment :

• les registres incomplets ou obsolètes,
• l’absence de procédures opérationnelles (droits des personnes, violations de données),
• la conformité “sur le papier”.

La conformité RGPD doit être vivante et opérationnelle.

Sous-estimer les obligations de sécurité

Les données de santé exigent des mesures de sécurité renforcées.

Les contrôles CNIL mettent encore en évidence :

• des accès trop larges aux données,
• des mots de passe faibles ou partagés,
• l’absence de chiffrement ou de journalisation.

Ces manquements peuvent suffire à caractériser une violation de l’article 32 du RGPD.

Penser que la petite taille protège d’un contrôle CNIL

C’est un mythe persistant.

La CNIL contrôle :

• des startups,
• des TPE et PME,
• des professionnels libéraux,
  souvent à la suite d’une plainte.

Il n’existe aucun seuil de tolérance lié à la taille, au chiffre d’affaires ou à l’effectif.

Ce que les acteurs de la e-santé doivent retenir

Les erreurs les plus sanctionnées ne sont pas nécessairement techniques, mais :

• juridiques,
• organisationnelles,
• documentaires.

Une conformité RGPD approximative expose les acteurs à :

• des contrôles CNIL,
• des mises en demeure,
• des sanctions,
• voire des blocages de projets.

Pourquoi se faire accompagner par un avocat RGPD spécialisé en e-santé ?

Un avocat RGPD e-santé permet notamment :

• d’identifier les risques spécifiques au secteur,
• de sécuriser les choix juridiques,
• d’anticiper les contrôles CNIL,
• de transformer la conformité en levier de confiance.

Barbour Avocat accompagne les acteurs de la e-santé dans :

• les audits RGPD,
• la réalisation d’AIPD,
• les missions de DPO externe,
• la sécurisation juridique des projets numériques en santé.

Conclusion

Les erreurs RGPD en e-santé sont encore nombreuses, mais largement évitables.
Une approche rigoureuse et adaptée au secteur permet de sécuriser durablement les projets et d’éviter des conséquences juridiques lourdes.

Anticiper aujourd’hui, c’est se protéger demain.

‍