"Une époque stimulante mais pleine d’incertitudes, marquée par des enjeux majeurs (vieillissement de la population, maladies chroniques) et par un rôle croissant des données de santé dans l’innovation. Dans ce contexte, les patients deviennent des acteurs à part entière et conditionnent leur confiance à des exigences renforcées de transparence et de sécurité."
C'est en ces termes que Marie-Laure Denis, Présidente de la CNIL, a ouvert la Journée Données de santé qui s'est tenue le 26 mars dernier. Nous vous résumons ci-dessous les enseignements clés de la journée, au cours de laquelle les équipes de la CNIL ont eu à cœur de présenter l'autorité comme un véritable partenaire des acteurs du secteur, elle-même confrontée au foisonnement et à la complexité des textes applicables.
L'IA en santé : un cadre règlement en construction
En matière d'intelligence artificielle, le secteur de la santé bénéficie certes des exceptions prévues par le Règlement européen sur l'intelligence artificielle ("RIA") lorsque le système est utilisé et développé dans un contexte exclusif de recherche scientifique (phase sans obligation de conformité ni contrôle), toutefois un système qui serait ensuite mis sur le marché devrait être conforme dès sa première mise en service. La question de la mise en conformité doit donc être abordée dès la phase de recherche si effectivement le système risque d'être déployé dans un autre cadre ensuite. Or, le RIA vise de nombreux produits utilisés dans le secteur de la santé. On peut donner en exemple, parmi les systèmes à haut risques, les dispositifs médicaux et de diagnostics in vitro qui embarquent de l'IA, un système de "triage" des patients aux urgences, ou un système d'aide à la décision en radiologie; et parmi les systèmes à obligation de transparence renforcée, un agent conversationnel pour la prise de rendez-vous, un système qui résume les dossiers patients, ou une IA qui génère des campagnes de prévention avec de "faux" médecins (deepfakes) ou encore des fiches d'information sur la vaccination.
En outre, application du RIA ou non, le recours à des données de santé pour développer ou déployer un système d'IA, nécessite d’intégrer les
exigences RGPD en phase de développement comme en phase de déploiement.
Lorsqu'elle examine une demande d'autorisation pour un tel traitement, la CNIL accepte que les données soient utilisées pour plusieurs finalités (préparation, annotation, nettoyage de la base de données), à condition qu’elles soient clairement définies. Le fournisseur du système doit identifier les bases de données de qualité et d'intérêt, et le principe de minimisation doit être appliqué dès l’origine et dûment documenté. La CNIL a profité de cette occasion pour présenter son nouveau téléservice de demande d'autorisation pour un traitement de données de santé qui fera l'objet d'un webinaire prochainement.
Sur l'anonymisation, la CNIL admet qu'elle reste difficile à sécuriser en pratique et peine à se positionner clairement. Un audit systématique et préalable doit être réalisé par le responsable de traitement sur la base de critères objectifs, qui doivent être revus régulièrement au vu de l’évolution des techniques d’anonymisation et de réidentification.
L'autorité a également rappelé utilement que les exceptions prévues en matière de prise de décision automatisée (contrat, consentement ou autorisation par le droit national) ne sont pas applicables en matière de santé. Il est obligatoire de toujours garantir la vérification humaine si la décision impacte le patient.
Un
guide publié conjointement avec la Haute Autorité de Santé sur l'utilisation de l'IA en contexte de soins est ouvert à la consultation publique.
Les entrepôts de données de santé : au cœur de tous les usages
Les entrepôts de données de santé sont désormais incontournables mais leur mise en œuvre reste complexe. La journée CNIL a été l'occasion de revenir sur les principaux défis règlementaires rencontrés par les acteurs et de clarifier certains points de son
référentiel.
La CNIL rappelle que la réutilisation des données constitue un nouveau traitement, impliquant en principe une nouvelle
information. Elle admet toutefois qu’une information initiale puisse suffire, à condition que la possibilité de réutilisation ait été clairement annoncée et qu’un accès simple à un portail de transparence soit prévu. Les bases constituées avant 2018 posent des difficultés importantes, faute d’information initiale des personnes. Le recours à des outils centralisés, tels que le portail numérique de santé, pourrait constituer une piste.
La CNIL a utilement rappelé que toute prorogation de la
durée de conservation initialement autorisée est acceptée par ses équipes si elle est justifiée scientifiquement. Une réflexion est en cours afin de préciser des durées adaptées aux finalités de recherche.
L'agrégation de données ne suffit pas à garantir l’
anonymisation. Une analyse du risque de réidentification est nécessaire lors des extractions principalement à la charge du réutilisateur, avec un devoir de collaboration de l’entité mettant l’entrepôt à disposition.
Il est toujours possible de demander une autorisation à la CNIL pour la
réutilisation d'un entrepôt à des fins autres que celles pour lesquelles il a été constitué initialement, y compris hors recherche. La CNIL l'accepte la plupart du temps, et se réserve le droit d'exiger la mise en place de mesures de sécurité supplémentaires pour garantir ces nouvelles finalités.
Les enjeux d’
hébergement (notamment en cloud public) renforcent les exigences de sécurité. On regrette que l'occasion n'ait pas été saisie pour apporter une réponse claire sur le périmètre de l'obligation de certification HDS.
Méthodologies de référence : une simplification bienvenue
La CNIL a présenté les nouvelles versions des MR-001 et MR-003. Ces changements, qui sont les bienvenus, vont globalement dans le sens d’une simplification du cadre.
- Le périmètre des recherches sera élargi et intègrera les recherches menées à l'étranger.
- Les catégories de données collectées sont étendues notamment à certaines données particulièrement sensibles comme le statut vital de la personne, l'orientation sexuelle, le sexe de naissance.
- Les modalités d’information sont assouplies, avec notamment la possibilité d’une information électronique et, pour les mineurs, d'une information à un seul titulaire de l'autorité légale.
Les clarifications tant attendues sur l'e-consentement n'ont pas été fournies. Les équipes de la CNIL ont rappelé que le consentement pour une participation à la recherche n'étant pas un "consentement RGPD", les exigences relatives à la vérification de l’identité relèvent du Ministère de la Santé.
Outre les nouvelles versions des MR, des outils pratiques (checklists, MR annotées, fiches) doivent être prochainement mis à disposition pour faciliter la mise en conformité des acteurs.
Incidents de sécurité : priorité à une bonne gestion et à la résilience
La CNIL constate une forte augmentation des violations de données, avec une part importante concernant le secteur de la santé. L’objectif n’est plus (depuis longtemps) l’absence d’incidents, mais leur bonne gestion et la résilience des organisations.
Des 17000 notifications d'incidents ayant eu lieu en 2025 concernant ce secteur, la CNIL a identifié les failles principales suivantes :
- une gestion insuffisante des habilitations et un accès trop large aux dossiers des patients. Un dossier patient doit, en principe être accessible uniquement à l'équipe soins, avec une granularité existante selon le type de métier (médical, support, administratif);
- une traçabilité incomplète des actions (l'organisation est souvent capable de dire qu'une personne s'est connectée à telle heure mais pas de savoir ce qu'elle a fait). Le responsable de traitement doit disposer d’un accès direct aux traces, sans passer par ses sous-traitants hébergeurs ou éditeurs;
- des mécanismes d’authentification insuffisants;
- des systèmes obsolètes;
- une implication insuffisante des directions générales, la prévention et la gestion des incidents de sécurité étant trop souvent laissés à la charge exclusive DSI et DPO.
La version finale de la
recommandation sur le dossier patient informatisé, qui doit voir le jour en 2026, devra constituer un cadre de référence structurant pour tout le secteur.
Biotech Act : la position mitigée de la CNIL
Le projet du «
Biotech Act », présenté par la Commission fin 2025 modifie le cadre réglementaire applicable aux secteurs des biotechnologies aux essais cliniques. Le projet fournit notamment une base juridique pour le traitement ultérieur des données d’essais par le même responsable du traitement.
La CNIL a exprimé une position prudente, en ligne avec l'
avis conjoint de l'EDPB et du CEPD, soulignant le risque d'une disparition du régime des formalités et celui de la restriction du droit des personnes concernées puisque le texte pourrait priver les participants aux essais de leur droit d'opposition. Le texte est actuellement en discussion au Parlement et au Conseil.
Des questions ? Contactez-nous : 
