La protection des données de santé est un enjeu majeur pour les établissements, professionnels de santé et acteurs du numérique en santé. Avec le RGPD et les recommandations de la CNIL, la réalisation d’une AIPD (Analyse d’Impact relative à la Protection des Données) est devenue incontournable dès lors qu’un traitement présente un risque élevé pour les droits et libertés des personnes.
Dans le secteur de la santé, les données sont particulièrement sensibles : dossier patient, téléconsultation, applications de suivi médical, recherche clinique… Chaque traitement doit être évalué avec rigueur.
Cet article propose un guide clair, pratique et opérationnel pour comprendre et rédiger une AIPD en santé conforme aux exigences du RGPD et de la CNIL.
Qu’est-ce qu’une AIPD (Analyse d’Impact RGPD) ?
Une AIPD (ou PIA en anglais) est une analyse obligatoire prévue par le RGPD lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les personnes concernées.
Elle consiste à :
- Réaliser une description du traitement de données (d’un point de vue juridique et d’un point de vue de la sécurité relative au traitement)
- Réaliser une évaluation les risques pour les droits et libertés
Dans le domaine de la santé, la réalisation d’une AIPD (Analyse d’Impact relative à la Protection des Données) est très souvent obligatoire, parfois même requise par défaut par la CNIL, en raison de la nature sensible des données traitées.
Une AIPD est obligatoire dans les cas suivants
La CNIL considère que certains traitements impliquent par défaut une analyse d’impact obligatoire, notamment :
- Les traitements de données de santé mis en œuvre par des établissements de santé ou des établissements médico-sociaux pour la prise en charge des personnes
- Les traitements de données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
L’application des critères de risque du RGPD
En dehors des cas explicitement visés par la CNIL, une AIPD est obligatoire dès lors qu’un traitement remplit au moins deux critères parmi les neuf critères de risque du G29, notamment :
- Traitement de données sensibles (données de santé)
- Traitement à grande échelle
- Traitement de personnes vulnérables (patients, personnes âgées, etc.)
En pratique, ces critères sont très souvent réunis dans les projets de santé numérique, ce qui rend l’AIPD quasi systématique.
L’exception en pratique clinique individuelle
Une AIPD n’est pas requise lorsque :
- Les données de santé sont traitées dans le cadre de la prise en charge individuelle d’un patient
- Le traitement est réalisé par un professionnel de santé exerçant à titre individuel (cabinet médical, officine de pharmacie, laboratoire de biologie médicale)
Méthodologie pour rédiger une AIPD en santé
La méthodologie repose sur le cadre de la RGPD et les recommandations de la CNIL.
Étape 1 : Décrire précisément le traitement
Il faut documenter :
- Finalité du traitement (soins, recherche, gestion administrative…)
- Catégories de données (données de santé, identifiants, données sociales…)
- Acteurs impliqués (médecins, sous-traitants, éditeurs logiciels)
- Cycle de vie des données (collecte, stockage, conservation, suppression)
Étape 2 : Vérifier la conformité juridique
On analyse :
- Base légale du traitement
- Les modalités d’information du patient, et des personnes concernées
- L’encadrement juridique de la solution
- Gestion des droits (accès, rectification, opposition)
Étape 3 : Définir les mesures de sécurité
Les mesures doivent être concrètes :
Sécurité technique
- Chiffrement des données
- Authentification forte
- Hébergement certifié données de santé (HDS)
- Journalisation des accès
Sécurité organisationnelle
- Politique d’habilitation
- Formation des professionnels
- Procédures de gestion des incidents
Étape 4 : Identifier les risques pour les personnes
Les risques fréquents en santé :
- Perte de confidentialité des données médicales
- Accès non autorisé (cyberattaque, erreur humaine)
- Réidentification de patients anonymisés
- Mauvaise utilisation des données de santé
L’évaluation est double, et porte sur :
- La gravité du risque
- La probabilité d’occurrence