En bref:
- La sécurité des données de santé repose sur la conformité réglementaire, les mesures techniques et une gouvernance transversale. Depuis 2026, l’hébergement doit être européen, certifié HDS, et les accès transparents pour garantir la confidentialité. La mise en œuvre implique des contrôles rigoureux, une formation continue et une gestion proactive des risques internes et externes.
La sécurité des données de santé est l’ensemble des règles, processus et technologies visant à garantir la confidentialité, l’intégrité et la disponibilité des informations médicales des patients. En France, ce domaine est encadré par le RGPD, le Code de la santé publique et la certification HDS (hébergeur de données de santé). La CNIL a infligé 4,5 millions d’euros d’amendes dans le secteur de la santé entre 2022 et 2024, principalement pour défaut de sécurité des dossiers patients. Ce chiffre illustre la réalité des sanctions encourues par les établissements qui négligent leurs obligations. Ce guide présente les exigences réglementaires, les mesures opérationnelles et les pièges à éviter pour les professionnels et décideurs de santé.
Quelles sont les principales obligations réglementaires en matière de sécurité des données de santé ?

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD. Leur traitement est interdit par défaut, sauf exceptions strictement encadrées, notamment le consentement explicite du patient ou la nécessité médicale. Tout manquement expose l’établissement à des sanctions administratives et pénales.
Le Code de la santé publique renforce ces exigences. L’article L1110-4 consacre le secret médical comme principe absolu. L’article L1111-8 impose le recours à un hébergeur certifié HDS pour tout stockage externalisé de données de santé. La certification HDS, dans sa version v2.0 applicable en 2026, définit des exigences précises en matière de sécurité physique, logique et organisationnelle.
Le décret du 24 mars 2026 introduit trois nouvelles obligations majeures :
- L’hébergement physique des données de santé doit être exclusivement localisé dans l’Union européenne ou l’Espace économique européen.
- Les hébergeurs doivent publier une cartographie des transferts de données et des risques d’accès non autorisés par des États tiers.
- Les contrats doivent inclure une transparence contractuelle explicite sur les modalités d’accès à distance.
Ces obligations sont applicables depuis septembre 2026, soit six mois après la publication du décret. Les établissements qui n’ont pas mis à jour leurs contrats d’hébergement s’exposent à une responsabilité juridique directe.
« Depuis mars 2026, l’absence de certificat de conformité aux référentiels ANS engage la responsabilité des dirigeants, avec risque de pénalités financières et d’affichage public du non-respect. La certification ANS n’est plus une démarche volontaire : c’est une condition de fonctionnement légal. »
Par ailleurs, le RGPD impose une notification à la CNIL dans un délai de 72 heures en cas de violation de données. Ce délai court dès la détection de l’incident, pas à partir de sa résolution. Un établissement qui tarde à notifier s’expose à une sanction distincte, indépendamment de la violation elle-même.
Quelles mesures techniques et organisationnelles permettent de sécuriser les données des patients ?
L’ANSSI et le CERT-Santé ont défini six mesures prioritaires de cybersécurité pour les établissements de santé. Ces mesures constituent le socle minimal attendu en 2026.
- Segmentation réseau : cloisonner les systèmes d’information par zone fonctionnelle (soins, administration, maintenance) pour limiter la propagation d’une attaque.
- Authentification multifactorielle (MFA) : exiger au moins deux facteurs d’authentification pour accéder aux systèmes contenant des données de santé.
- Sauvegardes hors ligne : maintenir des copies de sauvegarde déconnectées du réseau principal pour résister aux attaques par rançongiciel.
- Durcissement des systèmes : désactiver les services inutiles, supprimer les comptes par défaut et appliquer des configurations sécurisées sur chaque équipement.
- Surveillance SIEM : déployer un système de gestion des événements de sécurité pour détecter les comportements anormaux en temps réel.
- Correction des vulnérabilités dans les 72 heures : appliquer les correctifs de sécurité dans les 72 heures suivant leur publication officielle.
La journalisation des accès aux dossiers patients est une obligation légale. Les journaux d’audit doivent être conservés au minimum dix ans. L’absence de traçabilité constitue une faute caractérisée susceptible de sanctions lourdes lors d’un contrôle CNIL.
Conseil de pro : Cloisonnez les droits d’accès par rôle dès la création des comptes utilisateurs. Un secrétaire médical n’a pas besoin d’accéder aux résultats biologiques ; un infirmier n’a pas besoin de consulter les données de facturation. Ce principe du moindre privilège réduit mécaniquement la surface d’exposition en cas de compromission d’un compte.
Le tableau suivant synthétise les mesures techniques et leur finalité principale :
| Mesure | Finalité principale |
|---|---|
| Segmentation réseau | Limiter la propagation des attaques entre zones |
| MFA | Bloquer les accès non autorisés même en cas de vol de mot de passe |
| Sauvegardes hors ligne | Garantir la continuité après une attaque par rançongiciel |
| Journalisation des accès | Assurer la traçabilité légale et détecter les accès anormaux |
| Surveillance SIEM | Identifier les incidents en temps réel |
| Correction sous 72 h | Réduire la fenêtre d’exploitation des vulnérabilités connues |

La formation du personnel complète ces dispositifs techniques. Un collaborateur qui sait reconnaître un courriel de hameçonnage représente un rempart plus efficace que n’importe quel pare-feu mal configuré.
Quels sont les défis actuels et les pièges fréquents dans la gestion de la confidentialité des données médicales ?
La mauvaise gestion des accès internes est, selon la CNIL, le premier risque dans les établissements de santé. Ce constat surprend souvent les décideurs, qui concentrent leurs efforts sur la protection contre les attaques externes. La menace vient pourtant majoritairement de l’intérieur : accès non justifiés, partage de mots de passe, consultation de dossiers sans lien avec la prise en charge.
Les prestataires tiers représentent une vulnérabilité distincte et souvent sous-estimée. La gestion des accès à distance pour la maintenance informatique doit être encadrée par des politiques de privilèges extrêmement restrictives. Chaque session de maintenance à distance doit être tracée, limitée dans le temps et révoquée immédiatement après usage.
La convergence RGPD, AI Act et directive NIS2 impose désormais une gouvernance unifiée. Une gestion fragmentée, où la sécurité informatique relève du seul service informatique sans implication de la direction et des ressources humaines, est devenue juridiquement insuffisante. Les décideurs doivent piloter la conformité comme un processus transversal.
Conseil de pro : Méfiez-vous des hébergeurs qui affichent une certification HDS sans fournir de cartographie détaillée de leurs accès distants. La certification atteste d’un niveau de sécurité à un instant donné. Elle ne garantit pas la transparence sur les sous-traitants ou les accès potentiels soumis à des législations extra-européennes comme le CLOUD Act américain. Exigez contractuellement cette cartographie avant toute signature.
Les enjeux de souveraineté numérique méritent une attention particulière. Un hébergeur certifié HDS dont les serveurs sont physiquement en Europe mais dont la maison mère est soumise au droit américain peut être contraint de transmettre des données à des autorités étrangères. Le décret du 24 mars 2026 répond précisément à ce risque en imposant la localisation européenne et la transparence sur les accès tiers. Pour approfondir ces enjeux, le guide de conformité RGPD médical de Clicfone détaille les obligations spécifiques au secteur.
Comment appliquer concrètement la sécurité des informations patients dans un établissement ?
Une feuille de route pragmatique repose sur neuf actions structurantes, à déployer par ordre de priorité.
- Désigner un DPO et un référent SSI. Le délégué à la protection des données (DPO) et le référent sécurité des systèmes d’information (SSI) doivent être identifiés nominativement, avec des missions formalisées.
- Tenir un registre des traitements à jour. Ce registre documente chaque traitement de données de santé : finalité, base légale, durée de conservation, destinataires. La CNIL peut le demander à tout moment.
- Exiger un hébergement certifié HDS avec cartographie des accès. La certification seule ne suffit plus depuis le décret de mars 2026. Le contrat doit préciser les modalités d’accès distant et les risques associés.
- Appliquer le cloisonnement des accès par rôle. Chaque membre du personnel accède uniquement aux données nécessaires à sa mission. Ce principe doit être configuré dans les systèmes dès l’ouverture des comptes.
- Réaliser des analyses d’impact (AIPD) pour tout nouveau projet. Les projets intégrant de l’intelligence artificielle ou du traitement massif de données de santé nécessitent une analyse d’impact sur la protection des données avant leur mise en production.
- Formaliser la procédure de notification des violations. La procédure doit permettre de notifier la CNIL dans les 72 heures. Elle doit être testée au moins une fois par an.
- Tester le plan de continuité d’activité (PCA). Un PCA non testé est un PCA qui échouera en situation réelle. Les exercices de simulation d’incident doivent être documentés.
- Former le personnel de manière continue. La sensibilisation annuelle ne suffit pas. Les formations doivent être adaptées aux rôles et répétées à chaque évolution réglementaire ou technologique majeure.
- Conduire des audits réguliers. Un audit annuel de la sécurité, complété par des revues trimestrielles des droits d’accès, permet de détecter les dérives avant qu’elles ne deviennent des incidents.
Conseil de pro : Pour la sécurité en télésecrétariat médical, appliquez les mêmes exigences à vos prestataires externes qu’à vos équipes internes. Un secrétariat externalisé qui accède aux agendas et aux données patients doit être soumis à un contrat de sous-traitance RGPD, à une authentification renforcée et à une journalisation de ses accès.
Points clés
La sécurité des données de santé repose sur trois piliers indissociables : la conformité réglementaire, les mesures techniques et la gouvernance organisationnelle transversale.
| Point | Détails |
|---|---|
| Obligations réglementaires 2026 | Le décret du 24 mars 2026 impose un hébergement européen et une transparence contractuelle sur les accès distants. |
| Journalisation obligatoire | Les journaux d’accès aux dossiers patients doivent être conservés au moins dix ans sous peine de sanctions. |
| Risque interne prioritaire | La CNIL identifie la mauvaise gestion des accès internes comme le premier facteur de risque dans les établissements. |
| Gouvernance transversale | La convergence RGPD, AI Act et NIS2 exige une gouvernance unifiée impliquant direction, DSI et ressources humaines. |
| Formation continue | La sensibilisation du personnel est une mesure de sécurité à part entière, complémentaire aux dispositifs techniques. |
Ce que l’expérience terrain révèle sur la conformité en santé numérique
La conformité en matière de protection des données médicales est souvent perçue comme une contrainte administrative. Cette lecture est une erreur de jugement. Les établissements qui ont investi tôt dans une gouvernance unifiée ont traversé les contrôles CNIL et les incidents de sécurité avec une exposition réduite. Ceux qui ont traité la conformité comme une formalité ont payé le prix fort, financièrement et en termes de réputation.
Ce qui me frappe le plus, après des années à observer le secteur de la santé numérique, c’est la persistance d’un angle mort : les prestataires de services externalisés. Un cabinet médical peut avoir une sécurité informatique irréprochable en interne et laisser une porte grande ouverte via son secrétariat téléphonique ou son logiciel de prise de rendez-vous. La chaîne de conformité est aussi solide que son maillon le plus faible.
L’arrivée de l’intelligence artificielle dans les cabinets médicaux, notamment pour la gestion des appels et la coordination des patients, ajoute une couche de complexité. L’AI Act européen impose des analyses d’impact spécifiques pour les systèmes d’IA traitant des données de santé. Les établissements qui déploient ces technologies sans AIPD préalable s’exposent à une double sanction : RGPD et AI Act. La conformité n’est pas une case à cocher une fois par an. C’est un processus vivant, qui doit évoluer avec chaque nouvelle technologie et chaque nouvelle réglementation.
La bonne nouvelle est que la conformité est aussi un avantage concurrentiel. Les patients choisissent de plus en plus leurs praticiens sur la base de la confiance. Un établissement qui peut démontrer une gestion rigoureuse de la confidentialité des données médicales se distingue dans un marché où la transparence devient une attente, pas une option.
— Rudolph
Clicfone, un partenaire de confiance pour la gestion sécurisée des appels médicaux
La sécurité des données ne s’arrête pas aux serveurs. Elle commence dès le premier appel d’un patient.

Clicfone assure depuis 2010 l’externalisation du secrétariat téléphonique médical avec une conformité aux normes de confidentialité des données de santé. Ses secrétaires qualifiées et son assistant IA Aglaé gèrent les appels, les rendez-vous sur Doctolib, LibreRDV, Maiia et CalenDoc, avec des accès strictement cloisonnés et tracés. Plus de 50 % des praticiens partenaires de Clicfone utilisent le service depuis plus de dix ans. Pour découvrir comment Clicfone sécurise la gestion de vos appels tout en réduisant vos coûts administratifs, consultez l’offre de télésecrétariat médical sécurisé ou contactez directement l’équipe via la page dédiée aux professionnels de santé.
Questions fréquentes
Qu’est-ce que la certification HDS et pourquoi est-elle obligatoire ?
La certification HDS (hébergeur de données de santé) atteste qu’un prestataire respecte les exigences de sécurité définies par l’ANS pour stocker des données médicales. Tout établissement qui externalise l’hébergement de données de santé doit obligatoirement recourir à un hébergeur certifié HDS, sous peine de sanctions pénales et administratives.
Dans quel délai faut-il notifier la CNIL en cas de violation de données ?
Le RGPD impose une notification à la CNIL dans un délai de 72 heures après la détection d’une violation de données de santé. Ce délai court dès la prise de connaissance de l’incident, indépendamment de sa résolution.
Comment assurer la confidentialité des données patients avec un secrétariat externalisé ?
Le prestataire doit être lié par un contrat de sous-traitance RGPD, disposer d’accès strictement cloisonnés par rôle et garantir la journalisation de chaque accès aux données patients. La sécurisation des appels patients passe également par des canaux de communication chiffrés et une authentification renforcée.
Qu’impose le décret du 24 mars 2026 aux établissements de santé ?
Le décret du 24 mars 2026 impose que les données de santé soient hébergées exclusivement dans l’Union européenne ou l’EEE, avec une cartographie des transferts et une transparence contractuelle sur les accès distants. Ces obligations sont applicables depuis septembre 2026 et engagent la responsabilité juridique des dirigeants en cas de non-conformité.
Quelle est la durée légale de conservation des journaux d’accès aux dossiers patients ?
Les journaux d’audit des accès aux dossiers patients doivent être conservés au minimum dix ans. L’absence de ces journaux constitue une faute caractérisée lors d’un contrôle CNIL et peut entraîner des sanctions administratives significatives.