Article – Protection des données: la CNIL dans une démarche d’intensification

Isabelle Génot-Pok, juriste, consultante du centre de droit JuriSanté du CNEH

Article paru dans la revue Gestions hospitalières, n°649, octobre 2025

Dans un monde de plus en plus numérisé, dématérialisé, où les données personnelles – ressource précieuse et confidentielle – sont plus facilement accessibles et utilisables, la mission de la Commission nationale de l’informatique et des libertés (Cnil) est d’autant plus importante et pertinente. Elle-même doit renforcer sa vigilance, ses contrôles et rappeler aux établissements de santé le cadre dans lequel ils doivent s’inscrire. Son bilan 2024, marqué par le constat d’une augmentation du nombre de violations de données, lui a fait prononcer bien plus de sanctions que les années précédentes. Ses recommandations deviennent aussi des marqueurs de cette intensification et composent un ensemble de guides permettant d’assurer les bonnes pratiques en matière de «gestion des données à caractère personnel», notamment celles de santé.

En 2024, l’action répressive de la Cnil se caractérise par une augmentation du nombre de mesures adoptées : le nombre total de sanctions prononcées est passé de 21 en 2022 à 42 en 2023 puis à 87 en 2024 [1]. La Cnil a également prononcé 180 mises en demeure et 64 rappels aux obligations légales, ce qui est «sans précédent pour ce type de mesures». Au total, 331 mesures correctrices ont été prises. Depuis janvier 2025, la commission a rendu dix nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée, pour un montant cumulé d’amendes de 104000 euros. De nombreux professionnels de santé ont ainsi été sanctionnés pour ne pas avoir respecté le règlement général sur la protection des données (RGPD).

Les établissements de santé ne sont pas exclus des contrôles même si, pour l’heure, ils n’ont pas vraiment eu à subir les fourches caudines de la commission. Dans son dernier bilan, cette dernière précise avoir été alertée, à plusieurs reprises, au sujet d’accès illégitimes à des dossiers patient informatisés (DPI). Aussi a-t-elle conduit treize contrôles auprès d’établissements de santé entre 2020 et 2024 qui ont permis de constater que «les mesures de sécurité informatique et la politique de gestion des habilitations étaient parfois inadaptées». Par exemple, des professionnels de santé pouvaient accéder à des données non nécessaires à la prise en charge de leur patient ou consulter des dossiers hors de leur périmètre de prise en charge, faits constitutifs d’une violation du secret professionnel [2]. On notera par ailleurs que ce comportement relève autant d’une sanction disciplinaire [3] que d’une sanction pénale [4]. Mais en ce qui concerne la Cnil, elle a choisi de mettre en demeure plusieurs établissements de prendre les mesures permettant de préserver la sécurité et la confidentialité des données du DPI. Pour l’heure, aucune sanction financière n’a été prise, ce qui ne préjuge pas de l’avenir.

Ces mises en demeure ont été l’occasion de rappeler les mesures de sécurité, organisationnelles ou techniques, à mettre en œuvre pour répondre au contexte spécifique du DPI.

On peut en relever trois types :

• sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes);
• prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement ne puisse accéder qu’aux dossiers qui le concernent;
• mettre en place une traçabilité des accès au DPI. Il s’agit d’une procédure qui doit permettre d’indiquer qui s’est connecté et à quel moment, mais surtout qui a accédé à quoi. Il est impératif que des contrôles réguliers soient réalisés, afin d’identifier tout accès potentiellement frauduleux ou illégitime.

Ces premières mesures appellent inexorablement la rédaction d’une politique d’habilitation afin de définir «qui peut accéder à quoi», ce sur quoi la commission insiste fortement. Or, les établissements de santé et/ou médico-sociaux sont tous encore loin de disposer d’une politique claire et définie. Mais sachant que les textes de loi relatifs au secret professionnel encadrent et limitent déjà les accès aux données de santé, et auxquels les établissements devraient se soumettre depuis plusieurs années, les prochaines visites de la Cnil risquent d’être bien moins clémentes.

D’autant que pour accompagner les structures, la commission a rappelé que cette politique devait combiner deux critères :

• le métier exercé: par exemple, un agent responsable de l’accueil des patients ne doit pouvoir accéder qu’au dossier administratif du patient et en aucun cas à ses données médicales ;
• les habilitations : elles doivent tenir compte de la notion d’équipe de soin telle que définie par la loi [5] afin que seuls les professionnels effectivement impliqués dans la prise en charge d’un patient puissent avoir accès aux informations couvertes par le secret médical [6]. Ces habilitations peuvent être complétées par un mode «bris de glace» qui permet aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données relatives à un patient, avec une justification à sélectionner, la plupart du temps dans un menu déroulant. Ce mode doit faire l’objet d’une traçabilité particulière pour éviter les abus [7].

Or, si l’article 5.1.f) du RGPD [8] impose aux responsables de traitement (RT) et aux sous-traitants (ST) de traiter les données personnelles de façon à leur garantir un niveau de sécurité approprié, l’article 32 prévoit que ces RT et ST doivent mettre en place des mesures de sécurité adaptées, compte tenu des risques et de l’état de l’art, afin de protéger les données qu’ils traitent. Force est de constater que les violations de données n’ont cessé d’augmenter depuis 2018 (de 16 en 2018 à 196 en 2024 [9]). Certaines cyberattaques ont conduit au blocage complet du système d’information de plusieurs grands établissements, pouvant mettre en grande difficulté la prise en charge des patients.

C’est sur la base de ces manquements constatés et des besoins des établissements concernés que la Cnil a lancé, au premier trimestre 2025, une consultation publique sur un projet de recommandations ou guide de 16 fiches illustrées d’exemples concrets pour sécuriser le DPI. La consultation s’est clôturée en mai/juin dernier et le document de la Cnil, il faut le souligner, contient de nombreuses recommandations de bonnes pratiques essentielles à la mise en œuvre de la protection des données.

La protection des données de santé, une approche pragmatique de la Cnil

Traiter un très grand nombre de données personnelles de santé implique de mettre en œuvre des mesures de sécurité renforcées, c’est l’objet de la recommandation de la Cnil relative au DPI. Elle l’a élaborée pour rappeler le cadre juridique applicable et diffuser les bonnes pratiques associées. Ce document présente plusieurs intérêts spécifiques par rapport aux autres guides et textes sur la protection et la sécurisation des données [10].

A ce titre, on peut relever quelques points clés qui mettent en lumière son importance et sa pertinence:

• une recommandation spécifique au secteur de la santé. Contrairement aux guides généraux sur la protection des données, cette recommandation est conçue pour le secteur de la santé. Elle prend en compte les particularités et les difficultés liés à la gestion des DPI, telles que la sensibilité des données de santé et les exigences de confidentialité accrues concernant les accès et la politique d’habilitation;
• une conformité avec les réglementations sectorielles. La recommandation intègre les exigences spécifiques du secteur de la santé telles que celles définies par la politique générale de sécurité des systèmes d’informations en santé (PGSSI-S). Cela inclut des mesures de sécurité renforcées et des protocoles d’authentification spécifiques, telle l’authentification multifacteur [10], qui sont cruciaux pour la protection des données de santé;
• une approche qui se veut pratique et opérationnelle, de la guidance aux exemples et cas d’usage. La recommandation fournit des conseils pratiques et opérationnels pour la mise en œuvre des mesures de sécurité. Elle ne se limite pas à des principes généraux mais propose des solutions concrètes et des bonnes pratiques adaptées aux réalités des établissements de santé. Cela inclut des recommandations sur le chiffrement des données, la journalisation des accès et la gestion des sauvegardes [10]. Comme précisé, les illustrations spécifiques au secteur de la santé facilitent la compréhension et l’application des mesures. Cela permet aux établissements de mieux appréhender les exigences qui leur sont imposées et de les mettre en œuvre de manière efficace;
• une pratique de consultation et de collaboration avec les acteurs de santé. La recommandation a été soumise à une consultation publique [11], permettant aux acteurs du secteur de la santé de contribuer et de partager leur retour d’expérience, assurant ainsi une meilleure adéquation avec les besoins et les réalités des établissements. Cette approche collaborative assure que les recommandations sont pertinentes et adaptées aux besoins réels des établissements, et donc son appropriation par les professionnels impliqués, notamment les responsables de traitement, le délégué à la protection des données, le médecin responsable de l’information médicale, le responsable de la sécurité du système d’information… et les utilisateurs ;
• en s’appuyant sur les retours des acteurs du terrain, la recommandation vise à harmoniser les pratiques au sein du secteur de la santé. Cela favorise une meilleure cohérence et une uniformisation des mesures de sécurité, ce qui est essentiel pour la protection des données de santé à l’échelle nationale.

Il s’agit bien de faire de ce guide ou cette recommandation un outil juridiquement et techniquement fiable, facile d’utilisation, compréhensible et conforme aux besoins du secteur de la santé [12].

Renforcement de la sécurité des données personnelles

La Cnil a fait de la cybersécurité l’un des trois axes principaux de son plan d’action stratégique 2025-2028. Dès cette année, elle renforce ses actions dans le domaine afin d’améliorer le niveau de sécurité des données à caractère personnel des Français :

• par l’accompagnement, en poursuivant l’élaboration de recommandations pour sécuriser les données personnelles au regard de l’évolution de la menace et de l’état de l’art;
• par le contrôle des organismes, en particulier sur la mise en place de mesures renforcées s’agissant des grandes bases de données ;
• à travers la poursuite de son action d’information et de sensibilisation de tous les publics à la cybersécurité et l’hygiène numérique.

Quel que soit leur mode d’exercice, les professionnels de santé sont soumis au RGPD et doivent mettre en place les mesures de conformité nécessaires. Il s’agit principalement de sécuriser les données pour en réduire les risques de violation, respecter les droits des personnes et s’assurer que les contrats passés avec les sous-traitants sont conformes. Ainsi, pour être sensibilisé à la matière et mettre en place des procédures appropriées, il est utile de questionner, lorsqu’il existe, son délégué à la protection des données ou un spécialiste.

Conclusion

Dès 2026, la politique de contrôle de la Cnil s’intensifiera pour s’assurer de la mise en place de l’authentification multifacteur pour les grandes bases de données. L’absence de cette mesure pourra justifier la mise en place d’une procédure de sanction. En tout état de cause, la Cnil continuera à traiter les plaintes dont elle est saisie, à mener les contrôles qui lui paraîtront nécessaires et à adopter, si besoin, les mesures correctrices qui s’imposent. Elle devrait aussi tenir compte de l’existence de violations précédentes qui auraient dû conduire l’établissement concerné à mettre en place cette mesure d’authentification renforcée. La commission rappelle que la mise en place d’une authentification multifacteur était déjà nécessaire au titre du RGPD pour des bases de données comprenant des données sensibles ou dont la violation exposerait les personnes à des risques importants. Les structures sanitaires doivent donc s’attendre à plus de sévérité et de sanctions lors des prochaines visites de contrôle de la Cnil.

Notes

[1] Cnil, « Sanctions et mesures correctrices : bilan 2024 de l’action de la Cnil », février 2025 – www.cnil.fr

[2] A. Charbonnel, I. Génot-Pok, « L’importance de protéger le DPI contre les accès non autorisés en interne », Gestions hospitalières, n° 635, avril 2024, p.258-260.

[3] Par exemple articles R.4127-6 (pour les médecins) et R.4312-5 (pour les infirmiers) du Code de la
santé publique (CSP).

[4] Art. L.1110-4 du CSP et L.226-13 du Code pénal.

[5] Art. L. 1110-12 du CSP.

[6] Lire ici le « secret professionnel ». Cette digression linguistique, qui se retrouve régulièrement dans les textes de doctrine ou de recommandations, est trop restrictive. Le secret professionnel couvre toutes les données personnelles d’un patient et non uniquement les données médicales.

[7] La Cnil recommande par ailleurs de prévoir des mesures de confidentialité renforcées pour certains dossiers, par exemple ceux des patients provenant d’un établissement pénitentiaire.

[8] On rappellera que le RGPD a été publié le 14 avril 2016 pour une entrée en application au 25 mai 2018.

[9] Chiffres Cnil.

[10] Cnil, « Authentification multifacteur : les recommandations de la Cnil pour mieux protéger les données », avril 2025.

• ANSSI, « Recommandations relatives à l’authentification multifacteur et aux mots de passe », octobre 2021.
• Cnil, « Guide de sécurité des données personnelles mis à jour », mars 2024.
• Cnil, « La Cnil publie une recommandation relative aux mesures de journalisation », 18 novembre 2021.
• ANSSI, « Recommandations de sécurité pour l’architecture d’un système de journalisation », 28 janvier 2022.

[11] Par exemple, la Cnil a lancé, le 10 juin 2024, une consultation publique sur le développement de systèmes d’IA – de même en mai 2021 pour son projet de recommandation relative aux mesures de journalisation.

[12] On notera que le secteur médico-social n’est pas visé par le périmètre de la recommandation. Mais sans doute pourra-t-il s’en inspirer afin que les dossiers des résidents, si tant est qu’ils soient informatisés, bénéficient aussi de protections similaires adaptées à ses particularités, bien que les enjeux ne semblent pas les mêmes que dans le domaine sanitaire.