La CNIL le répète dans ses derniers rapports d’activité : les données sensibles seront au cœur des prochains contrôles. Et dans le viseur, on retrouve non seulement les hôpitaux, mais aussi les structures de bien-être, les cabinets indépendants, les salons de tatouage et les professions paramédicales. Car une chose est claire : collecter des données de santé engage une vraie responsabilité.
Et ce n’est que le début.

Des signaux faibles annoncent un renforcement à venir

Depuis 2022, la CNIL a multiplié les contrôles sur :

‍
les dossiers patients dans les établissements de santé,
la sécurité des données collectées dans les applications de bien-être,
et la façon dont les professionnels indépendants gèrent les consentements.

‍
Dans ses priorités 2024-2025, elle souligne une volonté de renforcer la régulation dans les secteurs non-médicaux qui manipulent pourtant des données de santé : tatoueurs, esthéticiens, hypnothérapeutes, naturopathes…
Autrement dit : ceux qui pensaient être "hors radar" ne le seront plus longtemps.

Vers une obligation d’hébergement HDS pour tous ?

Aujourd’hui, seuls les établissements de santé sont tenus d’utiliser des hébergeurs agréés HDS (Hébergement de Données de Santé).
Mais plusieurs voix au sein de la CNIL et du ministère de la Santé appellent à étendre cette obligation à tous les professionnels traitant des données médicales, même en petite structure.

Cela signifierait :

• L’interdiction d’utiliser Google Drive, Dropbox ou d’envoyer des fiches par mail,
• L’obligation de stocker les données sur des serveurs agréés HDS, en France ou en Europe,
• Une traçabilité renforcée sur chaque accès, modification ou suppression de données.

L’Europe prépare aussi de nouvelles règles

Deux textes majeurs sont en préparation au niveau européen :

• Le Data Governance Act (DGA), qui renforce le contrôle des citoyens sur leurs données personnelles,
• Le European Health Data Space (EHDS), qui vise à créer un cadre commun pour les données de santé dans l’UE.

Ces textes pourraient aboutir à des consentements plus dynamiques, c’est-à-dire que les clients pourraient modifier ou révoquer leur accord à tout moment… Et vous auriez l’obligation de pouvoir le prouver, avec historique et archivage à l’appui.

Anticiper plutôt que subir

Beaucoup de professionnels adoptent encore des pratiques “tolérées” mais pas conformes sur le fond : fiches papier, scans, stockage local, absence de preuve du consentement.
C’est ce que la CNIL appellera demain des pratiques “insuffisamment sécurisées”.

Chez OKID, nous pensons que mieux vaut devancer les normes que devoir réagir dans l’urgence. C’est pourquoi :

• Nos formulaires sont horodatés et signés électroniquement,
• Chaque consentement est archivé en toute sécurité,
• Nos serveurs sont situés en Europe et conformes aux exigences RGPD,
• Et nos outils évoluent pour suivre l’ensemble des futures obligations.