Le virage numérique de la santé est en marche. Dossiers médicaux partagés, téléconsultations, objets connectés : notre système de soins se digitalise à vitesse accélérée. Mais cette transformation soulève une question fondamentale pour tous les patients, et particulièrement pour les seniors : comment sont protégées nos données de santé les plus intimes ? Les données de santé sont des données personnelles sensibles, particulièrement protégées par les textes (règlement européen sur la protection des données personnelles, loi Informatique et Libertés, code de la santé publique, etc.)
La question n’est pas anodine. En 2023, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recensait plus de 400 attaques contre des établissements de santé, un chiffre alarmant qui illustre l’ampleur des menaces pesant sur nos informations médicales. Dans ce contexte, comprendre les mécanismes de protection et connaître ses droits devient essentiel.
Qu’est-ce qu’une donnée de santé et pourquoi est-elle si sensible ?
Avant toute chose, définissons clairement ce que recouvre une donnée de santé. Le RGPD donne une définition des « données concernant la santé » en son article 4, à savoir toute « donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèle des informations sur l’état de santé de cette personne.
Au-delà des données strictement médicales
Les données de santé ne se limitent pas aux diagnostics ou prescriptions. Elles englobent un spectre beaucoup plus large :
- Informations médicales directes : résultats d’examens, comptes rendus d’hospitalisation, imageries médicales
- Données administratives : numéro de sécurité sociale, historique de remboursements
- Informations issues d’objets connectés : fréquence cardiaque, nombre de pas, qualité du sommeil
- Données génétiques et biométriques : tests ADN, empreintes biométriques
Par principe, le traitement des données de santé est interdit sauf dans des cas particuliers (article 9 du RGPD et article 6 de la loi Informatique et Libertés). Cette interdiction de principe témoigne de leur caractère extrêmement sensible.
Pourquoi tant de protection ?
Les données de santé révèlent nos fragilités, nos antécédents, nos pathologies. Leur divulgation pourrait entraîner des discriminations à l’embauche, des refus d’assurance, ou simplement porter atteinte à notre dignité. Toute personne prise en charge par un professionnel, un établissement ou un réseau de santé a droit au respect de sa vie privée et au secret des informations la concernant. Ce secret couvre, sauf dérogations expressément prévues par la loi, l’ensemble des informations concernant la personne venues à la connaissance du professionnel de santé.
Le cadre légal : RGPD et loi Informatique et Libertés
La protection des données de santé repose sur un arsenal juridique solide qui s’est considérablement renforcé ces dernières années.
Le RGPD : un socle européen exigeant
Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018. Ces deux textes constituent désormais le socle de la nouvelle réglementation sur la protection des données personnelles. Ce règlement européen impose des obligations strictes à tous les acteurs manipulant des données de santé.
« Le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. » – Article 32 du RGPD
La CNIL : gardienne de vos données
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) veille au respect de ces réglementations. En 2024, la CNIL a reçu 619 demandes d’autorisation pour des traitements de données de santé, en hausse de 20 % par rapport à 2023. La qualité des dossiers s’améliore, entraînant une réduction des délais d’instruction.
La CNIL dispose de pouvoirs étendus : contrôles, mises en demeure, sanctions financières pouvant atteindre plusieurs millions d’euros. Elle publie également des guides et référentiels pour accompagner les professionnels dans leur mise en conformité.
Formalités spécifiques pour les données de santé
Contrairement à d’autres données personnelles, les données de santé nécessitent des formalités spécifiques. La loi Informatique et Libertés prévoit des formalités préalables auprès de la CNIL concernant les traitements de données de santé. Certains traitements nécessitent une autorisation explicite de la CNIL, d’autres une déclaration de conformité à un référentiel.
Mon Espace Santé et le Dossier Médical Partagé : centralisation sécurisée
Lancé en 2022, Mon Espace Santé représente le fer de lance de la digitalisation du parcours de soins en France. Ce service public numérique intègre notamment le Dossier Médical Partagé (DMP).
Qu’est-ce que Mon Espace Santé ?
Mon espace santé est le service public numérique pour gérer vos données de santé. Il vous permet de stocker vos informations médicales et les partager avec les professionnels de santé qui vous soignent en respectant votre consentement.
Ce service comprend plusieurs fonctionnalités :
- Le Dossier Médical Partagé : centralisateur de tous vos documents de santé
- Une messagerie sécurisée : pour échanger avec vos professionnels de santé
- Un agenda : pour suivre vos rendez-vous médicaux
- Un catalogue d’applications : services numériques de santé référencés
Depuis le lancement du Dossier Médical Partagé (DMP), plus de 15 millions de Français ont déjà activé leur espace numérique sur monespacesante.fr.
Sécurité et hébergement des données
La question de la sécurité est centrale. Toutes ces données sensibles sont hébergées en France sur des serveurs certifiés HDS. Littéralement, cela veut dire « Hébergeurs de Données de Santé » et c’est la garantie d’une très haute sécurité explique la CNIL.
La certification HDS (Hébergeur de Données de Santé) est obligatoire pour tout acteur hébergeant des données de santé. Les hébergeurs de données de santé qui conserve des données dans le cadre d’un service d’archivage électronique doivent obtenir la certification HDS. La certification HDS est rendue obligatoire pour les hébergeurs.
Vous gardez le contrôle
Point essentiel : vous restez maître de vos données. Vous pouvez définir les règles de confidentialité et d’accès à vos informations de santé. Masquer les documents de votre choix (ce qui les rend invisibles aux professionnels qui consultent ces documents de santé via le dossier médical partagé).
Concrètement, vous pouvez :
- Choisir quels professionnels ont accès à votre DMP
- Masquer certains documents sensibles
- Consulter l’historique de tous les accès à votre dossier
- Fermer votre espace à tout moment
Les cybermenaces qui pèsent sur vos données de santé
Si les mesures de protection sont nombreuses, les menaces le sont tout autant. Le secteur de la santé est devenu une cible privilégiée des cybercriminels.
Un secteur particulièrement exposé
Le nombre de cyberattaques a augmenté de 75% à l’échelle mondiale en 2024. Le secteur de la santé est particulièrement visé : en France, les établissements de santé représentent désormais une part significative des attaques gérées par l’ANSSI, passant de 2,87 % en 2020 à 11,4 % en 2023.
Les principales formes d’attaques
Les rançongiciels (ransomware) : la menace la plus redoutée. L’attaque par rançongiciel est la plus redoutée par les établissements de santé. En 2021, l’hôpital de Villefranche-sur-Saône a été bloqué pendant plus d’une semaine, forçant les soignants à revenir aux dossiers papier et annulant des dizaines d’interventions chirurgicales.
Le phishing : des emails frauduleux imitant des communications officielles pour dérober des identifiants. Selon CERT Santé, l’année 2022 a été marquée par 588 incidents de cyberattaque visant des établissements de santé, 50% étaient d’origine malveillante, 46% correspondaient à des tentatives d’hameçonnage, 40% des compromissions de comptes.
Les failles de sécurité : mots de passe faibles, logiciels obsolètes, accès non sécurisés constituent autant de portes d’entrée pour les pirates.
Les conséquences d’une cyberattaque
Les impacts sont multiples et graves :
- Paralysie des soins : impossibilité d’accéder aux dossiers patients, reports d’opérations
- Fuite de données sensibles : informations médicales revendues sur le dark web
- Perte de confiance : Les patients se montrent de plus en plus réticents à partager leurs données médicales, craignant qu’elles ne soient volées ou revendues sur le dark web. Cette méfiance croissante menace la transition numérique du secteur médical
- Coûts financiers : Le CH de Corbeil-Essonnes a dû débourser 7 millions d’euros pour rebâtir son infrastructure informatique suite à l’attaque subie en 2022
Objets connectés de santé : opportunités et risques
Montres connectées, tensiomètres intelligents, glucomètres connectés : les objets de santé connectés se multiplient, offrant de nouvelles possibilités de suivi mais soulevant aussi des questions de sécurité.
Une adoption croissante chez les seniors
Les objets connectés de santé présentent de nombreux avantages, particulièrement pour les personnes âgées ou atteintes de maladies chroniques :
- Surveillance en temps réel des paramètres vitaux
- Alertes automatiques en cas d’anomalie
- Transmission directe des données au médecin traitant
- Meilleur suivi des traitements
Les applications de e-santé et les objets connectés peuvent être utiles pour le suivi des maladies chroniques. Certains appareils connectés comme les glucomètres ou les tensiomètres permettent de mesurer la glycémie des personnes souffrant de diabète ou la tension de ceux qui font de l’hypertension.
Des vulnérabilités préoccupantes
Mais ces objets ne sont pas sans faille. Certains objets connectés présentent des vulnérabilités exposant leurs utilisateurs à des conséquences catastrophiques et d’atteinte à la vie privée. La principale exposition à ce jour, porte sur le protocole de transfert de données, connu sous l’anagramme MQTT.
Les risques incluent :
- Interception des données pendant leur transmission
- Accès non autorisé aux informations collectées
- Piratage de l’objet lui-même
- Revente des données à des tiers (assureurs, annonceurs)
Comment choisir un objet connecté sécurisé ?
La mesure phare recommandée par le groupe de travail est la mise en œuvre d’un référentiel de labellisation des objets connectés et des applications mobiles de santé, sur une base facultative et souple. Ce référentiel permettra l’évaluation des solutions industrielles selon un ensemble de critères au premier rang desquels la fiabilité médicale, la protection des données et leur sécurisation.
En attendant la généralisation de ce label, vérifiez :
- La certification médicale de l’appareil
- Le chiffrement des données transmises
- La localisation des serveurs (privilégier l’hébergement européen)
- Les conditions générales d’utilisation concernant vos données
- La fréquence des mises à jour de sécurité
Vos droits face à vos données de santé
Le RGPD vous confère des droits essentiels sur vos données de santé. Les connaître, c’est pouvoir mieux les protéger.
Le droit d’accès
Vous pouvez à tout moment demander à consulter l’ensemble de vos données de santé détenues par un établissement ou un professionnel. Cette demande doit recevoir une réponse dans un délai maximum de 8 jours (pouvant être prolongé à 2 mois selon la complexité).
Le droit de rectification
Si des informations vous concernant sont inexactes ou incomplètes, vous pouvez demander leur correction. Ce droit est crucial pour éviter qu’une erreur médicale ne persiste dans votre dossier.
Le droit d’opposition
Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes, sauf si ce traitement répond à une obligation légale ou est nécessaire aux soins.
Le droit à la portabilité
Vous pouvez récupérer vos données dans un format structuré et couramment utilisé pour les transférer à un autre professionnel ou établissement.
Le droit à l’information
Tout professionnel ou établissement collectant vos données doit vous informer clairement sur :
- Les données collectées et leur finalité
- La durée de conservation
- Les destinataires de ces données
- Vos droits et comment les exercer
- L’existence de transferts éventuels hors UE
Les mesures de sécurité mises en place par les établissements
Face aux menaces, les établissements de santé déploient des mesures de sécurité renforcées, accompagnés par les pouvoirs publics.
Le programme CaRE
Le programme CaRE a pour objectif de renforcer la sécurité et la résilience des établissements de santé, ainsi que d’améliorer leur capacité à faire face à une cyberattaque. De nombreux travaux ont été menés en 2024 dans le cadre du programme CaRE.
Les mesures techniques essentielles
La CNIL rappelle les trois mesures de sécurité prioritaires : « sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ; prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement ne puisse accéder qu’aux dossiers qui le concerne ; mettre en place une traçabilité des accès au DPI.
Les établissements doivent également :
- Appliquer régulièrement les mises à jour de sécurité
- Utiliser l’authentification multifacteur
- Chiffrer les données sensibles
- Réaliser des sauvegardes régulières déconnectées du réseau
- Former le personnel à la cybersécurité
La culture de la cybersécurité
L’utilisateur (médical ou non médical) des SIH et SIS est un maillon essentiel dans la chaîne de la cybersécurité. L’objectif est de lui faire adopter une démarche de « cyberhygiène ».
Car la technologie ne suffit pas : 80% des incidents de sécurité impliquent une erreur humaine. Sensibiliser et former tous les acteurs devient donc une priorité absolue.
Restez vigilant : les bonnes pratiques au quotidien
En tant que patient, vous aussi pouvez contribuer à la protection de vos données de santé.
Avec vos professionnels de santé
- Vérifiez que vos données sont traitées de manière confidentielle (écran tourné, conversation à voix basse)
- Demandez comment vos données sont stockées et protégées
- Signalez toute anomalie dans votre dossier
- Ne partagez jamais vos identifiants Mon Espace Santé
En ligne
- Utilisez des mots de passe complexes et uniques pour vos espaces santé
- Activez l’authentification à deux facteurs quand c’est possible
- Méfiez-vous des emails suspects se faisant passer pour votre assurance ou votre hôpital
- Ne cliquez jamais sur des liens dans des emails non sollicités
- Vérifiez régulièrement l’historique d’accès à votre DMP
Avec vos objets connectés
- Changez les mots de passe par défaut
- Effectuez régulièrement les mises à jour
- Lisez les conditions d’utilisation concernant vos données
- Privilégiez les applications et objets certifiés
- Désactivez les fonctions de partage de données non essentielles
Que faire en cas de problème ?
Malgré toutes les précautions, une violation de vos données peut survenir. Voici comment réagir.
En cas de violation de données
Si vous êtes informé qu’une violation de données vous concernant a eu lieu :
- Changez immédiatement tous vos mots de passe liés à la santé
- Surveillez vos comptes bancaires et relevés d’assurance
- Méfiez-vous des tentatives de phishing qui pourraient suivre
- Demandez des informations précises sur la nature de la violation
Porter plainte ou signaler
Vous pouvez :
- Saisir la CNIL : en ligne sur cnil.fr si vous estimez que vos droits n’ont pas été respectés
- Porter plainte : auprès de la gendarmerie ou du commissariat en cas de vol de données
- Contacter votre ordre professionnel : si un professionnel de santé a consulté votre dossier sans raison légitime
- Alerter l’établissement : tout accès illégitime doit être signalé
L’avenir de la protection des données de santé
La protection des données de santé continue d’évoluer face aux nouveaux défis technologiques.
L’intelligence artificielle : nouvel enjeu
L’IA en santé promet des avancées considérables en diagnostic et traitement, mais soulève des questions inédites sur la protection des données utilisées pour entraîner les algorithmes. Le nouveau règlement européen sur l’IA (AI Act) apporte un cadre spécifique pour les applications à haut risque, dont la santé fait partie.
Le Health Data Hub
La Plateforme des données de santé (PDS) a pour objectif de faciliter le partage des données de santé de sources variées afin de favoriser la recherche. Ce projet ambitieux vise à permettre l’exploitation des données pour la recherche tout en garantissant le plus haut niveau de protection.
Toutefois, La CNIL souhaite que son hébergement et les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne ou bénéficiant de certifications de type SecNumCloud. Le ministère de la Santé et de la Prévention, en accord avec l’analyse de la CNIL a, lui aussi, souhaité que la PDS utilise une solution technique souveraine.
Vers une souveraineté numérique en santé
La France et l’Europe travaillent à développer des solutions souveraines, garantissant que nos données de santé restent sous juridiction européenne, à l’abri des lois extraterritoriales d’autres puissances.
Passez à l’action : votre protection santé mérite le meilleur choix
La protection de vos données de santé n’est pas qu’une question technique : c’est un droit fondamental qui garantit votre dignité et votre liberté. À l’heure où la digitalisation transforme notre système de soins, rester informé et vigilant devient essentiel.
Les progrès technologiques offrent des opportunités formidables pour améliorer votre suivi médical, particulièrement en avançant en âge. Le Dossier Médical Partagé facilite la coordination entre professionnels, les objets connectés permettent un suivi quotidien, la télémédecine évite des déplacements parfois difficiles.
Mais ces avancées ne doivent jamais se faire au détriment de la sécurité de vos informations les plus intimes. Le cadre légal existe, les technologies de protection sont disponibles, vos droits sont clairement établis. Il appartient maintenant à chaque acteur – établissements, professionnels, patients – de jouer pleinement son rôle.
Votre santé est précieuse. Vos données aussi. N’hésitez pas à questionner vos professionnels de santé sur les mesures de protection mises en place, à exercer vos droits d’accès et de contrôle, à signaler toute anomalie. La protection de vos données de santé est un effort collectif auquel vous participez pleinement.
Et n’oubliez pas : une mutuelle santé adaptée peut également vous accompagner dans cette transition numérique, en vous proposant des services digitaux sécurisés et des garanties couvrant les nouvelles pratiques comme la téléconsultation. Chez Santors, nous vous aidons à trouver la mutuelle qui protège votre santé… et vos données.
