Bob le développeur

Données de santé

Définition, exemples et cadre juridique RGPD

Les données de santé sont des données personnelles sensibles, particulièrement protégées par le RGPD. Ce guide vous explique ce qu'est une donnée de santé, les 3 catégories définies par la CNIL, des exemples concrets, et les obligations légales qui s'appliquent à votre projet e-santé.

Certification HDS
hero

Qu'est-ce qu'une donnée de santé ?

Selon le RGPD (article 4-15), les données de santé sont définies comme les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. Cette définition est volontairement large et couvre les données relatives à la santé passée, présente ou future. Les données de santé font partie des données sensibles au sens de l'article 9 du RGPD. Leur traitement est par principe interdit, sauf exceptions prévues par la loi. Cette qualification a des conséquences importantes pour tout projet e-santé : elle impose des obligations de sécurité renforcées, un hébergement certifié HDS, et un cadre contractuel strict.

definition

Les 3 catégories de données de santé

La CNIL distingue trois catégories de données de santé, et la qualification doit s'apprécier au cas par cas. La première catégorie regroupe les données de santé par nature : ce sont les données intrinsèquement liées à la santé, indépendamment du contexte. On y trouve les antécédents médicaux, les prestations de soins, les résultats d'examens, les traitements et prescriptions, le handicap, et les données génétiques. La deuxième catégorie concerne les données devenues de santé par croisement. Prises isolément, elles ne sont pas des données de santé, mais elles le deviennent quand on les croise avec d'autres informations. Par exemple, le poids seul n'est pas une donnée de santé, mais le poids combiné au nombre de pas et aux apports caloriques en devient une car il permet de tirer une conclusion sur l'état de santé. La troisième catégorie regroupe les données devenues de santé par destination : elles acquièrent cette qualification en raison de l'usage qui en est fait dans un contexte médical. Un simple arrêt maladie, un clavier en braille attribué à un employé ou une information utilisée par un professionnel de santé pour un diagnostic sont autant d'exemples.

categories

Exemples concrets et cas limites

Sont des données de santé : un diagnostic médical, des résultats d'analyses sanguines, une ordonnance, un compte-rendu d'hospitalisation, les données d'un dossier médical partagé (DMP), un code CCAM révélant une pathologie, les données collectées par un dispositif médical connecté, les informations échangées lors d'une téléconsultation, et un numéro d'identification en santé. En revanche, ne sont généralement pas des données de santé : un nombre de pas seul collecté par une application de promenade, le NIR (numéro de sécurité sociale) même s'il bénéficie d'une protection particulière, une aptitude sportive simple, ou des données isolées sans implication sanitaire. Attention au contexte : une même information peut être ou ne pas être une donnée de santé selon l'usage qui en est fait. "Le bébé pleure un peu" dans une crèche n'est pas une donnée de santé, mais la même phrase dans un service de pédiatrie hospitalier en est une.

exemples

Le cadre juridique : RGPD et données de santé

Le traitement des données de santé est encadré par plusieurs textes de référence : le RGPD (article 9 pour l'interdiction de principe, article 4-15 pour la définition), la Loi Informatique et Libertés (articles 8 et chapitre IX), et le Code de la santé publique pour le secret médical et l'hébergement des données. Le principe est clair : le traitement des données de santé est interdit par défaut. Il n'est autorisé que dans certains cas prévus par l'article 9.2 du RGPD, notamment le consentement explicite de la personne, la nécessité pour la médecine préventive ou du travail, un motif d'intérêt public dans le domaine de la santé, la recherche scientifique avec garanties appropriées, ou le diagnostic médical et la prise en charge sanitaire. Les traitements à l'usage exclusif de la personne (une application de suivi personnel sans partage) échappent à cette réglementation.

cadre-juridique

Données de santé et certification HDS

Si vous développez une application qui collecte et stocke des données de santé pour le compte de tiers (hôpitaux, patients, professionnels de santé), vous êtes soumis à la certification HDS (Hébergeur de Données de Santé). Cette certification est obligatoire en France selon l'article L.1111-8 du Code de la santé publique. La certification HDS couvre 6 activités distinctes (hébergement physique, infrastructure matérielle, infrastructure virtuelle, plateforme logicielle, infogérance, sauvegarde externalisée) et impose des exigences strictes en matière de sécurité, de traçabilité et de souveraineté des données. Le nouveau référentiel HDS 2024 renforce encore ces exigences avec la localisation obligatoire dans l'EEE. Pour tout savoir sur la certification HDS, consultez notre guide dédié.

certification-hds

Notre expertise en données de santé

Chez Bob le développeur, nous développons des applications e-santé conformes au RGPD et aux exigences HDS depuis 2017. Nos fondateurs ont co-fondé une startup e-santé qui a réalisé un exit en 2018, ce qui nous donne une compréhension unique des enjeux réglementaires du secteur. Nous avons accompagné de nombreux projets impliquant des données de santé : plateformes de télémédecine, applications médicales, dashboards avec machine learning pour la biostatistique. Nous travaillons notamment avec l'AP-HP (Assistance Publique - Hôpitaux de Paris) sur des projets de Business Intelligence médicale. Notre expertise couvre la conformité RGPD dès la conception (privacy by design), le chiffrement des données, la traçabilité des accès et le déploiement sur infrastructure certifiée HDS. Découvrez l'ensemble de nos services e-santé sur notre page dédiée.

expertise
image

Rencontrez Bob, le copilote de votre succès !

Chez Bob le développeur, nous ne construisons pas seulement des produits SaaS, nous réalisons des rêves. Bob, à la barre de notre équipe d'experts, est bien plus qu'un développeur : il est le co-pilote agile et dévoué de votre projet entrepreneurial. Eux-mêmes anciens entrepreneurs eux-mêmes, les membres de Bob comprennent les défis auxquels vous faites face et savent comment les transformer en opportunités.

En contact permanent

Nous savons que chaque entreprise est unique. C'est pourquoi Bob et son équipe mettent un point d'honneur à tisser des relations solides et authentiques avec chacun de nos clients.

Rapidité et efficacité : notre signature

Dans le monde des startups, le temps c'est de l'argent. Notre processus de développement agile garantit que votre produit sera sur le marché en un temps record, prêt à conquérir son audience.

Ce que disent nos clients

user avatar
François Bulteau

CEO - Spliit

Nous avons fait appel à Bob dans le cadre du développement de notre site Spliit et de notre web app. Leur accompagnement était complet avec une forte expertise technique et une approche produit. Ils ont su s'adapter rapidement à notre contexte et nos besoins. Fortement recommandé!

user avatar
Romain Champourlier

CTO - Carbonfact

Antoine nous a accompagnés quelques mois sur le développement NextJS / NestJS / Typescript de plusieurs MVP dans le cadre de nos cycles exploratoires chez Carbonfact. La collaboration est excellente : les échanges sont clairs, efficaces. Antoine s'est très bien adapté à notre contexte et a travaillé avec beaucoup d'autonomie, ce qui était parfait à notre stade de développement. Nous avons beaucoup apprécié sa capacité à comprendre rapidement les enjeux business et à s'assurer de l'alignement de ses choix techniques avec nos pratiques et notre stratégie. Nous serons ravis de travailler à nouveau avec Antoine et l'équipe de Bob le Développeur.

user avatar
Stanislas Bétoux

CEO - Hypnolib

Je suis satisfait de la production finale d’Hypnolib. Points positifs : Qualité de la prestation, Réactivité, Disponibilité, Force de propositions.

user avatar
Stanislas Denis

CEO - GetBiz

Engagé pour réaliser et développer notre site internet multiplateforme et multilingue. L’équipe a été très compétente en proposant des technologies Getbiz. L'équipe de Bob le développeur a su bien comprendre notre projet, pour nous proposer la meilleure solution de développement pour la création de notre application. Leur accompagnement fut très professionnel et les délais respectés. Bravo et merci à toute l'équipe.

user avatar
Romain Le Drogo

Founder - Sutom

Bob le développeur a su répondre rapidement et efficacement à chacune de nos attentes. Leur accompagnement et leur agilité tout au long de la réalisation du projet nous ont été très précieux, et nous ont permis de répondre très rapidement aux différentes difficultés rencontrées. Leur expertise technique et leur orientation business nous ont permis de trouver ensemble les meilleures solutions pour une réalisation plus robuste sur le long terme. Merci à toute l’équipe !

user avatar
RILESUNDAYZ

Record label and publishing company

L'équipe a su s'adapter aux différentes exigences et être force de proposition sur les concepts originaux que nous avons soumis pour notre plateforme interne. Hâte de retravailler ensemble!

Questions fréquentes

Qu'est-ce qu'une donnée de santé au sens du RGPD ?
Selon l'article 4-15 du RGPD, les données de santé sont les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne. Cette définition est volontairement large et couvre la santé passée, présente ou future.
Quelles sont les 3 catégories de données de santé selon la CNIL ?
La CNIL distingue trois catégories : les données de santé par nature (antécédents médicaux, résultats d'examens, prescriptions), les données devenues de santé par croisement (poids + nombre de pas + calories = donnée de santé), et les données devenues de santé par destination (information utilisée dans un contexte médical pour un diagnostic par exemple).
Quels sont des exemples concrets de données de santé ?
Sont des données de santé : un diagnostic médical, des résultats d'analyses sanguines, une ordonnance ou prescription, un compte-rendu d'hospitalisation, les données d'un dossier médical partagé (DMP), les données collectées par un dispositif médical connecté, les informations échangées lors d'une téléconsultation, et un numéro d'identification en santé.
Ce qui n'est PAS une donnée de santé ?
Ne sont généralement pas des données de santé : un nombre de pas seul collecté par une application de promenade (sans croisement avec d'autres données), le NIR (numéro de sécurité sociale) qui bénéficie d'une protection particulière mais n'est pas une donnée de santé au sens de l'article 9, une aptitude sportive simple, ou des données isolées sans implication sanitaire. Le contexte est toujours déterminant.
Quel est le cadre juridique des données de santé en France ?
Les données de santé sont régies par le RGPD (articles 4-15 pour la définition et 9 pour l'interdiction de principe), la Loi Informatique et Libertés, et le Code de la santé publique. Leur traitement est par principe interdit sauf exceptions prévues par l'article 9.2 du RGPD : consentement explicite, médecine préventive, intérêt public en santé, recherche scientifique, diagnostic médical.
Faut-il un hébergement certifié HDS pour les données de santé ?
Oui, si vous hébergez des données de santé pour le compte de tiers (hôpitaux, patients, professionnels de santé), vous devez les héberger chez un hébergeur certifié HDS. C'est une obligation légale en France selon l'article L.1111-8 du Code de la santé publique. Le non-respect de cette obligation expose à des sanctions financières et pénales.
Comment protéger les données de santé dans une application ?
Pour protéger les données de santé, il faut héberger chez un prestataire certifié HDS, chiffrer les données au repos et en transit, mettre en place un contrôle d'accès strict basé sur les rôles, assurer la traçabilité complète des accès, réaliser des analyses d'impact (AIPD), et garantir la conformité RGPD dès la conception selon le principe de privacy by design.
L'exception d'usage personnel s'applique-t-elle aux applications santé ?
Les traitements de données de santé à l'usage exclusif de la personne échappent à la réglementation. Une application mobile de suivi personnel sans connexion externe ni partage de données n'est pas soumise aux obligations HDS. Mais dès que les données sont partagées avec un tiers ou un professionnel de santé, toutes les obligations réglementaires s'appliquent pleinement.

Un projet impliquant des données de santé ?

Expert e-santé depuis 2017, nous vous accompagnons dans le développement d'applications conformes RGPD et HDS.

Estimer mon projet

La newsletter qu'on n'ignore pas

Abonnez-vous à notre newsletter pour recevoir nos derniers articles, retours d'expérience et conseils tech directement dans votre boîte mail.

Désinscription en un clic. Vos données restent privées.