En 2025, la CNIL a reçu 20 150 plaintes et 6 167 notifications de violation de données personnelles : le volume seul suffit à comprendre pourquoi le médico-social ne peut plus « faire au mieux ». Comment un ESSMS, un EHPAD ou une association médico-sociale peut-il piloter sa conformité RGPD, cybersécurité et IA en 2026 ?
La réponse tient en 3 piliers :
- sécuriser les données de santé selon les obligations RGPD et NIS2,
- encadrer les usages de l’IA, et,
- anticiper les nouvelles exigences CNIL applicables à la recherche en santé depuis le 23 mai 2026.
Notre méthode de conformité continue aide à sortir du déclaratif pour piloter, prouver et maintenir la conformité au quotidien, au plus près des activités d’accompagnement. Cet article centralise les obligations, les audits à anticiper et les bonnes pratiques sectorielles.
L’essentiel en 30 secondes
1) Le RGPD encadre les données de santé, sociales et administratives des usagers et impose registre de traitements, AIPD et habilitations strictes.
2) La directive NIS2 et les audits HAS/ARS renforcent les exigences de cybersécurité et de plan de continuité (PCA/PRA).
3) L’AI Act encadre les usages de l’IA générative et des outils numériques sur les données de santé.
4) Depuis le 23 mai 2026, la CNIL a mis à jour les méthodologies de référence MR-001 et MR-003 pour la recherche en santé : un signal fort pour structurer dès maintenant sa documentation (registre, AIPD, sécurité).
Pour les Établissements et Services Sociaux et Médico-Sociaux (ESSMS), EHPAD, associations du secteur du handicap, de la protection de l’enfance ou de l’aide à domicile, la conformité RGPD n’est plus une simple case à cocher : elle conditionne la tenue du registre des traitements, la réussite des audits HAS/ARS, et de plus en plus, la capacité à utiliser des outils d’IA sans exposer les données de santé des usagers.
Ce guide réunit dans une vision d’ensemble les 3 couches réglementaires qui s’appliquent désormais au secteur médico-social :
- le RGPD : cœur de la conformité des données de santé,
- la cybersécurité et NIS2 : pour la sécurisation des systèmes d’information et plans de continuité,
- l‘AI Act : pour l’encadrement des usages de l’Intelligence Artificielle. Il intègre également l’actualité réglementaire de 2026, notamment la mise à jour des méthodologies de référence MR-001 et MR-003 par la CNIL.
Les 3 piliers de la conformité numérique en médico-social
RGPD
Registre des traitements, AIPD, droits des usagers, données de santé, hébergement HDS, sous-traitants.
Cybersécurité & NIS2
Sécurisation des accès, MFA, plan de continuité (PCA/PRA), gestion des incidents et ransomwares.
AI Act
Cadrage des usages IA sur données sensibles, transparence, souveraineté et confidentialité.
Les trois piliers convergent vers un même objectif : prouver, à tout moment, que les données des usagers, des résidents et des salariés sont protégées et tracées.
Avant d’entrer dans le détail des obligations, un point d’actualité s’impose : la CNIL vient de faire évoluer un cadre directement structurant pour les établissements engagés dans des activités de recherche en santé ou de partenariat avec des organismes de recherche.
Mise à jour CNIL 2026 : ce que change MR-001 et MR-003 pour le secteur médico-social
Le 26 mai 2026, la CNIL a publié les nouvelles versions des méthodologies de référence MR-001 (recherches avec recueil du consentement) et MR-003 (recherches sans recueil du consentement), adoptées par quatre délibérations du 19 mars 2026 et entrées en vigueur le 23 mai 2026.
8 ans après leur dernière refonte, ces référentiels encadrent les traitements de données personnelles mis en œuvre dans le cadre de recherches dans le domaine de la santé.
Pourquoi ce sujet concerne aussi les ESSMS et EHPAD
Un établissement médico-social n’est pas toujours lui-même promoteur de recherche, mais il est très souvent partenaire ou lieu d’investigation : essais cliniques en EHPAD, études en gériatrie, cohortes sur le handicap ou la dépendance, partenariats avec des CHU ou des laboratoires. Dès qu’un établissement héberge une recherche ou y participe, son DPO et son RSSI sont concernés par ces référentiels.
Les évolutions de fond à connaître
Les modifications de fond touchent principalement le champ d’application, les catégories de données, les destinataires, l’information des personnes, la sécurité, les transferts hors UE et le recours aux sous-traitants.
Deux nouvelles annexes accompagnent désormais les MR : une annexe « sécurité » et une annexe « contrôle qualité ».
Calendrier de mise en œuvre à anticiper
| 23 mai 2026 | Entrée en vigueur des nouvelles MR-001/MR-003 et de leurs annexes « sécurité » et « contrôle qualité ». |
| Mai 2027 (au plus tard) | Pour les recherches en cours, mise en œuvre des mesures de l’annexe sécurité dans un délai d’un an. |
| 1er janvier 2027 | Authentification multifacteur obligatoire pour les accès web aux systèmes utilisés dans la recherche. |
| 1er janvier 2028 | Authentification multifacteur étendue aux autres accès (hors web). |
L’annexe « sécurité » reprend et enrichit les précautions élémentaires du guide de la sécurité des données personnelles de la CNIL, dans un contexte où les notifications de violations dans le secteur santé sont passées de 16 en 2018 à 547 en 2024.
L’annexe « contrôle qualité » encadre désormais explicitement le contrôle qualité réalisé à distance (monitoring), une pratique en forte croissance.
Au niveau européen : la grille de lecture du CEPD sur la recherche scientifique
Cette actualité française s’inscrit dans un mouvement plus large au niveau européen. Le 16 avril 2026, le Comité européen de la Protection des Données (CEPD/EDPB) a adopté des lignes directrices sur le traitement des données personnelles à des fins de recherche scientifique. Le CEPD y précise notamment six critères pour qualifier une activité de « recherche scientifique » au sens du RGPD (approche méthodique et systématique, respect de normes éthiques, vérifiabilité et transparence, autonomie, finalités de la recherche, contribution aux connaissances), et clarifie les conditions de réutilisation des données collectées initialement à d’autres fins (consentement large ou dynamique), ainsi que les limites au droit à l’effacement et au droit d’opposition dans un contexte de recherche.
Pour un établissement médico-social impliqué dans une recherche, ce cadre européen et la mise à jour CNIL convergent vers le même message : documenter davantage, sécuriser davantage, et anticiper dès maintenant la mise à jour du registre et de l’AIPD plutôt que d’attendre un contrôle.
À retenir : si votre établissement participe à une recherche en santé (essai clinique, étude, partenariat avec un CHU ou un laboratoire), vérifiez avec votre DPO si la recherche relève de la MR-001 ou de la MR-003, et planifiez la mise à jour de votre registre et de votre AIPD avant mai 2027.
Au-delà de cette actualité, la conformité du secteur médico-social repose sur un socle d’obligations RGPD désormais bien identifié. C’est ce socle qu’il convient de structurer en priorité.
Pourquoi le médico-social concentre les risques RGPD ?
Données intimes et vulnérabilité des usagers : un risque « structurel »
Le secteur médico-social traite des informations qui racontent une vie. Vous gérez des parcours, des dépendances, des handicaps, des fragilités sociales, parfois des violences, des tutelles, des addictions, des évaluations et des orientations. Une grande partie de ces données relève du « caractère personnel » et, très souvent, de catégories dites « sensibles », ce qui augmente le niveau d’exigence.
La vulnérabilité des usagers change aussi la lecture du risque. Un incident n’est pas « qu’un fichier qui fuit ». Il peut déclencher de la stigmatisation, un conflit familial, une perte d’accès à un service, une mise en danger, ou une rupture de prise en charge. C’est pour cela que le RGPD, en pratique, est plus strict dès que les traitements concernent des personnes fragiles ou dépendantes.
Enfin, les données médico-sociales sont rarement isolées. Elles se croisent avec des identifiants, des coordonnées, des informations financières, des dossiers administratifs, et des éléments de santé. Plus vous croisez, plus vous reconstituez une identité complète, donc plus l’impact potentiel augmente.
Multiplication des acteurs et échanges quotidiens : la chaîne s’allonge
Un établissement ou service médico-social n’est pas une « boîte fermée ». Les informations circulent entre professionnels de l’accompagnement, équipes soignantes, direction, RH, intervenants extérieurs, partenaires territoriaux, ARS, conseils départementaux, prestataires, et éditeurs de logiciels métiers.
À chaque échange, vous avez trois questions RGPD à trancher, puis à documenter : qui est responsable, qui est destinataire, et pourquoi la donnée circule. Si l’une des réponses manque, vous créez un risque. Le risque le plus fréquent n’est pas le piratage. C’est l’accès trop large, l’envoi au mauvais contact, le partage non maîtrisé, ou l’absence de procédure quand une personne exerce une opposition, une rectification, ou un accès à son dossier.
Le médico-social cumule aussi des supports. Le papier existe encore. Les échanges par messagerie existent encore. Les fichiers partagés existent encore. Cette hybridation augmente les angles morts, donc les traitements « invisibles » dans le registre et difficiles à sécuriser.
Cadre réglementaire renforcé et contrôles possibles : la conformité doit être prouvée
Le RGPD ne vous demande pas d’être parfait. Il vous demande d’être capable de démontrer vos choix, vos mesures et vos arbitrages. Cette logique de preuve change tout pour les établissements : il ne suffit pas d’avoir de la bonne volonté, il faut des traces.
Concrètement, cela signifie que votre établissement doit pouvoir produire rapidement des réponses cohérentes : registre des traitements à jour, mentions d’information, procédures de gestion des droits, contrats avec les sous-traitants, gestion des habilitations, et politique de conservation. Sans ces preuves, même une organisation sérieuse apparaît fragile lors d’un contrôle ou d’un incident.
La sensibilité des données médico-sociales augmente le risque pour les personnes, donc l’exigence de sécurité et de confidentialité.
La multiplication des acteurs rend indispensables des procédures d’échange, des habilitations et une traçabilité simple.
Le sujet n’est pas « faire du RGPD » : c’est pouvoir prouver vos décisions et vos mesures, rapidement.
Une fois les enjeux posés, clarifions les notions RGPD qui structurent vos décisions.
Comprendre le RGPD en médico-social : définitions utiles et concepts opérables
Données sensibles et traitements à risque : ce que vous manipulez vraiment
Dans le médico-social, la question n’est pas de savoir si vous traitez des données, mais lesquelles, pour quels motifs légitimes, et avec quel niveau de risque. Dès que vous traitez des éléments de santé, de handicap, d’évaluations médico-psychologiques, de situation sociale, ou d’orientation, vous êtes potentiellement dans les catégories particulières de données, avec un régime renforcé. Règlement (UE) 2016/679 (RGPD) sur EUR-Lex
Un traitement à risque n’est pas uniquement un traitement « informatique ». Un classeur accessible à trop de personnes est un risque. Une réunion où l’on projette un dossier nominatif est un risque. Une extraction envoyée à un partenaire sans chiffrement est un risque. Le RGPD s’applique au papier comme au numérique, et votre sécurité doit couvrir les deux.
Les signaux de « risque élevé » en médico-social sont connus : volume important de dossiers, suivi long, publics vulnérables, échanges externes fréquents, dispositifs multi-sites, prestataires nombreux, et usage d’outils métiers connectés. Dès que ces facteurs se cumulent, l’analyse d’impact (AIPD) devient souvent pertinente, parfois indispensable selon le contexte.
Responsable de traitement et sous-traitant : qui décide, qui exécute
Le responsable est l’organisme qui détermine les finalités et les moyens des traitements. Dans un établissement, cela se traduit par des décisions très concrètes : pourquoi collecte-t-on telle information, qui y accède, quels destinataires reçoivent quoi, combien de temps conserve-t-on, et par quel mécanisme d’archivage ou de suppression.
Les sous-traitants sont les prestataires qui traitent des données pour votre compte. Dans le médico-social, cela recouvre typiquement l’hébergement, la maintenance, le logiciel métier, la messagerie, la sauvegarde, l’infogérance, l’externalisation de certains processus administratifs, et parfois des services de numérisation. Votre obligation n’est pas seulement de « signer un contrat ». Vous devez encadrer, vérifier, et documenter des garanties suffisantes, au regard de vos risques.
La frontière se complique quand plusieurs organismes co-décident. Exemple : un dispositif territorial, une plateforme partagée, ou une coordination de parcours. Dans ce cas, vous devez clarifier qui est responsable, qui est co-responsable, et comment les personnes exercent leurs droits. Sans cette clarification, vos réponses deviennent incohérentes, donc contestables.
Flux : Collecte (entretien, dossier, pièces) → Enregistrement (outil métier / papier) → Accès (habilitations, rôles, traçabilité) → Partage (réunions, messagerie, partenaires, financeurs) → Mise à jour (évaluations, notes, rectification) → Archivage (sortie de « base active », archivage intermédiaire) → Suppression ou anonymisation (fin de conservation, décès, opposition recevable selon le cas).
Mini-glossaire opérationnel
- Donnée à caractère personnel : toute information permettant d’identifier une personne, directement ou via un identifiant.
- Finalité : l’objectif concret (accompagner, facturer, sécuriser, évaluer, coordonner).
- Base légale : la justification (obligation légale, mission d’intérêt public, consentement, contrat, intérêts légitimes selon le contexte).
- Habilitations : qui peut accéder à quoi, à quel niveau, et comment on le prouve.
- Violation : destruction, perte, altération, divulgation non autorisée, ou accès non autorisé à des données.
Le médico-social traite fréquemment des catégories particulières de données, donc des traitements à risque.
La question « qui décide quoi » (responsable / sous-traitant) conditionne vos contrats, vos procédures et vos réponses aux personnes.
Le cycle de vie des données doit être maîtrisé jusqu’à l’archivage et la suppression, pas seulement jusqu’à la collecte.
Ces définitions posées, passons aux obligations concrètes qui font la différence lors d’un contrôle ou d’un incident.
RGPD dans le médico-social : les obligations incontournables
Données de santé, sociales et administratives : un niveau de sensibilité élevé
Les ESSMS traitent principalement des données de santé (état médical, traitements, handicaps, dépendance), ainsi que des données sociales et administratives des usagers et de leurs familles. Ces données sensibles exigent une protection renforcée selon le RGPD : minimisation, durée de conservation limitée, et traçabilité des accès.
Registre des traitements et analyses d’impact (AIPD)
Les établissements doivent recenser leurs traitements dans un registre des activités de traitement, et réaliser une analyse d’impact (AIPD) pour les traitements à risque élevé : dossier usager informatisé, vidéosurveillance, géolocalisation des intervenants à domicile, ou recours à des téléservices de santé.
Téléservices de santé : DMP, INS et habilitations
Le recours à des téléservices comme le Dossier Médical Partagé (DMP) ou l’usage de l’Identifiant National de Santé (INS) impose des commissions d’habilitation dédiées et des analyses d’impact spécifiques. Ces habilitations doivent être documentées, limitées dans le temps, et revues régulièrement.
Hébergement des données de santé (HDS)
Les éditeurs de logiciels métiers utilisés par les ESSMS doivent recourir à des hébergeurs certifiés HDS (Hébergeur de Données de Santé). Vérifier cette certification auprès des prestataires fait partie des points de contrôle prioritaires lors d’un audit.
Droits des usagers et des salariés
Les usagers, leurs familles et les salariés disposent de droits d’accès, de rectification et d’opposition. Le secteur médico-social doit prévoir un circuit clair de traitement de ces demandes, en particulier pour les personnes en situation de vulnérabilité (curatelle, tutelle, mineurs accueillis).
Au-delà du cadre juridique, la conformité se joue aussi dans les gestes quotidiens des équipes : pour aller plus loin, consultez notre article sur le rôle et les responsabilités des collaborateurs dans la protection des données en médico-social.
Cycle annuel de conformité RGPD pour un ESSMS
Mise à jour du registre
traitements, sous-traitants, durées de conservation
AIPD des traitements à risque
dossier usager, vidéosurveillance, IA
Audit sécurité & NIS2
habilitations, MFA, PCA/PRA
Sensibilisation des équipes
RGPD, cybersécurité, usages IA
Préparation certification ESSMS
tous les 5 ans, critère RGPD intégré
Ce socle RGPD ne peut plus être dissocié des enjeux de cybersécurité : c’est aujourd’hui le terrain le plus exposé du secteur.
Durées de conservation et archivage maîtrisé : sortir du « on garde au cas où »
La conservation indéfinie est l’erreur la plus coûteuse, parce qu’elle augmente le volume exposé en cas de violation et rend l’accès plus difficile à sécuriser. Dans le médico-social, vous avez souvent une base active (suivi courant), puis un archivage intermédiaire (accès restreint), puis une suppression ou anonymisation.
La difficulté est de concilier continuité d’accompagnement et limitation. La CNIL recommande, dans le cadre de l’accompagnement social et/ou médico-social, une conservation de 2 ans à compter du dernier contact pour certaines données en base active, avant bascule vers une autre logique d’archivage selon vos obligations et votre contexte. L’important est moins le chiffre isolé que votre capacité à démontrer : pourquoi vous conservez, où, avec quelles habilitations, et quand vous supprimez.
Un archivage maîtrisé signifie aussi : une liste d’accès nominative, des habilitations revues, une journalisation lorsque c’est possible, et une procédure de sortie (fin d’accompagnement, décès, contentieux, réorientation). Les données préalablement collectées ne doivent pas rester dans des répertoires partagés accessibles par défaut.
| Types de données | Finalités courantes | Destinataires typiques | Points de vigilance |
|---|---|---|---|
| Identité, coordonnées, identifiant interne | Admission, suivi, facturation, contact aidants | Équipes internes, financeurs selon dossiers | Exactitude, rectification, accès limité |
| Données sociales, évaluations, situation familiale | Accompagnement, orientation, coordination | Partenaires habilités, organismes de tutelle selon cas | Confidentialité, minimisation, traçabilité des échanges |
| Éléments de santé, handicap, dépendance | Soins, accompagnement, prévention, coordination | Professionnels autorisés, prestataires de santé selon parcours | Traitements sensibles, accès « besoin d’en connaître » |
| Données financières et administratives | Gestion, recouvrement, justificatifs, aides | Comptabilité, financeurs, organismes selon dispositifs | Accès restreint, séparation des rôles |
Clauses contractuelles et encadrement des partenaires : réduire le risque en amont
Le médico-social dépend d’un écosystème numérique. Vos sous-traitants deviennent une extension de votre propre conformité. L’enjeu est double : encadrer contractuellement (obligations, assistance, sécurité, notification, audits), et encadrer opérationnellement (droits d’accès, comptes, traçabilité, sorties de contrat, réversibilité).
Le contrat ne suffit pas si votre organisation ne sait pas l’appliquer. Exemple : si l’éditeur doit notifier un incident, vos équipes doivent savoir qui reçoit l’alerte, comment qualifier le risque, et comment documenter. Sans procédure, vous perdez du temps. Et le temps est un facteur critique dès qu’un incident touche des données sensibles.
Un encadrement solide inclut aussi une liste claire des destinataires, la gestion des habilitations côté prestataire, le principe de moindre privilège, et la suppression des accès en fin de mission. Beaucoup de violations commencent par un compte dormant ou un partage non maîtrisé.
Un registre utile est relié à des preuves et à des procédures, pas à un document figé.
Les droits des personnes deviennent gérables avec un mécanisme unique de réception, d’authentification et de traçabilité des réponses.
La conservation se pilote par étapes (base active, archivage, suppression) avec des habilitations plus strictes au fil du temps.
Cybersécurité et NIS2 : sécuriser un secteur fortement exposé
Un secteur particulièrement ciblé par les cyberattaques
Le secteur médico-social est fortement exposé aux cyberattaques : fuites de dossiers médicaux, ransomwares, erreurs humaines. La directive NIS2 impose une vigilance accrue en matière de sécurité numérique, de gestion des habilitations et de sensibilisation des équipes.
Plan de continuité d’activité (PCA/PRA) et « Plan Bleu »
Les ESSMS doivent prévoir une analyse de risque cyber dans le cadre de leur plan de continuité d’activité, souvent formalisé sous l’appellation « Plan Bleu ». Ce plan doit désormais intégrer un volet numérique : que se passe-t-il si le logiciel métier, le dossier usager informatisé ou la messagerie sont indisponibles ?
Le facteur humain : premier risque cyber du secteur
La difficulté pour les soignants de prendre en main les outils numériques et de suivre les procédures informatisées constitue un risque cyber important. La majorité des incidents naissent de gestes ordinaires : export de fichiers, partage par messagerie personnelle, mots de passe faibles ou réutilisés.
| Risque fréquent | Parade prioritaire |
|---|---|
| Comptes sans authentification multifacteur | Généraliser le MFA, notamment pour les accès distants et aux téléservices de santé |
| Habilitations trop larges aux dossiers usagers | Segmenter les accès par profil (soignant, administratif, direction, DPO) |
| Absence de plan de continuité numérique | Intégrer un volet cyber au Plan Bleu / PCA-PRA |
| Hébergeur non certifié HDS | Vérifier la certification HDS de chaque éditeur logiciel |
À ces enjeux RGPD et cyber s’ajoute désormais une troisième dimension, devenue incontournable depuis l’arrivée massive de l’IA générative dans les pratiques professionnelles : l’AI Act.
Usage de l’IA dans le médico-social : confidentialité, souveraineté et AI Act
L’IA générative entre dans les pratiques, parfois sans cadre
Les jeunes collaborateurs utilisent de plus en plus d’outils d’IA générative dans leur quotidien professionnel, y compris pour des tâches impliquant des données sensibles : rédaction de comptes-rendus, synthèses de dossiers, préparation de courriers. Sans cadre, ces usages exposent les données de santé des usagers à des outils non maîtrisés.
Confidentialité et souveraineté des données de santé
L’enjeu n’est pas seulement réglementaire : il touche à la confidentialité et à la souveraineté des données de santé. Avant toute soumission de contenu à une IA, la règle est simple : si l’information ne serait pas envoyée dans un e-mail transférable sans risque, elle ne doit pas être soumise à une IA non validée par l’établissement.
Ce que l’AI Act implique pour les ESSMS
La réglementation européenne (AI Act) impose d’encadrer la conformité des usages de l’IA, leur transparence, et la protection des données sensibles qu’ils traitent. Pour un ESSMS, cela se traduit concrètement par : l’identification des usages d’IA dans les processus (planification des soins, aide à la rédaction, outils de diagnostic ou de tri), une analyse du niveau de risque selon la classification de l’AI Act, et la mise en place de règles d’usage validées pour les équipes.
Bonne pratique : établissez une liste d’outils IA autorisés, un modèle d’anonymisation simple pour les données d’usagers, et un canal de validation rapide pour toute nouvelle pratique IA identifiée sur le terrain.
Reste une question : comment ces trois piliers — RGPD, cyber, IA — se traduisent-ils concrètement dans le calendrier des audits et certifications du secteur ?
Certifications et audits : ESSMS, HAS, ARS
La certification ESSMS intègre désormais la conformité RGPD
La certification ESSMS, obligatoire tous les 5 ans, intègre la conformité RGPD comme critère majeur. Le référentiel et le manuel d’évaluation de la HAS structurent cette démarche autour de 9 thématiques et 157 critères d’évaluation, dont 18 critères « impératifs » qui imposent des actions correctives immédiates si non satisfaits. Un registre des traitements à jour, des AIPD réalisées sur les traitements à risque, et une politique de sécurité documentée constituent la base attendue par les évaluateurs.
La méthode de « l’accompagné traceur » : un traitement de données à documenter
Le chapitre 1 du référentiel HAS repose sur la méthode de « l’accompagné traceur » : un échange direct avec une personne accompagnée puis avec les professionnels qui l’entourent. Ce processus génère lui-même des données personnelles, parfois sensibles (état de santé, situation sociale), retranscrites par l’organisme évaluateur dans la plateforme Synaé.
La HAS a publié en septembre 2025 une fiche pratique sur la protection des données à caractère personnel dans le dispositif d’évaluation, qui précise les responsabilités respectives de l’ESSMS, de l’organisme évaluateur et de la HAS, et rappelle plusieurs bonnes pratiques attendues lors d’une visite d’évaluation.
Ce que la HAS attend concrètement lors d’une évaluation :
— Pseudonymisation des données retranscrites dans les commentaires et éléments de preuve (chapitre 1).
— Aucune donnée directement ou indirectement identifiante (nom, genre, numéro de sécurité sociale, établissement partenaire nommément cité).
— Accès des évaluateurs aux projets personnalisés uniquement via un professionnel habilité, sans consultation autonome ni sortie de documents de l’établissement.
— Toute utilisation de l’IA par l’organisme évaluateur doit être mentionnée dans le rapport d’évaluation, par souci de transparence.
Pour un ESSMS, cette fiche pratique a une conséquence directe : préparer une évaluation, c’est aussi préparer ses équipes à encadrer le périmètre d’accès des évaluateurs, au même titre qu’on encadrerait celui d’un sous-traitant. C’est un point à intégrer dans le registre des traitements, au titre des « destinataires » de données.
Audits HAS et ARS : un contrôle renforcé sur le numérique
Les audits de la Haute Autorité de Santé (HAS) et des Agences Régionales de Santé (ARS) se renforcent sur la partie cybersécurité et conformité, et conditionnent la poursuite des activités, notamment dans le secteur associatif. Ces audits portent une attention croissante aux habilitations, à la traçabilité des accès et aux plans de continuité.
Multiplicité des acteurs : soignants, administratifs, bénévoles
La multiplicité des acteurs intervenant dans un ESSMS — soignants, administratifs, intervenants externes, bénévoles, mais aussi organismes évaluateurs externes — nécessite une gestion fine des habilitations et un registre RGPD médico-social qui reflète cette réalité de terrain, pas une simple liste théorique de traitements.
Comment préparer son audit ?
Schéma — Préparer un audit CNIL, HAS ou ARS en 5 étapes
Au regard de ces obligations croisées, beaucoup d’établissements se demandent par où commencer concrètement. La FAQ ci-dessous répond aux questions les plus fréquentes posées par les directions et les DPO du secteur.
Pour piloter ces cinq étapes au quotidien sans vous reposer sur des fichiers dispersés, découvrez comment un logiciel RGPD adapté au médico-social centralise registre, AIPD, habilitations et preuves, avec le logiciel RGPD Simply.
FAQ : RGPD, cybersécurité et IA dans le médico-social
Quelles données sont considérées comme sensibles dans un établissement médico-social ?
Les ESSMS traitent principalement des données de santé (état médical, traitements, handicaps, dépendance) ainsi que des données sociales et administratives des usagers. Ces données exigent une protection renforcée selon le RGPD : minimisation, accès limité et traçabilité.
Un EHPAD doit-il nommer un DPO ?
Oui. Le traitement de données de santé à grande échelle rend la désignation d’un délégué à la protection des données (DPO) obligatoire, qu’il soit interne, externe ou mutualisé entre plusieurs établissements.
Que change la mise à jour CNIL de mai 2026 (MR-001/MR-003) pour les ESSMS ?
Ces référentiels concernent les établissements impliqués dans des recherches en santé (essais cliniques, études, partenariats avec un CHU). Les nouvelles versions, en vigueur depuis le 23 mai 2026, renforcent les exigences de sécurité et de contrôle qualité, avec un délai de mise en conformité pouvant aller jusqu’à mai 2027 pour les recherches en cours.
Comment sécuriser l’usage de l’IA générative par les équipes ?
En définissant une liste d’outils autorisés, en formant les équipes à l’anonymisation des données avant tout usage d’une IA, et en s’appuyant sur la classification de risque de l’AI Act pour les outils utilisés dans les processus de soin ou d’accompagnement.
Quels sont les risques en cas de non-conformité RGPD dans le médico-social ?
Au-delà des sanctions financières de la CNIL, la non-conformité expose à un échec de certification ESSMS, à des réserves lors des audits HAS/ARS, et à un risque accru de violation de données dans un secteur déjà fortement ciblé par les cyberattaques.
Les évaluateurs HAS ont-ils accès au dossier usager pendant une évaluation ESSMS ?
Oui, mais de façon encadrée : selon la fiche pratique HAS de septembre 2025, l’accès doit passer par un professionnel habilité, se limiter aux informations strictement nécessaires à l’évaluation, et aucun document ne doit être consulté en autonomie ou sorti de l’établissement. Les données retranscrites dans le rapport doivent être pseudonymisées.
Par où commencer pour structurer sa conformité ?
Par un état des lieux du registre des traitements et des habilitations, suivi d’une priorisation des AIPD sur les traitements les plus sensibles (dossier usager, téléservices de santé, vidéosurveillance), avant d’adresser les volets cybersécurité (MFA, PCA) et IA.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
En résumé
La conformité RGPD, cybersécurité et IA dans le médico-social s’articule autour de trois piliers indissociables : protection des données de santé et sociales des usagers, sécurisation des systèmes d’information face aux ransomwares dans le cadre de NIS2, et encadrement des usages de l’IA selon l’AI Act. Le point réglementaire clé en 2026 est la mise à jour des méthodologies de référence MR-001 et MR-003 par la CNIL, applicable depuis le 23 mai 2026 aux établissements impliqués dans la recherche en santé. La bonne pratique essentielle reste la mise à jour régulière du registre des traitements et des AIPD, en lien avec les certifications ESSMS et les audits HAS/ARS. Ce guide permet aux directions et DPO du secteur de prioriser leurs actions et de structurer un plan de mise en conformité réaliste pour 2026-2027.
Sources
- CNIL – Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003
- CNIL – Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- HAS – Évaluation des ESSMS : référentiel et manuel
- HAS – Fiche pratique : la protection des données à caractère personnel dans le dispositif d’évaluation de la qualité des ESSMS
- MDP Data Protection – Conformité RGPD en médico-social : rôle, responsabilités et bonnes pratiques des collaborateurs
- MDP Data Protection – NIS2 et cybersécurité : obligations et actions clés pour les organisations en 2026
Pour aller plus loin
- CNIL - Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection - Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Méthode : le Continuous Compliance Operating System - CCOS
Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.
