[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/guide-rgpd-cybersecurite-ia-secteur-medico-social\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/guide-rgpd-cybersecurite-ia-secteur-medico-social\/","headline":"Conformit\u00e9 RGPD, cybers\u00e9curit\u00e9 et IA dans le m\u00e9dico-social : le guide 2026","name":"Conformit\u00e9 RGPD, cybers\u00e9curit\u00e9 et IA dans le m\u00e9dico-social : le guide 2026","description":"Comment un ESSMS, un EHPAD ou une association m\u00e9dico-sociale peut-il piloter sa conformit\u00e9 en 2026 ? \n\nCet article centralise les trois piliers indissociables :  RGPD, cybers\u00e9curit\u00e9\/NIS2 et AI Act,  et int\u00e8gre les derni\u00e8res \u00e9volutions r\u00e9glementaires : mise \u00e0 jour CNIL des m\u00e9thodologies MR-001\/MR-003 pour la recherche en sant\u00e9, lignes directrices du CEPD sur la recherche scientifique, et exigences HAS sur la protection des donn\u00e9es dans le dispositif d'\u00e9valuation des ESSMS. \n\nUn point de passage oblig\u00e9 pour les directions et DPO du secteur avant leurs prochains audits et certifications.","datePublished":"2026-06-17","dateModified":"2026-06-15","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/06\/rgpd_medico_social_conformite_cybersecurite_ia_2026-1.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/06\/rgpd_medico_social_conformite_cybersecurite_ia_2026-1.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/guide-rgpd-cybersecurite-ia-secteur-medico-social\/","about":["M\u00e9dico-social"],"wordCount":5784,"keywords":["CNIL","Conformit\u00e9 RGPD","donn\u00e9es de sant\u00e9","EHPAD","ESSMS","HAS","logiciel RGPD m\u00e9dico-social","Protection Des Donn\u00e9es"],"articleBody":"En 2025, la CNIL a re\u00e7u 20 150 plaintes et 6 167 notifications de violation de donn\u00e9es personnelles : le volume seul suffit \u00e0 comprendre pourquoi le m\u00e9dico-social ne peut plus \u00ab faire au mieux \u00bb. Comment un ESSMS, un EHPAD ou une association m\u00e9dico-sociale peut-il piloter sa conformit\u00e9 RGPD, cybers\u00e9curit\u00e9 et IA en 2026 ? SommaireToggleMise \u00e0 jour CNIL 2026 : ce que change MR-001 et MR-003 pour le secteur m\u00e9dico-socialPourquoi le m\u00e9dico-social concentre les risques RGPD ?Comprendre le RGPD en m\u00e9dico-social : d\u00e9finitions utiles et concepts op\u00e9rablesRGPD dans le m\u00e9dico-social : les obligations incontournablesCybers\u00e9curit\u00e9 et NIS2 : s\u00e9curiser un secteur fortement expos\u00e9Usage de l’IA dans le m\u00e9dico-social : confidentialit\u00e9, souverainet\u00e9 et AI ActCertifications et audits : ESSMS, HAS, ARSComment pr\u00e9parer son audit ?FAQ : RGPD, cybers\u00e9curit\u00e9 et IA dans le m\u00e9dico-socialEn r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System – CCOS\u00c0 propos de l’auteurLa r\u00e9ponse tient en 3 piliers :s\u00e9curiser les donn\u00e9es de sant\u00e9 selon les obligations RGPD et NIS2, encadrer les usages de l’IA, et,  anticiper les nouvelles exigences CNIL applicables \u00e0 la recherche en sant\u00e9 depuis le 23 mai 2026.Notre m\u00e9thode de conformit\u00e9 continue aide \u00e0 sortir du d\u00e9claratif pour piloter, prouver et maintenir la conformit\u00e9 au quotidien, au plus pr\u00e8s des activit\u00e9s d\u2019accompagnement. Cet article centralise les obligations, les audits \u00e0 anticiper et les bonnes pratiques sectorielles.L’essentiel en 30 secondes1) Le RGPD encadre les donn\u00e9es de sant\u00e9, sociales et administratives des usagers et impose registre de traitements, AIPD et habilitations strictes.2) La directive NIS2 et les audits HAS\/ARS renforcent les exigences de cybers\u00e9curit\u00e9 et de plan de continuit\u00e9 (PCA\/PRA).3) L’AI Act encadre les usages de l’IA g\u00e9n\u00e9rative et des outils num\u00e9riques sur les donn\u00e9es de sant\u00e9.4) Depuis le 23 mai 2026, la CNIL a mis \u00e0 jour les m\u00e9thodologies de r\u00e9f\u00e9rence MR-001 et MR-003 pour la recherche en sant\u00e9 : un signal fort pour structurer d\u00e8s maintenant sa documentation (registre, AIPD, s\u00e9curit\u00e9).Pour les \u00c9tablissements et Services Sociaux et M\u00e9dico-Sociaux (ESSMS), EHPAD, associations du secteur du handicap, de la protection de l’enfance ou de l’aide \u00e0 domicile, la conformit\u00e9 RGPD n’est plus une simple case \u00e0 cocher : elle conditionne la tenue du registre des traitements, la r\u00e9ussite des audits HAS\/ARS, et de plus en plus, la capacit\u00e9 \u00e0 utiliser des outils d’IA sans exposer les donn\u00e9es de sant\u00e9 des usagers.Ce guide r\u00e9unit dans une vision d’ensemble les 3 couches r\u00e9glementaires qui s’appliquent d\u00e9sormais au secteur m\u00e9dico-social : le RGPD : c\u0153ur de la conformit\u00e9 des donn\u00e9es de sant\u00e9, la cybers\u00e9curit\u00e9 et NIS2 : pour la s\u00e9curisation des syst\u00e8mes d’information et plans de continuit\u00e9,   l‘AI Act : pour l’encadrement des usages de l’Intelligence Artificielle. Il int\u00e8gre \u00e9galement l’actualit\u00e9 r\u00e9glementaire de 2026, notamment la mise \u00e0 jour des m\u00e9thodologies de r\u00e9f\u00e9rence MR-001 et MR-003 par la CNIL.Les 3 piliers de la conformit\u00e9 num\u00e9rique en m\u00e9dico-socialRGPDRegistre des traitements, AIPD, droits des usagers, donn\u00e9es de sant\u00e9, h\u00e9bergement HDS, sous-traitants.Cybers\u00e9curit\u00e9 & NIS2S\u00e9curisation des acc\u00e8s, MFA, plan de continuit\u00e9 (PCA\/PRA), gestion des incidents et ransomwares.AI ActCadrage des usages IA sur donn\u00e9es sensibles, transparence, souverainet\u00e9 et confidentialit\u00e9.Les trois piliers convergent vers un m\u00eame objectif : prouver, \u00e0 tout moment, que les donn\u00e9es des usagers, des r\u00e9sidents et des salari\u00e9s sont prot\u00e9g\u00e9es et trac\u00e9es.Avant d’entrer dans le d\u00e9tail des obligations, un point d’actualit\u00e9 s’impose : la CNIL vient de faire \u00e9voluer un cadre directement structurant pour les \u00e9tablissements engag\u00e9s dans des activit\u00e9s de recherche en sant\u00e9 ou de partenariat avec des organismes de recherche.Mise \u00e0 jour CNIL 2026 : ce que change MR-001 et MR-003 pour le secteur m\u00e9dico-socialLe 26 mai 2026, la CNIL a publi\u00e9 les nouvelles versions des m\u00e9thodologies de r\u00e9f\u00e9rence MR-001 (recherches avec recueil du consentement) et MR-003 (recherches sans recueil du consentement), adopt\u00e9es par quatre d\u00e9lib\u00e9rations du 19 mars 2026 et entr\u00e9es en vigueur le 23 mai 2026. 8 ans apr\u00e8s leur derni\u00e8re refonte, ces r\u00e9f\u00e9rentiels encadrent les traitements de donn\u00e9es personnelles mis en \u0153uvre dans le cadre de recherches dans le domaine de la sant\u00e9.Les nouvelles versions des r\u00e9f\u00e9rentiels CNIL MR-001 et MR-003 renforcent les exigences relatives \u00e0 la s\u00e9curit\u00e9, \u00e0 la conformit\u00e9 et au contr\u00f4le qualit\u00e9 des recherches en sant\u00e9.Pourquoi ce sujet concerne aussi les ESSMS et EHPADUn \u00e9tablissement m\u00e9dico-social n’est pas toujours lui-m\u00eame promoteur de recherche, mais il est tr\u00e8s souvent partenaire ou lieu d’investigation : essais cliniques en EHPAD, \u00e9tudes en g\u00e9riatrie, cohortes sur le handicap ou la d\u00e9pendance, partenariats avec des CHU ou des laboratoires. D\u00e8s qu’un \u00e9tablissement h\u00e9berge une recherche ou y participe, son DPO et son RSSI sont concern\u00e9s par ces r\u00e9f\u00e9rentiels.Les \u00e9volutions de fond \u00e0 conna\u00eetreLes modifications de fond touchent principalement le champ d’application, les cat\u00e9gories de donn\u00e9es, les destinataires, l’information des personnes, la s\u00e9curit\u00e9, les transferts hors UE et le recours aux sous-traitants. Deux nouvelles annexes accompagnent d\u00e9sormais les MR : une annexe \u00ab s\u00e9curit\u00e9 \u00bb et une annexe \u00ab contr\u00f4le qualit\u00e9 \u00bb.Calendrier de mise en \u0153uvre \u00e0 anticiper23 mai 2026Entr\u00e9e en vigueur des nouvelles MR-001\/MR-003 et de leurs annexes \u00ab s\u00e9curit\u00e9 \u00bb et \u00ab contr\u00f4le qualit\u00e9 \u00bb.Mai 2027 (au plus tard)Pour les recherches en cours, mise en \u0153uvre des mesures de l’annexe s\u00e9curit\u00e9 dans un d\u00e9lai d’un an.1er janvier 2027Authentification multifacteur obligatoire pour les acc\u00e8s web aux syst\u00e8mes utilis\u00e9s dans la recherche.1er janvier 2028Authentification multifacteur \u00e9tendue aux autres acc\u00e8s (hors web).L’annexe \u00ab s\u00e9curit\u00e9 \u00bb reprend et enrichit les pr\u00e9cautions \u00e9l\u00e9mentaires du guide de la s\u00e9curit\u00e9 des donn\u00e9es personnelles de la CNIL, dans un contexte o\u00f9 les notifications de violations dans le secteur sant\u00e9 sont pass\u00e9es de 16 en 2018 \u00e0 547 en 2024. L’annexe \u00ab contr\u00f4le qualit\u00e9 \u00bb encadre d\u00e9sormais explicitement le contr\u00f4le qualit\u00e9 r\u00e9alis\u00e9 \u00e0 distance (monitoring), une pratique en forte croissance.Au niveau europ\u00e9en : la grille de lecture du CEPD sur la recherche scientifiqueCette actualit\u00e9 fran\u00e7aise s’inscrit dans un mouvement plus large au niveau europ\u00e9en. Le 16 avril 2026, le Comit\u00e9 europ\u00e9en de la Protection des Donn\u00e9es (CEPD\/EDPB) a adopt\u00e9 des lignes directrices sur le traitement des donn\u00e9es personnelles \u00e0 des fins de recherche scientifique. Le CEPD y pr\u00e9cise notamment six crit\u00e8res pour qualifier une activit\u00e9 de \u00ab recherche scientifique \u00bb au sens du RGPD (approche m\u00e9thodique et syst\u00e9matique, respect de normes \u00e9thiques, v\u00e9rifiabilit\u00e9 et transparence, autonomie, finalit\u00e9s de la recherche, contribution aux connaissances), et clarifie les conditions de r\u00e9utilisation des donn\u00e9es collect\u00e9es initialement \u00e0 d’autres fins (consentement large ou dynamique), ainsi que les limites au droit \u00e0 l’effacement et au droit d’opposition dans un contexte de recherche.Pour un \u00e9tablissement m\u00e9dico-social impliqu\u00e9 dans une recherche, ce cadre europ\u00e9en et la mise \u00e0 jour CNIL convergent vers le m\u00eame message : documenter davantage, s\u00e9curiser davantage, et anticiper d\u00e8s maintenant la mise \u00e0 jour du registre et de l’AIPD plut\u00f4t que d’attendre un contr\u00f4le.\u00c0 retenir : si votre \u00e9tablissement participe \u00e0 une recherche en sant\u00e9 (essai clinique, \u00e9tude, partenariat avec un CHU ou un laboratoire), v\u00e9rifiez avec votre DPO si la recherche rel\u00e8ve de la MR-001 ou de la MR-003, et planifiez la mise \u00e0 jour de votre registre et de votre AIPD avant mai 2027.Au-del\u00e0 de cette actualit\u00e9, la conformit\u00e9 du secteur m\u00e9dico-social repose sur un socle d’obligations RGPD d\u00e9sormais bien identifi\u00e9. C’est ce socle qu’il convient de structurer en priorit\u00e9.Le RGPD, la cybers\u00e9curit\u00e9 NIS2 et l\u2019AI Act forment trois piliers essentiels de la conformit\u00e9 num\u00e9rique dans le secteur m\u00e9dico-social.Pourquoi le m\u00e9dico-social concentre les risques RGPD ?Donn\u00e9es intimes et vuln\u00e9rabilit\u00e9 des usagers : un risque \u00ab structurel \u00bbLe secteur m\u00e9dico-social traite des informations qui racontent une vie. Vous g\u00e9rez des parcours, des d\u00e9pendances, des handicaps, des fragilit\u00e9s sociales, parfois des violences, des tutelles, des addictions, des \u00e9valuations et des orientations. Une grande partie de ces donn\u00e9es rel\u00e8ve du \u00ab caract\u00e8re personnel \u00bb et, tr\u00e8s souvent, de cat\u00e9gories dites \u00ab sensibles \u00bb, ce qui augmente le niveau d\u2019exigence.La vuln\u00e9rabilit\u00e9 des usagers change aussi la lecture du risque. Un incident n\u2019est pas \u00ab qu\u2019un fichier qui fuit \u00bb. Il peut d\u00e9clencher de la stigmatisation, un conflit familial, une perte d\u2019acc\u00e8s \u00e0 un service, une mise en danger, ou une rupture de prise en charge. C\u2019est pour cela que le RGPD, en pratique, est plus strict d\u00e8s que les traitements concernent des personnes fragiles ou d\u00e9pendantes.Enfin, les donn\u00e9es m\u00e9dico-sociales sont rarement isol\u00e9es. Elles se croisent avec des identifiants, des coordonn\u00e9es, des informations financi\u00e8res, des dossiers administratifs, et des \u00e9l\u00e9ments de sant\u00e9. Plus vous croisez, plus vous reconstituez une identit\u00e9 compl\u00e8te, donc plus l\u2019impact potentiel augmente.Multiplication des acteurs et \u00e9changes quotidiens : la cha\u00eene s\u2019allongeUn \u00e9tablissement ou service m\u00e9dico-social n\u2019est pas une \u00ab bo\u00eete ferm\u00e9e \u00bb. Les informations circulent entre professionnels de l\u2019accompagnement, \u00e9quipes soignantes, direction, RH, intervenants ext\u00e9rieurs, partenaires territoriaux, ARS, conseils d\u00e9partementaux, prestataires, et \u00e9diteurs de logiciels m\u00e9tiers.\u00c0 chaque \u00e9change, vous avez trois questions RGPD \u00e0 trancher, puis \u00e0 documenter : qui est responsable, qui est destinataire, et pourquoi la donn\u00e9e circule. Si l\u2019une des r\u00e9ponses manque, vous cr\u00e9ez un risque. Le risque le plus fr\u00e9quent n\u2019est pas le piratage. C\u2019est l\u2019acc\u00e8s trop large, l\u2019envoi au mauvais contact, le partage non ma\u00eetris\u00e9, ou l\u2019absence de proc\u00e9dure quand une personne exerce une opposition, une rectification, ou un acc\u00e8s \u00e0 son dossier.Le m\u00e9dico-social cumule aussi des supports. Le papier existe encore. Les \u00e9changes par messagerie existent encore. Les fichiers partag\u00e9s existent encore. Cette hybridation augmente les angles morts, donc les traitements \u00ab invisibles \u00bb dans le registre et difficiles \u00e0 s\u00e9curiser.Cadre r\u00e9glementaire renforc\u00e9 et contr\u00f4les possibles : la conformit\u00e9 doit \u00eatre prouv\u00e9eLe RGPD ne vous demande pas d\u2019\u00eatre parfait. Il vous demande d\u2019\u00eatre capable de d\u00e9montrer vos choix, vos mesures et vos arbitrages. Cette logique de preuve change tout pour les \u00e9tablissements : il ne suffit pas d\u2019avoir de la bonne volont\u00e9, il faut des traces.Concr\u00e8tement, cela signifie que votre \u00e9tablissement doit pouvoir produire rapidement des r\u00e9ponses coh\u00e9rentes : registre des traitements \u00e0 jour, mentions d\u2019information, proc\u00e9dures de gestion des droits, contrats avec les sous-traitants, gestion des habilitations, et politique de conservation. Sans ces preuves, m\u00eame une organisation s\u00e9rieuse appara\u00eet fragile lors d\u2019un contr\u00f4le ou d\u2019un incident.\u00c0 retenirLa sensibilit\u00e9 des donn\u00e9es m\u00e9dico-sociales augmente le risque pour les personnes, donc l\u2019exigence de s\u00e9curit\u00e9 et de confidentialit\u00e9.La multiplication des acteurs rend indispensables des proc\u00e9dures d\u2019\u00e9change, des habilitations et une tra\u00e7abilit\u00e9 simple.Le sujet n\u2019est pas \u00ab faire du RGPD \u00bb : c\u2019est pouvoir prouver vos d\u00e9cisions et vos mesures, rapidement.Une fois les enjeux pos\u00e9s, clarifions les notions RGPD qui structurent vos d\u00e9cisions.Comprendre le RGPD en m\u00e9dico-social : d\u00e9finitions utiles et concepts op\u00e9rablesDonn\u00e9es sensibles et traitements \u00e0 risque : ce que vous manipulez vraimentDans le m\u00e9dico-social, la question n\u2019est pas de savoir si vous traitez des donn\u00e9es, mais lesquelles, pour quels motifs l\u00e9gitimes, et avec quel niveau de risque. D\u00e8s que vous traitez des \u00e9l\u00e9ments de sant\u00e9, de handicap, d\u2019\u00e9valuations m\u00e9dico-psychologiques, de situation sociale, ou d\u2019orientation, vous \u00eates potentiellement dans les cat\u00e9gories particuli\u00e8res de donn\u00e9es, avec un r\u00e9gime renforc\u00e9. R\u00e8glement (UE) 2016\/679 (RGPD) sur EUR-LexUn traitement \u00e0 risque n\u2019est pas uniquement un traitement \u00ab informatique \u00bb. Un classeur accessible \u00e0 trop de personnes est un risque. Une r\u00e9union o\u00f9 l\u2019on projette un dossier nominatif est un risque. Une extraction envoy\u00e9e \u00e0 un partenaire sans chiffrement est un risque. Le RGPD s\u2019applique au papier comme au num\u00e9rique, et votre s\u00e9curit\u00e9 doit couvrir les deux.Les signaux de \u00ab risque \u00e9lev\u00e9 \u00bb en m\u00e9dico-social sont connus : volume important de dossiers, suivi long, publics vuln\u00e9rables, \u00e9changes externes fr\u00e9quents, dispositifs multi-sites, prestataires nombreux, et usage d\u2019outils m\u00e9tiers connect\u00e9s. D\u00e8s que ces facteurs se cumulent, l\u2019analyse d\u2019impact (AIPD) devient souvent pertinente, parfois indispensable selon le contexte.Responsable de traitement et sous-traitant : qui d\u00e9cide, qui ex\u00e9cuteLe responsable est l\u2019organisme qui d\u00e9termine les finalit\u00e9s et les moyens des traitements. Dans un \u00e9tablissement, cela se traduit par des d\u00e9cisions tr\u00e8s concr\u00e8tes : pourquoi collecte-t-on telle information, qui y acc\u00e8de, quels destinataires re\u00e7oivent quoi, combien de temps conserve-t-on, et par quel m\u00e9canisme d\u2019archivage ou de suppression.Les sous-traitants sont les prestataires qui traitent des donn\u00e9es pour votre compte. Dans le m\u00e9dico-social, cela recouvre typiquement l\u2019h\u00e9bergement, la maintenance, le logiciel m\u00e9tier, la messagerie, la sauvegarde, l\u2019infog\u00e9rance, l\u2019externalisation de certains processus administratifs, et parfois des services de num\u00e9risation. Votre obligation n\u2019est pas seulement de \u00ab signer un contrat \u00bb. Vous devez encadrer, v\u00e9rifier, et documenter des garanties suffisantes, au regard de vos risques.La fronti\u00e8re se complique quand plusieurs organismes co-d\u00e9cident. Exemple : un dispositif territorial, une plateforme partag\u00e9e, ou une coordination de parcours. Dans ce cas, vous devez clarifier qui est responsable, qui est co-responsable, et comment les personnes exercent leurs droits. Sans cette clarification, vos r\u00e9ponses deviennent incoh\u00e9rentes, donc contestables.Flux : Collecte (entretien, dossier, pi\u00e8ces) \u2192 Enregistrement (outil m\u00e9tier \/ papier) \u2192 Acc\u00e8s (habilitations, r\u00f4les, tra\u00e7abilit\u00e9) \u2192 Partage (r\u00e9unions, messagerie, partenaires, financeurs) \u2192 Mise \u00e0 jour (\u00e9valuations, notes, rectification) \u2192 Archivage (sortie de \u00ab base active \u00bb, archivage interm\u00e9diaire) \u2192 Suppression ou anonymisation (fin de conservation, d\u00e9c\u00e8s, opposition recevable selon le cas).Mini-glossaire op\u00e9rationnelDonn\u00e9e \u00e0 caract\u00e8re personnel : toute information permettant d\u2019identifier une personne, directement ou via un identifiant.Finalit\u00e9 : l\u2019objectif concret (accompagner, facturer, s\u00e9curiser, \u00e9valuer, coordonner).Base l\u00e9gale : la justification (obligation l\u00e9gale, mission d\u2019int\u00e9r\u00eat public, consentement, contrat, int\u00e9r\u00eats l\u00e9gitimes selon le contexte).Habilitations : qui peut acc\u00e9der \u00e0 quoi, \u00e0 quel niveau, et comment on le prouve.Violation : destruction, perte, alt\u00e9ration, divulgation non autoris\u00e9e, ou acc\u00e8s non autoris\u00e9 \u00e0 des donn\u00e9es.\u00c0 retenirLe m\u00e9dico-social traite fr\u00e9quemment des cat\u00e9gories particuli\u00e8res de donn\u00e9es, donc des traitements \u00e0 risque.La question \u00ab qui d\u00e9cide quoi \u00bb (responsable \/ sous-traitant) conditionne vos contrats, vos proc\u00e9dures et vos r\u00e9ponses aux personnes.Le cycle de vie des donn\u00e9es doit \u00eatre ma\u00eetris\u00e9 jusqu\u2019\u00e0 l\u2019archivage et la suppression, pas seulement jusqu\u2019\u00e0 la collecte.Ces d\u00e9finitions pos\u00e9es, passons aux obligations concr\u00e8tes qui font la diff\u00e9rence lors d\u2019un contr\u00f4le ou d\u2019un incident.RGPD dans le m\u00e9dico-social : les obligations incontournablesDonn\u00e9es de sant\u00e9, sociales et administratives : un niveau de sensibilit\u00e9 \u00e9lev\u00e9Les ESSMS traitent principalement des donn\u00e9es de sant\u00e9 (\u00e9tat m\u00e9dical, traitements, handicaps, d\u00e9pendance), ainsi que des donn\u00e9es sociales et administratives des usagers et de leurs familles. Ces donn\u00e9es sensibles exigent une protection renforc\u00e9e selon le RGPD : minimisation, dur\u00e9e de conservation limit\u00e9e, et tra\u00e7abilit\u00e9 des acc\u00e8s.Registre des traitements et analyses d’impact (AIPD)Les \u00e9tablissements doivent recenser leurs traitements dans un registre des activit\u00e9s de traitement, et r\u00e9aliser une analyse d’impact (AIPD) pour les traitements \u00e0 risque \u00e9lev\u00e9 : dossier usager informatis\u00e9, vid\u00e9osurveillance, g\u00e9olocalisation des intervenants \u00e0 domicile, ou recours \u00e0 des t\u00e9l\u00e9services de sant\u00e9.T\u00e9l\u00e9services de sant\u00e9 : DMP, INS et habilitationsLe recours \u00e0 des t\u00e9l\u00e9services comme le Dossier M\u00e9dical Partag\u00e9 (DMP) ou l’usage de l’Identifiant National de Sant\u00e9 (INS) impose des commissions d’habilitation d\u00e9di\u00e9es et des analyses d’impact sp\u00e9cifiques. Ces habilitations doivent \u00eatre document\u00e9es, limit\u00e9es dans le temps, et revues r\u00e9guli\u00e8rement.H\u00e9bergement des donn\u00e9es de sant\u00e9 (HDS)Les \u00e9diteurs de logiciels m\u00e9tiers utilis\u00e9s par les ESSMS doivent recourir \u00e0 des h\u00e9bergeurs certifi\u00e9s HDS (H\u00e9bergeur de Donn\u00e9es de Sant\u00e9). V\u00e9rifier cette certification aupr\u00e8s des prestataires fait partie des points de contr\u00f4le prioritaires lors d’un audit.Droits des usagers et des salari\u00e9sLes usagers, leurs familles et les salari\u00e9s disposent de droits d’acc\u00e8s, de rectification et d’opposition. Le secteur m\u00e9dico-social doit pr\u00e9voir un circuit clair de traitement de ces demandes, en particulier pour les personnes en situation de vuln\u00e9rabilit\u00e9 (curatelle, tutelle, mineurs accueillis).Au-del\u00e0 du cadre juridique, la conformit\u00e9 se joue aussi dans les gestes quotidiens des \u00e9quipes : pour aller plus loin, consultez notre article sur le r\u00f4le et les responsabilit\u00e9s des collaborateurs dans la protection des donn\u00e9es en m\u00e9dico-social.Cycle annuel de conformit\u00e9 RGPD pour un ESSMS1Mise \u00e0 jour du registretraitements, sous-traitants, dur\u00e9es de conservation2AIPD des traitements \u00e0 risquedossier usager, vid\u00e9osurveillance, IA3Audit s\u00e9curit\u00e9 & NIS2habilitations, MFA, PCA\/PRA4Sensibilisation des \u00e9quipesRGPD, cybers\u00e9curit\u00e9, usages IA5Pr\u00e9paration certification ESSMStous les 5 ans, crit\u00e8re RGPD int\u00e9gr\u00e9Ce socle RGPD ne peut plus \u00eatre dissoci\u00e9 des enjeux de cybers\u00e9curit\u00e9 : c’est aujourd’hui le terrain le plus expos\u00e9 du secteur.Dur\u00e9es de conservation et archivage ma\u00eetris\u00e9 : sortir du \u00ab on garde au cas o\u00f9 \u00bbLa conservation ind\u00e9finie est l\u2019erreur la plus co\u00fbteuse, parce qu\u2019elle augmente le volume expos\u00e9 en cas de violation et rend l\u2019acc\u00e8s plus difficile \u00e0 s\u00e9curiser. Dans le m\u00e9dico-social, vous avez souvent une base active (suivi courant), puis un archivage interm\u00e9diaire (acc\u00e8s restreint), puis une suppression ou anonymisation.La difficult\u00e9 est de concilier continuit\u00e9 d\u2019accompagnement et limitation. La CNIL recommande, dans le cadre de l\u2019accompagnement social et\/ou m\u00e9dico-social, une conservation de 2 ans \u00e0 compter du dernier contact pour certaines donn\u00e9es en base active, avant bascule vers une autre logique d\u2019archivage selon vos obligations et votre contexte. L\u2019important est moins le chiffre isol\u00e9 que votre capacit\u00e9 \u00e0 d\u00e9montrer : pourquoi vous conservez, o\u00f9, avec quelles habilitations, et quand vous supprimez.Un archivage ma\u00eetris\u00e9 signifie aussi : une liste d\u2019acc\u00e8s nominative, des habilitations revues, une journalisation lorsque c\u2019est possible, et une proc\u00e9dure de sortie (fin d\u2019accompagnement, d\u00e9c\u00e8s, contentieux, r\u00e9orientation). Les donn\u00e9es pr\u00e9alablement collect\u00e9es ne doivent pas rester dans des r\u00e9pertoires partag\u00e9s accessibles par d\u00e9faut.Types de donn\u00e9esFinalit\u00e9s courantesDestinataires typiquesPoints de vigilanceIdentit\u00e9, coordonn\u00e9es, identifiant interneAdmission, suivi, facturation, contact aidants\u00c9quipes internes, financeurs selon dossiersExactitude, rectification, acc\u00e8s limit\u00e9Donn\u00e9es sociales, \u00e9valuations, situation familialeAccompagnement, orientation, coordinationPartenaires habilit\u00e9s, organismes de tutelle selon casConfidentialit\u00e9, minimisation, tra\u00e7abilit\u00e9 des \u00e9changes\u00c9l\u00e9ments de sant\u00e9, handicap, d\u00e9pendanceSoins, accompagnement, pr\u00e9vention, coordinationProfessionnels autoris\u00e9s, prestataires de sant\u00e9 selon parcoursTraitements sensibles, acc\u00e8s \u00ab besoin d\u2019en conna\u00eetre \u00bbDonn\u00e9es financi\u00e8res et administrativesGestion, recouvrement, justificatifs, aidesComptabilit\u00e9, financeurs, organismes selon dispositifsAcc\u00e8s restreint, s\u00e9paration des r\u00f4lesClauses contractuelles et encadrement des partenaires : r\u00e9duire le risque en amontLe m\u00e9dico-social d\u00e9pend d\u2019un \u00e9cosyst\u00e8me num\u00e9rique. Vos sous-traitants deviennent une extension de votre propre conformit\u00e9. L\u2019enjeu est double\u00a0: encadrer contractuellement (obligations, assistance, s\u00e9curit\u00e9, notification, audits), et encadrer op\u00e9rationnellement (droits d\u2019acc\u00e8s, comptes, tra\u00e7abilit\u00e9, sorties de contrat, r\u00e9versibilit\u00e9).Le contrat ne suffit pas si votre organisation ne sait pas l\u2019appliquer. Exemple\u00a0: si l\u2019\u00e9diteur doit notifier un incident, vos \u00e9quipes doivent savoir qui re\u00e7oit l\u2019alerte, comment qualifier le risque, et comment documenter. Sans proc\u00e9dure, vous perdez du temps. Et le temps est un facteur critique d\u00e8s qu\u2019un incident touche des donn\u00e9es sensibles.Un encadrement solide inclut aussi une liste claire des destinataires, la gestion des habilitations c\u00f4t\u00e9 prestataire, le principe de moindre privil\u00e8ge, et la suppression des acc\u00e8s en fin de mission. Beaucoup de violations commencent par un compte dormant ou un partage non ma\u00eetris\u00e9.\u00c0 retenirUn registre utile est reli\u00e9 \u00e0 des preuves et \u00e0 des proc\u00e9dures, pas \u00e0 un document fig\u00e9.Les droits des personnes deviennent g\u00e9rables avec un m\u00e9canisme unique de r\u00e9ception, d\u2019authentification et de tra\u00e7abilit\u00e9 des r\u00e9ponses.La conservation se pilote par \u00e9tapes (base active, archivage, suppression) avec des habilitations plus strictes au fil du temps. Cybers\u00e9curit\u00e9 et NIS2 : s\u00e9curiser un secteur fortement expos\u00e9Un secteur particuli\u00e8rement cibl\u00e9 par les cyberattaquesLe secteur m\u00e9dico-social est fortement expos\u00e9 aux cyberattaques : fuites de dossiers m\u00e9dicaux, ransomwares, erreurs humaines. La directive NIS2 impose une vigilance accrue en mati\u00e8re de s\u00e9curit\u00e9 num\u00e9rique, de gestion des habilitations et de sensibilisation des \u00e9quipes.La conformit\u00e9 NIS2 aide les structures m\u00e9dico-sociales \u00e0 renforcer leur cybers\u00e9curit\u00e9, leur continuit\u00e9 d\u2019activit\u00e9 et leur capacit\u00e9 de r\u00e9action face aux incidents.Plan de continuit\u00e9 d’activit\u00e9 (PCA\/PRA) et \u00ab Plan Bleu \u00bbLes ESSMS doivent pr\u00e9voir une analyse de risque cyber dans le cadre de leur plan de continuit\u00e9 d’activit\u00e9, souvent formalis\u00e9 sous l’appellation \u00ab Plan Bleu \u00bb. Ce plan doit d\u00e9sormais int\u00e9grer un volet num\u00e9rique : que se passe-t-il si le logiciel m\u00e9tier, le dossier usager informatis\u00e9 ou la messagerie sont indisponibles ?Le facteur humain : premier risque cyber du secteurLa difficult\u00e9 pour les soignants de prendre en main les outils num\u00e9riques et de suivre les proc\u00e9dures informatis\u00e9es constitue un risque cyber important. La majorit\u00e9 des incidents naissent de gestes ordinaires : export de fichiers, partage par messagerie personnelle, mots de passe faibles ou r\u00e9utilis\u00e9s.Risque fr\u00e9quentParade prioritaireComptes sans authentification multifacteurG\u00e9n\u00e9raliser le MFA, notamment pour les acc\u00e8s distants et aux t\u00e9l\u00e9services de sant\u00e9Habilitations trop larges aux dossiers usagersSegmenter les acc\u00e8s par profil (soignant, administratif, direction, DPO)Absence de plan de continuit\u00e9 num\u00e9riqueInt\u00e9grer un volet cyber au Plan Bleu \/ PCA-PRAH\u00e9bergeur non certifi\u00e9 HDSV\u00e9rifier la certification HDS de chaque \u00e9diteur logiciel\u00c0 ces enjeux RGPD et cyber s’ajoute d\u00e9sormais une troisi\u00e8me dimension, devenue incontournable depuis l’arriv\u00e9e massive de l’IA g\u00e9n\u00e9rative dans les pratiques professionnelles : l’AI Act.Usage de l’IA dans le m\u00e9dico-social : confidentialit\u00e9, souverainet\u00e9 et AI ActL’IA g\u00e9n\u00e9rative entre dans les pratiques, parfois sans cadreLes jeunes collaborateurs utilisent de plus en plus d’outils d’IA g\u00e9n\u00e9rative dans leur quotidien professionnel, y compris pour des t\u00e2ches impliquant des donn\u00e9es sensibles : r\u00e9daction de comptes-rendus, synth\u00e8ses de dossiers, pr\u00e9paration de courriers. Sans cadre, ces usages exposent les donn\u00e9es de sant\u00e9 des usagers \u00e0 des outils non ma\u00eetris\u00e9s.Confidentialit\u00e9 et souverainet\u00e9 des donn\u00e9es de sant\u00e9L’enjeu n’est pas seulement r\u00e9glementaire : il touche \u00e0 la confidentialit\u00e9 et \u00e0 la souverainet\u00e9 des donn\u00e9es de sant\u00e9. Avant toute soumission de contenu \u00e0 une IA, la r\u00e8gle est simple : si l’information ne serait pas envoy\u00e9e dans un e-mail transf\u00e9rable sans risque, elle ne doit pas \u00eatre soumise \u00e0 une IA non valid\u00e9e par l’\u00e9tablissement.Ce que l’AI Act implique pour les ESSMSLa r\u00e9glementation europ\u00e9enne (AI Act) impose d’encadrer la conformit\u00e9 des usages de l’IA, leur transparence, et la protection des donn\u00e9es sensibles qu’ils traitent. Pour un ESSMS, cela se traduit concr\u00e8tement par : l’identification des usages d’IA dans les processus (planification des soins, aide \u00e0 la r\u00e9daction, outils de diagnostic ou de tri), une analyse du niveau de risque selon la classification de l’AI Act, et la mise en place de r\u00e8gles d’usage valid\u00e9es pour les \u00e9quipes.Bonne pratique : \u00e9tablissez une liste d’outils IA autoris\u00e9s, un mod\u00e8le d’anonymisation simple pour les donn\u00e9es d’usagers, et un canal de validation rapide pour toute nouvelle pratique IA identifi\u00e9e sur le terrain.Reste une question : comment ces trois piliers \u2014 RGPD, cyber, IA \u2014 se traduisent-ils concr\u00e8tement dans le calendrier des audits et certifications du secteur ?Certifications et audits : ESSMS, HAS, ARSLa certification ESSMS int\u00e8gre d\u00e9sormais la conformit\u00e9 RGPDLa certification ESSMS, obligatoire tous les 5 ans, int\u00e8gre la conformit\u00e9 RGPD comme crit\u00e8re majeur. Le r\u00e9f\u00e9rentiel et le manuel d’\u00e9valuation de la HAS structurent cette d\u00e9marche autour de 9 th\u00e9matiques et 157 crit\u00e8res d’\u00e9valuation, dont 18 crit\u00e8res \u00ab imp\u00e9ratifs \u00bb qui imposent des actions correctives imm\u00e9diates si non satisfaits. Un registre des traitements \u00e0 jour, des AIPD r\u00e9alis\u00e9es sur les traitements \u00e0 risque, et une politique de s\u00e9curit\u00e9 document\u00e9e constituent la base attendue par les \u00e9valuateurs.La m\u00e9thode de \u00ab l’accompagn\u00e9 traceur \u00bb : un traitement de donn\u00e9es \u00e0 documenterLe chapitre 1 du r\u00e9f\u00e9rentiel HAS repose sur la m\u00e9thode de \u00ab l’accompagn\u00e9 traceur \u00bb : un \u00e9change direct avec une personne accompagn\u00e9e puis avec les professionnels qui l’entourent. Ce processus g\u00e9n\u00e8re lui-m\u00eame des donn\u00e9es personnelles, parfois sensibles (\u00e9tat de sant\u00e9, situation sociale), retranscrites par l’organisme \u00e9valuateur dans la plateforme Syna\u00e9.La HAS a publi\u00e9 en septembre 2025 une fiche pratique sur la protection des donn\u00e9es \u00e0 caract\u00e8re personnel dans le dispositif d’\u00e9valuation, qui pr\u00e9cise les responsabilit\u00e9s respectives de l’ESSMS, de l’organisme \u00e9valuateur et de la HAS, et rappelle plusieurs bonnes pratiques attendues lors d’une visite d’\u00e9valuation.Ce que la HAS attend concr\u00e8tement lors d’une \u00e9valuation :\u2014 Pseudonymisation des donn\u00e9es retranscrites dans les commentaires et \u00e9l\u00e9ments de preuve (chapitre 1).\u2014 Aucune donn\u00e9e directement ou indirectement identifiante (nom, genre, num\u00e9ro de s\u00e9curit\u00e9 sociale, \u00e9tablissement partenaire nomm\u00e9ment cit\u00e9).\u2014 Acc\u00e8s des \u00e9valuateurs aux projets personnalis\u00e9s uniquement via un professionnel habilit\u00e9, sans consultation autonome ni sortie de documents de l’\u00e9tablissement.\u2014 Toute utilisation de l’IA par l’organisme \u00e9valuateur doit \u00eatre mentionn\u00e9e dans le rapport d’\u00e9valuation, par souci de transparence.Pour un ESSMS, cette fiche pratique a une cons\u00e9quence directe : pr\u00e9parer une \u00e9valuation, c’est aussi pr\u00e9parer ses \u00e9quipes \u00e0 encadrer le p\u00e9rim\u00e8tre d’acc\u00e8s des \u00e9valuateurs, au m\u00eame titre qu’on encadrerait celui d’un sous-traitant. C’est un point \u00e0 int\u00e9grer dans le registre des traitements, au titre des \u00ab destinataires \u00bb de donn\u00e9es.Audits HAS et ARS : un contr\u00f4le renforc\u00e9 sur le num\u00e9riqueLes audits de la Haute Autorit\u00e9 de Sant\u00e9 (HAS) et des Agences R\u00e9gionales de Sant\u00e9 (ARS) se renforcent sur la partie cybers\u00e9curit\u00e9 et conformit\u00e9, et conditionnent la poursuite des activit\u00e9s, notamment dans le secteur associatif. Ces audits portent une attention croissante aux habilitations, \u00e0 la tra\u00e7abilit\u00e9 des acc\u00e8s et aux plans de continuit\u00e9.Multiplicit\u00e9 des acteurs : soignants, administratifs, b\u00e9n\u00e9volesLa multiplicit\u00e9 des acteurs intervenant dans un ESSMS \u2014 soignants, administratifs, intervenants externes, b\u00e9n\u00e9voles, mais aussi organismes \u00e9valuateurs externes \u2014 n\u00e9cessite une gestion fine des habilitations et un registre RGPD m\u00e9dico-social qui refl\u00e8te cette r\u00e9alit\u00e9 de terrain, pas une simple liste th\u00e9orique de traitements.Comment pr\u00e9parer son audit ? Sch\u00e9ma \u2014 Pr\u00e9parer un audit CNIL, HAS ou ARS en 5 \u00e9tapesCartographier les traitements et acteurs\u2192Mettre \u00e0 jour le registre et les AIPD\u2192V\u00e9rifier habilitations, MFA, HDS\u2192Documenter le PCA\/PRA et l’usage de l’IA\u2192Former les \u00e9quipes et tracer les preuvesAu regard de ces obligations crois\u00e9es, beaucoup d’\u00e9tablissements se demandent par o\u00f9 commencer concr\u00e8tement. La FAQ ci-dessous r\u00e9pond aux questions les plus fr\u00e9quentes pos\u00e9es par les directions et les DPO du secteur.Pour piloter ces cinq \u00e9tapes au quotidien sans vous reposer sur des fichiers dispers\u00e9s, d\u00e9couvrez comment un logiciel RGPD adapt\u00e9 au m\u00e9dico-social centralise registre, AIPD, habilitations et preuves, avec le logiciel RGPD Simply. FAQ : RGPD, cybers\u00e9curit\u00e9 et IA dans le m\u00e9dico-socialQuelles donn\u00e9es sont consid\u00e9r\u00e9es comme sensibles dans un \u00e9tablissement m\u00e9dico-social ?Les ESSMS traitent principalement des donn\u00e9es de sant\u00e9 (\u00e9tat m\u00e9dical, traitements, handicaps, d\u00e9pendance) ainsi que des donn\u00e9es sociales et administratives des usagers. Ces donn\u00e9es exigent une protection renforc\u00e9e selon le RGPD : minimisation, acc\u00e8s limit\u00e9 et tra\u00e7abilit\u00e9.Un EHPAD doit-il nommer un DPO ?Oui. Le traitement de donn\u00e9es de sant\u00e9 \u00e0 grande \u00e9chelle rend la d\u00e9signation d’un d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPO) obligatoire, qu’il soit interne, externe ou mutualis\u00e9 entre plusieurs \u00e9tablissements.Que change la mise \u00e0 jour CNIL de mai 2026 (MR-001\/MR-003) pour les ESSMS ?Ces r\u00e9f\u00e9rentiels concernent les \u00e9tablissements impliqu\u00e9s dans des recherches en sant\u00e9 (essais cliniques, \u00e9tudes, partenariats avec un CHU). Les nouvelles versions, en vigueur depuis le 23 mai 2026, renforcent les exigences de s\u00e9curit\u00e9 et de contr\u00f4le qualit\u00e9, avec un d\u00e9lai de mise en conformit\u00e9 pouvant aller jusqu’\u00e0 mai 2027 pour les recherches en cours.Comment s\u00e9curiser l’usage de l’IA g\u00e9n\u00e9rative par les \u00e9quipes ?En d\u00e9finissant une liste d’outils autoris\u00e9s, en formant les \u00e9quipes \u00e0 l’anonymisation des donn\u00e9es avant tout usage d’une IA, et en s’appuyant sur la classification de risque de l’AI Act pour les outils utilis\u00e9s dans les processus de soin ou d’accompagnement.Quels sont les risques en cas de non-conformit\u00e9 RGPD dans le m\u00e9dico-social ?Au-del\u00e0 des sanctions financi\u00e8res de la CNIL, la non-conformit\u00e9 expose \u00e0 un \u00e9chec de certification ESSMS, \u00e0 des r\u00e9serves lors des audits HAS\/ARS, et \u00e0 un risque accru de violation de donn\u00e9es dans un secteur d\u00e9j\u00e0 fortement cibl\u00e9 par les cyberattaques.Les \u00e9valuateurs HAS ont-ils acc\u00e8s au dossier usager pendant une \u00e9valuation ESSMS ?Oui, mais de fa\u00e7on encadr\u00e9e : selon la fiche pratique HAS de septembre 2025, l’acc\u00e8s doit passer par un professionnel habilit\u00e9, se limiter aux informations strictement n\u00e9cessaires \u00e0 l’\u00e9valuation, et aucun document ne doit \u00eatre consult\u00e9 en autonomie ou sorti de l’\u00e9tablissement. Les donn\u00e9es retranscrites dans le rapport doivent \u00eatre pseudonymis\u00e9es.Par o\u00f9 commencer pour structurer sa conformit\u00e9 ?Par un \u00e9tat des lieux du registre des traitements et des habilitations, suivi d’une priorisation des AIPD sur les traitements les plus sensibles (dossier usager, t\u00e9l\u00e9services de sant\u00e9, vid\u00e9osurveillance), avant d’adresser les volets cybers\u00e9curit\u00e9 (MFA, PCA) et IA.\ud83d\udd0e Vous avez une question plus g\u00e9n\u00e9rale sur la conformit\u00e9 RGPD ou la cybers\u00e9curit\u00e9 ? Consultez notre FAQ g\u00e9n\u00e9rale.En r\u00e9sum\u00e9La conformit\u00e9 RGPD, cybers\u00e9curit\u00e9 et IA dans le m\u00e9dico-social s’articule autour de trois piliers indissociables : protection des donn\u00e9es de sant\u00e9 et sociales des usagers, s\u00e9curisation des syst\u00e8mes d’information face aux ransomwares dans le cadre de NIS2, et encadrement des usages de l’IA selon l’AI Act. Le point r\u00e9glementaire cl\u00e9 en 2026 est la mise \u00e0 jour des m\u00e9thodologies de r\u00e9f\u00e9rence MR-001 et MR-003 par la CNIL, applicable depuis le 23 mai 2026 aux \u00e9tablissements impliqu\u00e9s dans la recherche en sant\u00e9. La bonne pratique essentielle reste la mise \u00e0 jour r\u00e9guli\u00e8re du registre des traitements et des AIPD, en lien avec les certifications ESSMS et les audits HAS\/ARS. Ce guide permet aux directions et DPO du secteur de prioriser leurs actions et de structurer un plan de mise en conformit\u00e9 r\u00e9aliste pour 2026-2027.SourcesCNIL – Recherche en sant\u00e9 : la CNIL met \u00e0 jour et \u00e9largit le champ des m\u00e9thodologies de r\u00e9f\u00e9rence 001 et 003CNIL – Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesHAS – \u00c9valuation des ESSMS : r\u00e9f\u00e9rentiel et manuelHAS – Fiche pratique : la protection des donn\u00e9es \u00e0 caract\u00e8re personnel dans le dispositif d’\u00e9valuation de la qualit\u00e9 des ESSMSMDP Data Protection – Conformit\u00e9 RGPD en m\u00e9dico-social : r\u00f4le, responsabilit\u00e9s et bonnes pratiques des collaborateursMDP Data Protection – NIS2 et cybers\u00e9curit\u00e9 : obligations et actions cl\u00e9s pour les organisations en 2026Pour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l’auteur Christophe SAINT-PIERRE  \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Conformit\u00e9 RGPD, cybers\u00e9curit\u00e9 et IA dans le m\u00e9dico-social : le guide 2026","item":"https:\/\/mdp-data.com\/guide-rgpd-cybersecurite-ia-secteur-medico-social\/#breadcrumbitem"}]}]