RGPD, secret médical, bonnes pratiques : le guide complet pour les professionnels de santé.

Une question légitime, des réponses souvent trop vagues

Un médecin qui dicte son compte rendu à un assistant IA envoie-t-il des données médicales à une entreprise américaine ? Une infirmière qui utilise un chatbot pour chercher un protocole risque-t-elle de compromettre la confidentialité d’un patient ? Un hôpital peut-il confier l’analyse de ses dossiers à un algorithme externe sans violer le secret médical ?

Ces questions ne sont pas paranoïaques. Elles sont professionnellement légitimes, éthiquement sérieuses, et juridiquement importantes. Et elles méritent des réponses précises ; pas des formules rassurantes aussi vagues qu’« on est conformes au RGPD ».

La réalité est nuancée : oui, l’IA peut être utilisée avec des données patients, mais sous des conditions strictes, dans des cadres bien définis, et avec des pratiques qui diffèrent selon les outils, les contextes et les types de données concernés.

Comprendre ces distinctions est devenu une compétence professionnelle incontournable pour tout soignant qui utilise, ou envisage d’utiliser, des outils d’IA dans sa pratique.

Ce que dit le droit : les données de santé, une catégorie à part

Le Règlement Général sur la Protection des Données (RGPD), appliqué en France depuis 2018, classe les données de santé dans la catégorie des données sensibles, aux côtés des données génétiques, biométriques, religieuses ou relatives à l’orientation sexuelle. Leur traitement est par principe interdit, sauf si l’une des exceptions légales prévues par l’article 9 du RGPD s’applique.

En santé, les principales exceptions légitimant le traitement de données de santé sont :

• Le traitement nécessaire à la prise en charge médicale du patient (avec son consentement implicite dans le cadre du soin)
• Le traitement à des fins de recherche scientifique ou médicale, sous conditions
• Le traitement réalisé par un professionnel de santé soumis au secret professionnel
• Le traitement dans l’intérêt public (santé publique, épidémiologie)

En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité de contrôle compétente. Elle dispose de pouvoirs de sanction importants : jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros.

La distinction clé : données identifiantes, pseudonymisées ou anonymisées

Les données directement identifiantes

Ce sont les données qui permettent d’identifier directement une personne : nom, prénom, numéro de sécurité sociale, date de naissance précise, adresse, numéro de téléphone. Couplées à des informations médicales, elles constituent des données de santé à caractère personnel au sens le plus strict.

Les données pseudonymisées

La pseudonymisation consiste à remplacer les identifiants directs par un code ou un identifiant artificiel, tout en conservant la possibilité de ré-identifier la personne si nécessaire. Les données pseudonymisées restent des données personnelles au sens du RGPD.

Les données anonymisées

L’anonymisation, au sens strict du RGPD, désigne le processus par lequel toute possibilité de ré-identification est irréversiblement supprimée. Des données véritablement anonymisées ne sont plus des données personnelles et peuvent donc être traitées librement.

⚠ Le problème ? La vraie anonymisation est techniquement difficile à atteindre, surtout en santé. Des études ont démontré qu’il est possible de ré-identifier des patients à partir de données apparemment anonymisées en croisant différentes sources.

Ce que vous avez le droit de faire : les cas concrets

Utiliser l’IA pour votre propre pratique avec vos propres patients

Un professionnel de santé qui utilise un outil d’IA dans le cadre de la prise en charge directe de ses patients peut, sous certaines conditions, traiter des données de santé avec cet outil. La condition principale est que l’outil soit conforme au RGPD et que le traitement des données soit couvert par un accord de traitement des données (DPA, Data Processing Agreement) avec le prestataire.

Utiliser un outil d’IA générative grand public (ChatGPT, Gemini…)

C’est ici que le risque est le plus souvent mal évalué. Des outils comme ChatGPT dans sa version gratuite ou standard, ou d’autres IA conversationnelles grand public, ne sont pas des sous-traitants RGPD conformes pour le traitement de données de santé.

⚠ Saisir le nom d’un patient, son numéro de sécurité sociale, ses antécédents, ses résultats d’examens ou tout élément permettant son identification dans un outil grand public constitue une violation du RGPD et une atteinte au secret médical.

La règle pratique est simple : si vous avez besoin de l’IA pour rédiger un courrier, préparer une réponse type, chercher une information ou générer un document générique, vous pouvez utiliser ces outils en remplaçant systématiquement les informations du patient par des génériques (« le patient », « la patiente de 65 ans avec antécédent de diabète de type 2 », etc.).

Les versions professionnelles et entreprises des outils d’IA

Plusieurs éditeurs d’IA générative proposent des versions spécifiquement conçues pour les usages professionnels, incluant des garanties RGPD adaptées. C’est le cas de Microsoft Azure OpenAI Service, de Claude for Enterprise d’Anthropic, ou encore de solutions françaises et européennes comme Mistral AI et ses offres professionnelles dédiées au secteur de la santé.

Le Health Data Hub et le cadre français pour la recherche en IA

Le Health Data Hub (HDH), créé par la loi Ma Santé 2022, est la plateforme nationale qui centralise et sécurise les données de santé françaises pour permettre leur exploitation à des fins de recherche et d’innovation. L’accès aux données du HDH est soumis à un processus d’autorisation strict, géré conjointement par la CNIL et le CESREES.

Le secret médical et la responsabilité du professionnel de santé

Le RGPD n’est pas le seul cadre applicable. Le secret médical, consacré par l’article L. 1110-4 du Code de la santé publique, s’impose à tous les professionnels de santé.

Concrètement, cela signifie que :

• Vous ne pouvez pas dicter des informations identifiantes sur un patient à un assistant IA grand public sans vérifier ses conditions de traitement des données
• Vous ne pouvez pas partager un dossier patient avec un outil externe sans vérifier qu’il est habilité à le recevoir
• Vous pouvez être tenu responsable d’une fuite de données de santé résultant d’un usage non conforme d’un outil d’IA, même si vous n’en étiez pas conscient

Les bonnes pratiques à adopter dès maintenant

Avant d’utiliser un nouvel outil d’IA, posez systématiquement trois questions : Où les données que j’y saisis sont-elles stockées et traitées ? L’éditeur est-il lié par un contrat de sous-traitance RGPD avec mon établissement ou ma structure ? Les données peuvent-elles être utilisées pour entraîner le modèle ou transmises à des tiers ?

Distinguez les usages avec données réelles et les usages génériques. Pour tout ce qui peut être fait sans données identifiantes ; recherche d’information, rédaction de modèles de courriers, préparation de supports d’éducation thérapeutique ; vous pouvez utiliser des outils grand public librement.

Consultez le DPO de votre établissement. Tous les établissements de santé ont l’obligation de désigner un Délégué à la Protection des Données.

Documentez vos usages. Le RGPD repose sur un principe de responsabilité (accountability).

Formez-vous. L’Artificial Intelligence Act européen, entré en vigueur en 2024, introduit de nouvelles obligations pour les systèmes d’IA à haut risque utilisés en santé.

Ce qui change avec l’AI Act européen

Le Règlement européen sur l’intelligence artificielle (AI Act), adopté en 2024 et dont les dispositions s’appliquent progressivement jusqu’en 2027, classe les systèmes d’IA utilisés en santé dans la catégorie « haut risque ».
Pour les professionnels de santé utilisateurs, l’AI Act ne crée pas d’obligations directes nouvelles, mais il renforce les exigences pesant sur les éditeurs d’outils que vous utilisez.

La conformité n’est pas un obstacle à l’innovation, c’est son socle

La question « peut-on utiliser l’IA avec des données patients ? » appelle une réponse claire : oui, dans un cadre juridique précis, avec des outils conformes, sous la supervision d’un professionnel responsable.
La bonne nouvelle, c’est que cette compréhension s’acquiert. Elle ne requiert pas de formation juridique approfondie, mais quelques heures d’apprentissage structuré suffisent à transformer une source d’anxiété en véritable compétence professionnelle.

Vous voulez comprendre concrètement quels outils d’IA vous pouvez utiliser légalement dans votre pratique, et comment protéger vos patients tout en bénéficiant des apports de l’IA ? Nos formations pour les professionnels de santé intègrent un module complet sur le cadre juridique et éthique des données de santé. Découvrez le programme.

Sources et références

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD). Journal officiel de l’Union européenne.
2. Article L. 1110-4 du Code de la santé publique — Secret médical.
3. CNIL. « Intelligence artificielle : plan d’action de la CNIL. » cnil.fr, 2024.
4. Loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé (Ma Santé 2022).
5. Health Data Hub. Documentation officielle et cadre d’accès : health-data-hub.fr.
6. Règlement (UE) 2024/1689 du Parlement européen et du Conseil — Artificial Intelligence Act. Journal officiel de l’Union européenne, 2024.
7. Rocher, L., Hendrickx, J. M. & de Montjoye, Y.-A. (2019). « Estimating the success of reidentifications in incomplete datasets using generative models. » Nature Communications, 10, 3069.
8. Agence du Numérique en Santé. Référentiel PGSSI-S. esante.gouv.fr.
9. CESREES — Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé. health-data-hub.fr/cesrees.
10. Microsoft Azure. « Azure OpenAI Service — data, privacy & security. » learn.microsoft.com.