Le contrôle du RGPD dans le secteur de la santé en France s'intensifie, la CNIL infligeant de lourdes amendes pour mauvaise gestion des données. Les organisations sont soumises à des contrôles stricts concernant les données, les violations et les fournisseurs. Le RGPD est désormais une responsabilité stratégique, nécessitant des contrôles rigoureux et une gestion des risques pour protéger les patients et éviter les sanctions.
En France, l'application du Règlement Général sur la Protection des Données (RGPD) de l'UE a pris une nouvelle urgence ces dernières années — en particulier dans le secteur de la santé, où les données des patients sont considérées comme des données personnelles sensibles en vertu de la loi. La pierre angulaire du régime français de protection des données est la Commission nationale de l'informatique et des libertés (CNIL), l'autorité de contrôle indépendante habilitée à enquêter, à sanctionner et à publier des décisions relatives à la conformité au RGPD. Selon le rapport annuel de la CNIL, le nombre de sanctions prononcées en 2024 a presque doublé par rapport aux années précédentes, avec 87 sanctions totalisant plus de 55 millions d'euros tous secteurs confondus, ce qui montre que l'activité d'application est à la fois active et croissante.
La CNIL dispose de larges pouvoirs pour lancer des enquêtes, soit de sa propre initiative suite à des problèmes systémiques, soit en réponse à des plaintes. Dans les cas impliquant des hôpitaux, des fournisseurs de logiciels ou des plateformes de données de santé, l'autorité se coordonne fréquemment avec les Agences Régionales de Santé (ARS), qui supervisent les services de santé régionaux, et l'Agence nationale de la sécurité des systèmes d’information (ANSSI), qui gère les risques de cybersécurité. Cette approche multi-agences garantit que les défaillances de conformité sont examinées non seulement sous un angle juridique, mais aussi en tenant compte du contexte clinique et opérationnel.
L'une des affaires les plus médiatisées dans le paysage de la santé français a concerné CEGEDIM SANTÉ, une entreprise fournissant des logiciels de gestion aux cabinets de médecins généralistes et aux centres de santé. En septembre 2024, la CNIL a infligé une amende de 800 000 euros à l'entreprise pour avoir traité des données de santé non anonymes sans autorisation appropriée et pour ne pas avoir établi de base légale en vertu du RGPD. L'autorité a constaté que les données — y compris les codes de diagnostic, les détails du traitement et les identifiants des patients — pouvaient être réidentifiées malgré leur pseudonymisation, ce qui signifie qu'elles étaient toujours considérées comme des données personnelles en vertu du RGPD.
La CNIL rend également ses sanctions publiques, ce qui augmente l'exposition à la réputation pour les organisations de santé. La publication des décisions sert à la fois de dissuasion et de point de référence pour d'autres institutions qui ont du mal à interpréter les exigences de conformité pour le traitement à haut risque.
Lors du calcul des amendes, la CNIL applique le cadre de l'article 83 du RGPD, qui prend en compte la nature et la gravité de l'infraction, le nombre de personnes concernées, la durée de la violation et si le responsable du traitement a pris des mesures d'atténuation. Les affaires de santé impliquent fréquemment des facteurs aggravants particulièrement élevés : la catégorie de données (état de santé, traitements médicaux), l'ampleur du traitement et la vulnérabilité des patients, tout cela pousse les amendes à la hausse.
La sanction infligée à CEGEDIM SANTÉ — l'une des plus importantes dans le secteur de la santé français ces dernières années — souligne à quel point les données de santé sensibles et le manque de bases légales documentées peuvent entraîner des sanctions sévères. Étant donné que le traitement des données de santé implique souvent de vastes ensembles de données et un accès de routine par de multiples professionnels, les lacunes en matière de bases légales, de minimisation des données ou de contrôles de sécurité sont considérées comme des manquements substantiels à la conformité.
Dans l'ensemble, l'application du RGPD dans le secteur de la santé français est plus qu'une exigence légale abstraite — elle affecte concrètement la manière dont les hôpitaux, les éditeurs de logiciels et les plateformes de recherche gèrent, sécurisent et justifient l'utilisation des données des patients. L'application active de la CNIL, soutenue par une transparence croissante et une coopération multi-agences, favorise la conformité et la confiance des patients dans les services de santé basés sur les données.
Alors que le système de santé français accélère sa transformation numérique — des plateformes de télémédecine aux dossiers patients électroniques en passant par les diagnostics basés sur l'IA — la surveillance réglementaire en matière de conformité au RGPD s'intensifie. Les données de santé sont classées comme catégories spéciales en vertu du RGPD, ce qui signifie que tout manquement à leur protection peut avoir de graves conséquences juridiques, opérationnelles et réputationnelles. La CNIL, autorité française de protection des données, considère les données de santé comme un "risque très élevé", exigeant une sécurité, une documentation et une responsabilisation accrues dans tous les systèmes de santé.
Pour les dirigeants hospitaliers modernes, cela signifie que les objectifs numériques ne peuvent être poursuivis indépendamment de la protection des données. Qu'il s'agisse de déployer de nouveaux services de télésanté ou d'intégrer l'intelligence artificielle dans les flux de travail cliniques, le risque RGPD doit être géré au niveau du conseil d'administration et de la direction, et pas seulement au sein du service informatique. Les directeurs sont personnellement tenus de comprendre les risques liés à la conception des systèmes, à la base légale du traitement et au consentement du patient — et non pas de se contenter de les déléguer. Bien que la pratique française n'ait pas encore mis en avant la responsabilité pénale personnelle des directeurs, les principes de responsabilisation du RGPD indiquent clairement que la responsabilité remonte : les hôpitaux doivent démontrer leur conformité, sinon ils risquent des sanctions et des atteintes à leur réputation.
Un problème récurrent mis en évidence par les actions d'exécution est le non-respect de la minimisation des données. Les systèmes de santé ou les éditeurs de logiciels collectent souvent plus d'informations que nécessaire pour les besoins cliniques — en particulier dans les contextes d'analyse ou de recherche. Dans une décision notable de 2024, la CNIL a infligé une amende de 800 000 € à un important fournisseur de logiciels de santé pour avoir traité de grandes quantités de données de patients identifiables à des fins d'études sans autorisation appropriée et avoir supposé à tort que les données pseudonymisées étaient anonymes. Parce que les données pouvaient toujours conduire à une réidentification, elles restaient soumises aux protections du RGPD.
Ce type de sur-collecte témoigne d'un piège plus large : les systèmes hospitaliers ont parfois tendance à capturer de vastes ensembles de données sans évaluer adéquatement pourquoi, pendant combien de temps ou sur quelle base juridique chaque champ est justifié.
La France a des règles spécifiques de conservation des dossiers médicaux — par exemple, les dossiers cliniques ordinaires peuvent être conservés jusqu'à 20 ans en vertu des cadres réglementaires de la santé — mais sans politiques internes claires, ces exigences légales peuvent entrer en conflit avec les principes du RGPD tels que la limitation de la conservation.
La conservation excessive devient une défaillance de conformité lorsque les données historiques sont conservées indéfiniment sans documentation de la base légale ou de la justification de la conservation. Sans calendriers et protocoles de suppression définis, les hôpitaux risquent une conservation illégale, ce qui amplifie à son tour l'impact d'une violation et complique la réalisation des droits des patients.
La conformité échoue également lorsque les violations ne sont pas détectées ou transmises correctement. La CNIL attend une escalade interne rapide et une notification externe dans les délais légaux (généralement 72 heures après avoir pris connaissance d'une violation). Un signalement tardif — que ce soit aux régulateurs ou aux personnes concernées — peut déclencher des mesures d'exécution et nuire à la confiance.
Ce défi est particulièrement aigu dans les environnements cliniques complexes où les systèmes distribués, les accès partagés et les plateformes tierces rendent la détection plus difficile sans une surveillance robuste.
En vertu du RGPD, le directeur de l'hôpital agit en tant que responsable du traitement, chargé de veiller à ce que les responsables du traitement et les sous-traitants relevant de sa compétence respectent les exigences du RGPD. Il ne s'agit pas d'un simple exercice de case à cocher — cela nécessite une supervision pratique des flux de données, la justification de la base légale et l'intégration de la protection de la vie privée dès la conception dans les initiatives numériques.
Dans le paysage actuel de la santé numérique, les dirigeants hospitaliers ne peuvent plus traiter la conformité au RGPD comme une simple question informatique. Les données de santé — des dossiers patients électroniques aux bases de données diagnostiques avancées et aux systèmes d'aide à la décision basés sur l'IA — sont un atout stratégique essentiel dont la mauvaise utilisation ou la violation peut perturber les opérations, compromettre la sécurité des patients et exposer la direction à un examen réglementaire. Les données de santé sont classées comme données personnelles sensibles en vertu du RGPD, ce qui exige des bases légales, des mesures de sécurité et une responsabilisation démontrable robustes. Le non-respect de l'intégration du RGPD dans la prise de décision stratégique n'entraîne pas seulement des amendes, mais aussi une atteinte à la confiance dans la gouvernance de l'institution. (turn0search1)
Les incidents de cybersécurité figurent parmi les menaces les plus pressantes pour la continuité opérationnelle des hôpitaux. Selon les données de l'ANSSI citées dans les débats nationaux, les hôpitaux français sont de plus en plus la cible de rançongiciels et d'attaques réseau en raison d'environnements informatiques complexes et d'un sous-investissement dans les infrastructures numériques. Ces attaques entraînent souvent des temps d'arrêt prolongés, une perte d'accès aux dossiers critiques et des restaurations de systèmes coûteuses — tout cela ayant des implications RGPD en raison des notifications de violation tardives et des actions réglementaires potentielles. (turn0search19)
L'un des déclencheurs les plus courants de l'action de la CNIL est une plainte d'un patient ou d'un employé concernant des problèmes de transparence ou des refus de droits d'accès. De nombreux litiges surviennent lorsque des personnes ne sont pas claires sur la manière dont leurs données médicales sont traitées, partagées ou conservées. En vertu du RGPD, les personnes concernées ont des droits étendus — y compris l'accès, la rectification et l'opposition — et les régulateurs prennent les plaintes au sérieux comme des indicateurs de faiblesses systémiques. (turn0search15)
La CNIL ouvre également des enquêtes en réponse à des notifications formelles de violations de données. Les environnements de santé, en raison de leur complexité numérique et de leurs systèmes interconnectés, ont connu une forte augmentation des signalements de violations. En 2024, des consultations formelles ont noté que la CNIL avait reçu près de 200 notifications de violations d'hôpitaux, soit une multiplication par dix par rapport à quelques années auparavant. Beaucoup d'entre elles concernent des incidents de rançongiciels ou des divulgations accidentelles, ce qui attire l'attention réglementaire en raison des préjudices potentiels pour les personnes concernées et des préoccupations de gouvernance plus larges. (turn0search20)
Au-delà des plaintes individuelles et des violations, la CNIL réalise des audits sectoriels, notamment lorsque de nouvelles technologies — comme les plateformes de télémédecine ou les systèmes d'IA — sont déployées à grande échelle. Ces audits, parfois coordonnés avec les mécanismes de coopération des autorités de contrôle de l'UE, analysent les tendances au sein de plusieurs organisations afin d'identifier les risques systémiques et de promouvoir des pratiques de conformité harmonisées.
La plupart des sanctions du RGPD dans le domaine de la santé ne concernent pas uniquement des erreurs de configuration technique ; elles reflètent des lacunes en matière de gouvernance. Une sous-allocation chronique des budgets à la conformité, l'absence de tableaux de bord de supervision exécutive et des mécanismes de responsabilisation faibles rendent les hôpitaux vulnérables. Par exemple, l'amende de 800 000 € infligée à CEGEDIM SANTÉ ne découlait pas seulement d'un traitement non sécurisé des données de santé, mais d'un manquement à contrôler la manière dont les données sensibles circulaient via le logiciel hospitalier et à démontrer un traitement licite. (turn0search1)
Les violations du RGPD ont un impact qui va au-delà des bilans. Lorsque les patients perdent confiance dans la capacité d'un hôpital à protéger leurs données, l'image publique et la confiance dans les services diminuent. La confiance — en particulier dans des domaines sensibles comme la santé mentale, les soins chroniques ou les systèmes thérapeutiques numériques — est difficile à reconstruire une fois érodée.
Le non-respect est souvent lié aux crises opérationnelles. Les incidents cybernétiques qui retardent les flux de travail cliniques, suspendent l'accès aux systèmes de diagnostic ou forcent des solutions de contournement d'urgence non seulement perturbent les soins, mais peuvent aggraver l'exposition juridique en vertu des règles de notification de violation du RGPD. (turn0search4)
Pour passer d'une conformité réactive à une gouvernance proactive, les dirigeants hospitaliers doivent intégrer le RGPD dans les processus stratégiques :
Confidentialité dès la conception dans les projets numériques — Intégrer les principes de protection des données dès les premières étapes des mises à niveau de la télésanté et des dossiers de santé électroniques.
Gouvernance du déploiement de l'IA — Appliquer les récentes recommandations de la CNIL sur l'IA, en garantissant l'anonymisation, la minimisation des données et une explication claire des décisions automatisées. (turn0search12)
Évaluation de l'impact sur la conformité avant l'intégration des fournisseurs — Mener des EIPD et des examens de sécurité des fournisseurs avant que tout système tiers ne soit intégré aux fonctions cliniques essentielles.
Cette approche stratégique aide la direction générale à équilibrer innovation et risques réglementaires, opérationnels et de réputation, positionnant l'hôpital non seulement pour se conformer au RGPD, mais aussi pour diriger avec intégrité à l'ère de la santé numérique.
En France, les violations du RGPD et des obligations connexes en matière de protection des données de santé sont prises très au sérieux. La Commission nationale de l'informatique et des libertés (CNIL) est autorisée à imposer des amendes administratives — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en vertu du RGPD — en plus des sanctions prévues par les lois françaises spécifiques à la santé. L'activité corrective de la CNIL a fortement augmenté : en 2024, l'autorité a imposé 87 sanctions totalisant plus de 55 millions d'euros, soit plus du double du nombre prononcé deux ans auparavant. Ces décisions sont publiées publiquement, renforçant la responsabilité et soulignant que les organisations de santé ne sont pas exemptées de contrôle simplement parce qu'elles opèrent dans un secteur hautement réglementé.
La publication des décisions de la CNIL accroît l'exposition à la réputation des hôpitaux et des prestataires de services connexes, alimentant la couverture médiatique et la pression des parties prenantes. Au-delà des montants des amendes, l'exécution peut impliquer des injonctions de conformité, des injonctions et des injonctions qui exigent des mesures correctives dans des délais définis.
La gestion des informations de santé au travail — telles que les données relatives aux congés de maladie, à l'aptitude au travail ou au statut d'invalidité — exige une extrême prudence. Une mauvaise utilisation ou des protections de confidentialité insuffisantes peuvent enfreindre à la fois le RGPD et les réglementations françaises du travail.
Les informations incomplètes ou vagues lors de l'obtention du consentement du patient, en particulier pour la recherche ou le partage de données au-delà des soins primaires, sont des déclencheurs fréquents d'actions coercitives. Les établissements de santé doivent être explicites quant à la finalité, la portée et la base légale de toute collecte de données.
Une exigence française spécifique concerne l'hébergement des données de santé personnelles : les organisations doivent utiliser des prestataires de services certifiés Hébergeurs de Données de Santé (HDS) pour le stockage et le traitement des dossiers de santé. L'hébergement auprès de prestataires non certifiés peut exposer les hôpitaux à des risques juridiques et réglementaires importants en vertu du Code de la santé publique français — y compris des amendes et des sanctions pénales.
Les environnements cloud non sécurisés ou les systèmes mal configurés ne respectant pas les normes de sécurité HDS ou RGPD restent une constatation répétée dans les examens de la CNIL.
La documentation est essentielle à la responsabilisation en matière de RGPD :
Registres des activités de traitement (ROPA) — un inventaire complet de tous les flux de données patients, des finalités de traitement et de la logique de conservation, tel que mandaté par l'article 30 du RGPD.
Contrats avec les fournisseurs et garanties de transfert — accords écrits avec les sous-traitants prouvant les obligations, les clauses conformes au RGPD et les protections de transfert de données.
Journaux de formation du personnel — preuve que le personnel concerné a été formé à la protection des données, aux politiques de sécurité et aux procédures de réponse aux violations.
Une documentation bien tenue aide les hôpitaux à démontrer une conformité proactive et à réduire l'exposition aux mesures d'exécution.
La préparation à un audit de la CNIL ne doit pas attendre son annonce. Les directeurs d'hôpital peuvent effectuer des examens pré-audit internes pour tester les contrôles, identifier les lacunes et les corriger avant l'arrivée d'un régulateur. Dans le cadre de cette préparation, la création d'un dossier de preuves — comprenant les avis de confidentialité, les EIPD, les contrats et les registres de réponse aux violations — améliore considérablement la préparation et présente un solide argumentaire de conformité aux auditeurs.
Même sans avis d'audit formel, les directeurs d'hôpital peuvent réaliser des progrès rapides :
Procéder à une révision des droits d'accès pour s'assurer que le personnel ne dispose que des privilèges d'accès aux données dont il a absolument besoin.
Mettre à jour les politiques de confidentialité pour refléter les pratiques actuelles dans un langage clair et compréhensible pour les patients.
Organiser une réunion d'information sur la conformité destinée à la direction afin d'aligner les dirigeants sur les risques, les obligations et les audits à venir concernant le RGPD.
Ces étapes permettent de mettre en place des contrôles fondamentaux qui contribuent à protéger les données des patients et à prémunir l'institution contre des sanctions inutiles.
Alors que la santé française poursuit son évolution numérique, les priorités d'application de la Commission nationale de l'informatique et des libertés (CNIL) reflètent les risques émergents liés à la résilience de la cybersécurité, à l'IA responsable et à l'utilisation secondaire des données de santé. Le plan stratégique de la CNIL pour 2025-2028 met l'accent sur une IA éthique et respectueuse des droits, et clarifie la manière dont le RGPD s'articule avec les technologies d'IA pour assurer la protection des données des patients sans freiner l'innovation. (turn0search11; turn0search4)
Dans le secteur de la santé, cela se traduit par un examen plus approfondi de la manière dont les organisations garantissent la résilience de leurs systèmes face aux cyberattaques, en particulier dans les contextes où les services cliniques reposent sur des plateformes numériques, et de la manière dont les outils basés sur l'IA sont déployés. La CNIL encourage la clarté sur les conditions d'utilisation des données, une minimisation robuste des données et une information transparente des utilisateurs lorsque les systèmes d'IA sont susceptibles de traiter des données de santé personnelles.
Parallèlement, les évolutions réglementaires telles que l'Espace européen des données de santé (EHDS) redéfinissent les attentes en matière d'accès et d'utilisation secondaire des données – permettant la réutilisation des données de santé à des fins de recherche et d'innovation dans des cadres contrôlés et respectueux de la vie privée. (turn0search23)
Les directeurs d'hôpitaux doivent de plus en plus naviguer entre le RGPD, la directive NIS2 et la loi européenne sur l'IA. La NIS2, qui succède au cadre original de cybersécurité NIS, est devenue applicable fin 2024 et établit des exigences obligatoires en matière de cybersécurité pour les secteurs critiques, y compris les fournisseurs de soins de santé et les fabricants de dispositifs médicaux. (turn0search12)
Cela signifie que les programmes de cybersécurité des hôpitaux doivent être conformes aux règles de sécurité et de notification des violations du RGPD, tout en respectant les obligations plus larges de NIS2 en matière de gestion des risques, de signalement des incidents et de gouvernance. À cela s'ajoute la loi européenne sur l'IA, qui introduit un régime basé sur les risques pour les systèmes d'IA – y compris les IA à haut risque utilisées dans les milieux cliniques – avec des exigences spécifiques en matière de gestion des risques, de gouvernance des données, de transparence et de supervision humaine qui vont au-delà du seul RGPD. (turn0reddit44)
Ces obligations qui se recoupent signifient que les hôpitaux doivent harmoniser les contrôles de conformité plutôt que de traiter chaque cadre de manière isolée – par exemple, les protocoles de cybersécurité développés dans le cadre de NIS2 peuvent soutenir les exigences de sécurité du RGPD, tandis que les pratiques de documentation pour le RGPD peuvent servir les exigences de transparence et de tenue de registres de la loi sur l'IA.
Le principe de responsabilité du RGPD place la responsabilité autant sur les dirigeants opérationnels que sur les équipes techniques. Les directeurs qui prennent des décisions concernant les acquisitions numériques, les flux de travail des données des patients et les partenariats de recherche sont de plus en plus tenus de démontrer leur conformité, d'assumer les évaluations des risques et de justifier les investissements dans la protection des données. Cela déplace la charge des seuls spécialistes informatiques vers les dirigeants qui contrôlent les budgets, fixent les priorités et influencent la culture institutionnelle.
La documentation joue ici un rôle clé : les régulateurs attendent désormais des enregistrements détaillés des activités de traitement, des évaluations des risques de sécurité et des preuves de la supervision, ce qui implique directement les décisions de la direction opérationnelle.
Intégrer le RGPD au cœur de la stratégie hospitalière demande plus que des audits périodiques. Le soutien de la direction est essentiel : la protection des données doit être liée à la sécurité des patients, à l'excellence clinique et à la gouvernance de la qualité. Cela peut inclure une surveillance continue des risques, l'intégration de la protection de la vie privée dès la conception dans les parcours cliniques, et l'alignement entre les équipes de conformité et les chefs de service.
Une culture proactive signifie également anticiper les changements réglementaires plutôt que de simplement réagir – par exemple, se préparer à la mise en œuvre de l'EHDS ou à la conformité à la loi sur l'IA dès que possible plutôt que d'attendre les mesures d'exécution.
Pour les organismes de santé, la formation n'est pas une simple case à cocher. Les exercices de simulation qui testent la préparation aux cyberincidents, ainsi que les programmes de certification annuels pour le personnel et les dirigeants, contribuent à renforcer la résilience organisationnelle. Ces programmes renforcent les principes fondamentaux tels que la minimisation des données, la justification du fondement juridique et l'utilisation sécurisée des systèmes – réduisant la probabilité de sanctions et renforçant la confiance entre les patients et les régulateurs.
Données de santé : Amende de la CNIL contre CEGEDIM SANTÉ (800 000 €) — Décision officielle de la CNIL Données de santé : CEGEDIM SANTÉ condamnée à une amende de 800 000 € (en anglais)
Tendances d'application de la CNIL 2024 — Sanctions et mesures correctives de la CNIL Sanctions et mesures correctives : les actions de la CNIL en 2024
Résumé européen de la décision CEGEDIM — Aperçu de l'EDPB Prospection commerciale : une SA française, CEGEDIM SANTÉ, condamnée à une amende de 800 000 €
Sanction de la CNIL contre CEGEDIM SANTÉ (exemple de défaillance majeure en matière de conformité dans le secteur de la santé)
– Décrit une action d'exécution réelle du RGPD dans le secteur de la santé français, y compris les défaillances concernant la base juridique et les contrôles de protection des données. Données de santé : CEGEDIM SANTÉ condamnée à une amende de 800 000 € (CNIL)
Contexte français du RGPD et de la sécurité des données de santé
– Cet aperçu explique pourquoi les données de santé françaises sont considérées comme à haut risque en vertu du RGPD, détaille l'hébergement obligatoire des données de santé (HDS) et décrit les exigences de conservation et d'analyse d'impact sur la vie privée qui affectent les hôpitaux. Le RGPD en France : Régime des données de santé et hébergement HDS
Projet de la CNIL sur les violations hospitalières, les cyberattaques et les recommandations de sécurité
– Montre comment la CNIL privilégie la sécurité des dossiers médicaux électroniques, le signalement des violations et une gouvernance renforcée dans le secteur de la santé. La CNIL française lance une consultation publique sur la sécurité des dossiers médicaux des patients (Hogan Lovells)
Pièges pratiques du RGPD dans le secteur de la santé (y compris HDS et sur-rétention)
– Met en évidence les pièges courants du RGPD dans le secteur de la santé – par exemple, ne pas utiliser les hébergeurs certifiés requis et ne pas évaluer les flux de données. Le RGPD appliqué au secteur de la santé : 7 pièges
Données générales d'exécution de la CNIL (Soutient les allégations de tendance)
– Fournit des chiffres sur les sanctions et les mesures correctives émises par la CNIL, montrant une intensité d'application croissante d'année en année. Sanctions et mesures correctives : les actions de la CNIL (2024 et 2025)
Affaire de la CNIL concernant l'application des données de santé — Amende de la CNIL : CEGEDIM SANTÉ 800 000 € Données de santé : CEGEDIM SANTÉ condamnée à une amende de 800 000 €
Comment la CNIL mène ses enquêtes — Guide officiel de la CNIL Comment la CNIL mène-t-elle ses enquêtes ?
Augmentation des notifications de violations hospitalières — Rapport Hogan Lovells Consultation publique de la CNIL sur la sécurité des dossiers médicaux
Missions de la CNIL et traitement des plaintes — Aperçu officiel de la CNIL Les missions de la CNIL
Défis en matière de signalement des violations dans le secteur de la santé — Analyse de GDPR Advisor Défis liés aux violations de données de santé
Recommandations de la CNIL sur l'IA — Lignes directrices de la CNIL sur l'IA IA et RGPD : Recommandations de la CNIL
Tendances des sanctions de la CNIL en 2024 – Sanctions et mesures correctives (CNIL)
Thèmes d'application de la CNIL et données 2025 – Sanctions et mesures correctives 2025 (CNIL)
Exigences de certification HDS – Hébergement de données de santé (HDS) (Microsoft Learn)
Conformité HDS et sanctions – Risques de non-conformité HDS (Aquaray)
Documentation RGPD et guide ROPA – Guide pratique CNIL (CNIL)
Obligations contractuelles des sous-traitants – Guide RGPD pour les sous-traitants (CNIL)
Guide de traitement des données de santé RGPD – Lignes directrices de la CNIL (Universal Medica)
Priorités d'application de la CNIL 2025-2028 (IA, mineurs, IA éthique) — Analyse Dentons La CNIL renforce ses actions en 2024 et fixe ses priorités
Recommandations de la CNIL sur la conformité de l'IA avec le RGPD — Guide officiel de la CNIL IA et RGPD : la CNIL publie de nouvelles recommandations
Présentation de l'Espace européen des données de santé — Résumé Wikipédia Espace européen des données de santé
Impact de la directive NIS2 sur la cybersécurité des soins de santé — EUR-Lex Exigences de la directive NIS2
Découvrez comment les entreprises françaises peuvent renforcer la responsabilité d'entreprise en matière d'impact ESG grâce à la gouvernance, la supervision du conseil, les contrôles de...
Découvrez la conformité AML en France : réglementation LCB-FT, KYC, CDD, TRACFIN, évaluations des risques, surveillance des transactions, obligations de formation et bonnes pratiques pour...
Découvrez les meilleures pratiques de gouvernance ESG pour les entreprises françaises, couvrant la supervision du conseil, les contrôles ESG, la CSRD/ESRS, l'AMF, l'ACPR, Sapin II...