Un guide pratique au cœur des enjeux de santé et de cybersécurité
Le 23 mars 2026, l’Autorité de protection des données néerlandaise a publié un guide pratique consacré au traitement des données de santé dans le cloud.
Ce document actualise une précédente publication et élargit considérablement son périmètre. Il ne se limite plus aux dossiers patients, mais couvre désormais l’ensemble des données liées à la santé : informations issues de la médecine du travail, résultats de tests, ou encore données générées par des applications de santé numérique.
Cette évolution reflète une réalité : les données de santé circulent aujourd’hui dans des environnements de plus en plus complexes, où les enjeux de conformité au RGPD et de cybersécurité sont étroitement liés.
Des données particulièrement sensibles dans un environnement à risque
Les données de santé font partie des catégories de données les plus sensibles au sens du RGPD. Leur traitement est soumis à des conditions strictes en raison des risques élevés qu’elles présentent pour les droits et libertés des personnes.
Le recours au cloud, s’il présente des avantages en termes de flexibilité et de performance, introduit également de nouveaux risques. Il implique notamment une externalisation partielle des infrastructures et une dépendance à des prestataires techniques.
Le guide souligne ainsi la nécessité d’identifier précisément les risques liés à ces environnements, qu’il s’agisse de violations de données, d’accès non autorisés ou de transferts internationaux non maîtrisés.
Une responsabilité qui reste entièrement entre les mains de l’organisme
L’un des messages centraux du guide est particulièrement clair : le recours à un fournisseur cloud ne transfère pas la responsabilité du traitement.
L’organisme qui décide de collecter et d’utiliser les données reste responsable de leur protection. Cette responsabilité ne peut être ni déléguée ni atténuée par le simple recours à un prestataire.
Cette précision est essentielle, car elle vient corriger une idée encore répandue selon laquelle la sécurité des données serait principalement assurée par le fournisseur de services cloud. En réalité, le responsable du traitement doit s’assurer que les garanties mises en place sont suffisantes et conformes aux exigences du RGPD.
Une clarification des rôles entre responsable de traitement et sous-traitant
Le guide apporte également des précisions sur la répartition des responsabilités entre les acteurs.
Le fournisseur cloud agit généralement en tant que sous-traitant, chargé de traiter les données pour le compte du responsable de traitement. À ce titre, il doit présenter des garanties suffisantes en matière de sécurité et de confidentialité.
Cependant, le responsable du traitement conserve la maîtrise des finalités et des moyens du traitement. Il lui appartient de définir les exigences, de vérifier les engagements contractuels et de contrôler la conformité des opérations réalisées.
Cette articulation des rôles est essentielle pour assurer une gouvernance efficace des données.
La question stratégique de la souveraineté des données
Le guide met également l’accent sur les enjeux de souveraineté des données.
L’hébergement dans le cloud peut impliquer des transferts de données en dehors de l’Union européenne, notamment lorsque les fournisseurs sont soumis à des législations étrangères. Ces situations nécessitent une vigilance particulière, car elles peuvent entraîner des risques d’accès aux données par des autorités tierces.
Le respect des règles relatives aux transferts internationaux constitue donc un point clé de la conformité. Les organisations doivent s’assurer que les mécanismes juridiques appropriés sont en place et que les risques résiduels sont maîtrisés.
Une convergence entre RGPD et cybersécurité (NIS2)
Le guide souligne également l’importance de l’articulation entre le RGPD et les exigences issues de la directive européenne NIS2.
Cette directive renforce les obligations en matière de cybersécurité pour un grand nombre d’organisations, notamment dans les secteurs critiques. Elle impose des mesures de gestion des risques, de sécurité des systèmes et de notification des incidents.
L’intégration de ces exigences dans la gestion des données de santé est désormais indispensable. Elle traduit une convergence progressive entre protection des données personnelles et sécurité des systèmes d’information.
Un plan par étapes pour sécuriser les traitements
Afin d’accompagner les organisations, l’autorité néerlandaise propose une approche structurée sous forme de plan par étapes.
Ce plan vise à aider les organismes à identifier les points de vigilance et à mettre en place des mesures adaptées. Il repose notamment sur l’analyse des risques, la sélection rigoureuse des prestataires, la formalisation des engagements contractuels et la mise en œuvre de contrôles réguliers.
Cette méthodologie permet d’inscrire la conformité dans une démarche continue, adaptée à l’évolution des technologies et des menaces.
Ce que les organisations doivent retenir
Ce guide confirme une tendance de fond : le recours au cloud ne simplifie pas les obligations en matière de protection des données, il les rend plus exigeantes.
Les organisations doivent adopter une approche proactive, intégrant à la fois les exigences du RGPD et celles liées à la cybersécurité. Cela implique une maîtrise des risques, une gouvernance claire et une capacité à démontrer la conformité.
Dans le domaine de la santé, où les enjeux sont particulièrement élevés, cette exigence est encore renforcée.
L’intérêt d’un accompagnement spécialisé
Face à ces enjeux, l’accompagnement par un expert en protection des données permet de sécuriser les projets impliquant des données de santé dans le cloud.
Un DPO externe peut intervenir pour analyser les risques, encadrer les relations avec les prestataires et s’assurer de la conformité des traitements. Il contribue également à intégrer les exigences de cybersécurité dans une approche globale.
Cette démarche permet de réduire les risques juridiques et opérationnels, tout en garantissant un niveau élevé de protection des données.
Conclusion : le cloud, un levier à maîtriser
Le guide publié par l’autorité néerlandaise rappelle que le cloud constitue à la fois une opportunité et un facteur de risque.
Pour les organisations, l’enjeu est de tirer parti de ses avantages tout en maîtrisant les implications juridiques et techniques. La protection des données de santé ne peut être laissée au hasard, et nécessite une approche structurée et rigoureuse.
Dans ce contexte, la conformité RGPD et la cybersécurité apparaissent comme deux dimensions indissociables d’une stratégie numérique maîtrisée.
