Conformité en télémédecine 2026 : RGPD, ISO 27001, HDS — Guide complet pour les professionnels de santé

Les professionnels de santé qui déploient ou étendent un programme de télémédecine en 2026 évoluent dans un cadre réglementaire plus exigeant que jamais. Le RGPD reste le socle, mais la certification HDS (Hébergeur de Données de Santé) est désormais incontournable en France, l'Espace Européen des Données de Santé (EEDS) introduit de nouvelles obligations d'interopérabilité, et ISO 27001:2022 impose des contrôles de sécurité renforcés. Une erreur de conformité peut déclencher des sanctions de la CNIL, une suspension de la certification HDS ou une mise en cause civile — avec des conséquences durables pour la réputation de l'établissement.

La télémédecine n'est plus une solution temporaire : c'est une infrastructure de soins à part entière. Les régulateurs attendent que la consultation à distance respecte les mêmes exigences de sécurité que la consultation en présentiel. Voici ce que chaque acteur de la santé doit maîtriser avant de déployer une solution en 2026.

HDS — La certification obligatoire pour héberger des données de santé en France

Qu'est-ce que la certification HDS ?

La certification Hébergeur de Données de Santé (HDS) est imposée par l'article L.1111-8 du Code de la santé publique à tout acteur qui héberge, infogère ou sous-traite l'hébergement de données de santé à caractère personnel pour le compte de professionnels ou d'établissements de santé. Elle est délivrée par des organismes accrédités par le COFRAC et s'appuie sur la norme ISO 27001 comme socle de sécurité.

Deux périmètres de certification existent :

• Hébergeur d'infrastructure physique : opère les serveurs et les centres de données.
• Hébergeur infogéreur et éditeur de logiciels : gère les applications et les données pour le compte de tiers — périmètre qui concerne directement les éditeurs de solutions de télémédecine.

MedConnect est déployé sur une infrastructure certifiée HDS hébergée en France. Les données de santé de vos patients ne quittent pas le territoire français.

Obligations pratiques pour les établissements prescripteurs

• Vérifier que tout prestataire d'hébergement ou éditeur SaaS détient bien la certification HDS en cours de validité.
• Inclure une clause HDS dans tout contrat de sous-traitance portant sur des données de santé.
• S'assurer que la chaîne de sous-traitance (hébergeur de l'éditeur, fournisseur de sauvegarde, etc.) est également certifiée.
• Documenter la cartographie des flux de données pour répondre à un éventuel contrôle de l'ANS ou de la CNIL.

RGPD et protection des données de santé

Les données de santé : une catégorie à protection renforcée

L'article 9 du RGPD classe les données de santé parmi les données sensibles, dont le traitement est en principe interdit sauf exceptions limitativement énumérées. En pratique, les établissements de santé et les professionnels de santé bénéficient d'une dérogation lorsque le traitement est nécessaire à des fins de médecine préventive, de diagnostic médical ou de prise en charge sanitaire. Cette dérogation n'exonère pas des autres obligations du RGPD.

Mécanismes de consentement adaptés à la télémédecine

La télémédecine implique des traitements spécifiques qui doivent être explicitement portés à la connaissance du patient :

• Nature des données collectées lors de la consultation à distance (vidéo, audio, données vitales transmises par les dispositifs connectés).
• Traitement éventuel par des fonctionnalités d'intelligence artificielle (aide à la décision, comptes-rendus automatisés).
• Accès par des tiers : spécialistes sollicités en téléconsultation, sous-traitants techniques.
• Droits du patient : accès, rectification, effacement et portabilité des données.

Transferts internationaux de données

Tout transfert de données de santé vers un pays hors Espace Économique Européen doit reposer sur un mécanisme de transfert adéquat : décision d'adéquation de la Commission européenne, clauses contractuelles types (CCT) révisées, ou règles d'entreprise contraignantes. Les données de vidéo-consultation, les dossiers partagés avec des spécialistes internationaux et les informations de facturation traitées par des tiers sont tous concernés.

Analyses d'impact relative à la protection des données (AIPD)

Une AIPD est obligatoire pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Les plateformes de télémédecine traitant des données de santé à grande échelle, ou recourant à des technologies innovantes, entrent systématiquement dans ce champ. L'AIPD doit couvrir :

• Nécessité et proportionnalité de la collecte de données.
• Risques liés à la prise de décision automatisée.
• Mesures de protection des droits des patients.
• Mesures techniques et organisationnelles de sécurité.

La CNIL a publié une liste des traitements pour lesquels une AIPD est obligatoire ; les systèmes de télémédecine y figurent explicitement.

ISO 27001:2022 — Contrôles clés pour les systèmes de télémédecine

Délai de transition : déjà expiré

La transition de la norme ISO 27001:2013 vers ISO 27001:2022 devait être finalisée avant le 31 octobre 2025, conformément au document obligatoire IAF MD 26. Les organismes toujours certifiés sous la version 2013 après cette date doivent recommencer le processus de certification depuis le début selon la version 2022. Si votre organisation n'est pas encore certifiée, lancez dès maintenant votre analyse des écarts : une certification complète prend généralement 6 à 9 mois.

Contrôles particulièrement pertinents pour la télémédecine

A.8.9 Gestion de la configuration

Maintenir des configurations de référence sécurisées et documenter toutes les modifications système, y compris les mises à jour firmware des dispositifs médicaux connectés.

A.8.16 Surveillance des activités

Surveiller en continu le trafic réseau, les accès utilisateurs et les performances système pour détecter toute anomalie lors des sessions de téléconsultation.

A.8.23 Filtrage web

Bloquer les sites et téléchargements malveillants susceptibles de compromettre les postes de travail utilisés pour les consultations à distance.

A.8.28 Codage sécurisé

Appliquer des pratiques de développement sécurisé avec revues de code régulières pour toute application de télémédecine développée en interne ou par un prestataire.

Revues de risques trimestrielles

ISO 27001:2022 impose des évaluations des risques régulières couvrant :

• Analyse de vulnérabilités des applications accessibles aux patients.
• Revue des contrôles d'accès et des permissions utilisateurs.
• Évaluation des intégrations tierces et des interfaces API.
• Test des procédures de réponse aux incidents.

MedConnect est certifié ISO 27001:2022 et fait l'objet d'audits indépendants annuels. La posture de sécurité et l'état de conformité actuels sont consultables publiquement sur le centre de confiance Vanta de MedConnect.

Espace Européen des Données de Santé (EEDS)

Le règlement relatif à l'Espace Européen des Données de Santé, adopté en 2024, crée de nouvelles obligations d'interopérabilité et d'accès aux données à l'échelle des États membres de l'Union européenne :

• Normes d'interopérabilité : Les plateformes de télémédecine devront prendre en charge les formats de données standardisés (notamment HL7 FHIR) pour permettre l'échange transfrontalier de données de santé.
• Droit d'accès des patients : Les personnes pourront demander leurs données de santé dans un format lisible par machine dans un délai de 30 jours.
• Portabilité transfrontalière : Les patients en déplacement dans l'UE pourront accéder à leur dossier via tout système conforme à l'EEDS.
• Gestion unifiée du consentement : Des mécanismes de consentement standardisés s'appliqueront à l'ensemble des systèmes de santé européens.

Ces exigences concernent particulièrement les acteurs de télémédecine intervenant dans plusieurs États membres ou gérant des données de patients accessibles à l'international. Les éditeurs de solutions doivent anticiper ces obligations dès la conception des nouvelles fonctionnalités pour éviter des refontes coûteuses.

HIPAA 2026 — Ce que les acteurs français doivent savoir

La réglementation HIPAA (Health Insurance Portability and Accountability Act) est américaine, mais elle concerne les acteurs français dans plusieurs cas : partenariats avec des établissements de santé américains, traitement de données de patients américains, ou déploiement de solutions sur le marché américain. Si l'un de ces scénarios s'applique à votre organisation, voici les points clés de 2026.

Barèmes de sanctions après la révision de janvier 2026

L'Office for Civil Rights (OCR) ajuste chaque année les sanctions HIPAA à l'inflation. Après la révision de janvier 2026, les barèmes en vigueur sont :

• Niveau 1 (absence de connaissance de la violation) : 145 $ à 73 011 $ par violation
• Niveau 2 (cause raisonnable) : 1 461 $ à 73 011 $ par violation
• Niveau 3 (négligence délibérée, corrigée) : 14 611 $ à 73 011 $ par violation
• Niveau 4 (négligence délibérée, non corrigée) : 73 011 $ par violation, plafonné à 2 190 294 $ par an

Pour un récapitulatif détaillé, consultez le guide des sanctions du HIPAA Journal et le guide Medcurity 2026.

Projet de règle sur le chiffrement obligatoire

En janvier 2025, HHS/OCR a publié un avis de proposition de réglementation (NPRM) visant à renforcer la règle de sécurité HIPAA. Le texte propose de rendre le chiffrement des données de santé électroniques (ePHI) obligatoire (supprimant son statut actuel d'exigence « adressable »), d'imposer l'authentification multifacteur et de durcir les contrôles d'audit. Au 1er avril 2026, cette règle n'est pas encore finalisée. Les organisations concernées doivent traiter le chiffrement comme une obligation de facto et suivre les mises à jour de l'OCR sur le projet de règle.

Accords de partenariat (BAA) — nouvelles exigences pratiques

Les meilleures pratiques actuelles pour les accords BAA (Business Associate Agreement) incluent :

• Notification accélérée des incidents : les prestataires doivent notifier les établissements de santé dans les 24 heures suivant la découverte d'une violation potentielle.
• Responsabilité en cascade : l'associé commercial principal reste responsable de la conformité de ses sous-traitants.
• Pistes d'audit renforcées : journalisation complète des accès et modifications aux données de santé.
• Transparence sur la localisation des données : spécification claire des pays et des centres de données où les données des patients sont stockées et traitées.

Cloud vs hébergement sur site — Arbitrages de conformité

Déploiement cloud

• Responsabilité partagée : identifier précisément les contrôles pris en charge par le prestataire cloud et ceux qui restent à votre charge. L'infrastructure cloud de MedConnect est hébergée en France sur des serveurs certifiés HDS.
• Localisation des données : maintenir les données de santé dans les zones géographiques approuvées pour respecter le RGPD et la réglementation HDS.
• Certifications fournisseur : vérifier la validité des certifications HDS, ISO 27001 et, le cas échéant, SOC 2 Type II.
• Sauvegarde et reprise : confirmer que les sauvegardes sont chiffrées et que les délais de reprise d'activité (RTO/RPO) répondent aux exigences cliniques.

Hébergement sur site

• Maîtrise totale des données : les informations patients restent dans votre infrastructure propre.
• Sécurité sur mesure : mise en œuvre de contrôles adaptés à votre profil de risque spécifique.
• Liberté d'intégration : connexion directe aux SIH et aux dispositifs médicaux sans dépendance tierce.
• Conformité réglementaire facilitée : plus simple à justifier dans les juridictions imposant le stockage local des données.

Pour une analyse opérationnelle détaillée de ces deux modèles de déploiement, consultez notre article Plateforme de télémédecine : hébergement sur site ou cloud — ce que les ministères de la santé doivent savoir.

Construire votre programme de conformité en télémédecine

Infrastructures de base

Gestion des identités et des accès (IAM)

Authentification multifacteur pour tous les utilisateurs, contrôles d'accès basés sur les rôles, et revues régulières des habilitations.

Sécurité réseau

VPN obligatoire pour les accès à distance, segmentation réseau du trafic de télémédecine, et systèmes de détection d'intrusion.

Gestion des dispositifs médicaux connectés

Configuration sécurisée des appareils tels que les ECG connectés et les stéthoscopes électroniques, mises à jour régulières du firmware et protocoles d'authentification des dispositifs.

Journalisation et pistes d'audit

Enregistrement exhaustif des activités système, stockage infalsifiable des journaux, et alertes automatisées en cas d'activité suspecte.

Formation et facteurs humains

• Sensibilisation régulière à la sécurité, adaptée aux risques spécifiques de la télémédecine.
• Procédures de réponse aux incidents pour les scénarios de soins virtuels.
• Protection de la vie privée des patients lors des vidéo-consultations.
• Gestion appropriée des données issues des dispositifs médicaux connectés.

Checklist de conformité 2026

1. Certification HDS : votre hébergeur et/ou éditeur SaaS est-il certifié HDS en cours de validité ?
2. Chiffrement de bout en bout : toutes les communications patients sont-elles chiffrées ?
3. AIPD réalisée : une analyse d'impact RGPD a-t-elle été conduite et documentée pour votre plateforme de télémédecine ?
4. ISO 27001:2022 : votre prestataire est-il certifié sous la version 2022 ? (La transition devait être finalisée avant le 31 octobre 2025.)
5. Consentement RGPD : les mécanismes de consentement expliquent-ils clairement les fonctionnalités d'IA et les traitements de données ?
6. Conformité EEDS : vos systèmes supportent-ils les standards d'interopérabilité de l'Espace Européen des Données de Santé ?
7. Formation du personnel : des formations à la sécurité spécifiques à la télémédecine sont-elles dispensées régulièrement ?
8. Réponse aux incidents : les procédures sont-elles à jour pour les incidents de sécurité liés à la télémédecine ?
9. Gestion des prestataires : tous vos partenaires technologiques maintiennent-ils leurs certifications de conformité à jour ?
10. Piste d'audit complète : une journalisation exhaustive est-elle en place pour l'ensemble des activités de télémédecine ?

Les acteurs mettant en œuvre des programmes de télécardologie ou de télésurveillance des patients bénéficient de plateformes intégrant nativement les contrôles de conformité — certification ISO 27001:2022, hébergement HDS en France et pistes d'audit complètes — pour réduire la charge administrative et le risque réglementaire.

Questions fréquentes

La certification HDS est-elle obligatoire pour héberger des données de santé en France ?

Oui. La certification HDS est imposée par l'article L.1111-8 du Code de la santé publique à tout acteur hébergeant des données de santé à caractère personnel pour le compte de professionnels ou d'établissements de santé. Cette obligation couvre aussi bien les hébergeurs d'infrastructure physique que les éditeurs de logiciels hébergeant des données en mode SaaS.

Quelles sont les sanctions RGPD maximales pour une violation de données de santé ?

Les données de santé étant des données sensibles au sens de l'article 9 du RGPD, une violation peut entraîner une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel de l'organisme — le montant le plus élevé étant retenu. La CNIL est compétente pour prononcer ces sanctions en France.

La certification ISO 27001:2022 est-elle obligatoire pour les établissements de santé ?

ISO 27001 n'est pas imposée par la loi, mais elle est exigée ou fortement recommandée dans de nombreux appels d'offres publics et par les acheteurs hospitaliers. Elle constitue également le socle technique de la certification HDS. La transition vers la version 2022 devait être finalisée avant le 31 octobre 2025. Les organismes non encore certifiés doivent démarrer le processus depuis le début.

L'Espace Européen des Données de Santé concerne-t-il dès maintenant les éditeurs ?

Le règlement EEDS est entré en vigueur en 2024. Les obligations relatives à l'accès primaire aux données seront mises en œuvre progressivement. Les éditeurs de systèmes d'information de santé doivent anticiper dès maintenant les exigences d'interopérabilité (notamment HL7 FHIR) pour éviter des délais de mise en conformité de 12 à 24 mois.

Quel est le principal risque de conformité pour la télémédecine en 2026 ?

La sécurité des dispositifs médicaux connectés. De nombreux appareils manquent d'authentification forte et de chiffrement de bout en bout, tels qu'exigés par les mises à jour proposées à la règle de sécurité HIPAA et, en France, par les référentiels de l'ANS. Une faille sur un dispositif connecté à la plateforme peut exposer l'ensemble du dossier patient.