Vous venez d’être nommé DPO dans un hôpital, une clinique ou un établissement de santé ?
La protection des données de santé est l’un des enjeux les plus sensibles du RGPD. Entre dossiers patients informatisés, certification HDS obligatoire, secret médical et exigences de la CNIL, le rôle de DPO hospitalier demande une expertise sectorielle pointue que les formations généralistes ne couvrent pas.
Notre formation certifiante DPO Hospitalier vous donne toutes les clés pour maîtriser les spécificités du secteur santé et réussir votre certification de compétences CNIL avec une préparation terrain adaptée aux établissements de santé.
Pourquoi un DPO spécialisé pour le secteur hospitalier ?
Les établissements de santé manipulent les données les plus sensibles qui existent : dossiers médicaux, antécédents, résultats d’analyses, imagerie médicale, données génétiques…
La CNIL est particulièrement vigilante sur ce secteur, comme en témoignent les nombreuses mises en demeure d’hôpitaux et cliniques ces dernières années pour :
- Défauts de sécurité sur l’accès au Dossier Patient Informatisé (DPI)
- Absence de traçabilité des consultations de dossiers médicaux
- Non-conformité de l’hébergement des données de santé
- Durées de conservation excessives
- Absence d’analyse d’impact (PIA) sur les traitements à risque
Les enjeux spécifiques du DPO hospitalier
| Enjeu | Complexité | Exemple concret |
|---|---|---|
| Données ultra-sensibles | 🔴 Très élevée | Données génétiques, VIH, psychiatrie |
| Secret médical vs RGPD | 🔴 Très élevée | Équilibre entre confidentialité et droits des patients |
| Interopérabilité | 🟠 Élevée | Partage CHU ↔ médecin traitant ↔ laboratoires |
| Hébergement HDS | 🟠 Élevée | Obligation de certification pour tout hébergeur |
| Droits des patients | 🟠 Élevée | Accès au dossier, rectification, opposition |
| Surveillance employés | 🟡 Moyenne | Badgeuses, accès aux locaux, caméras |
💡 Le saviez-vous ? La désignation d’un DPO est obligatoire pour TOUS les établissements de santé publics (CHU, hôpitaux, EHPAD publics) et pour les structures privées traitant plus de 10 000 dossiers patients par an.
Obligations légales du DPO en établissement de santé
Base légale de la désignation
La désignation d’un DPO est obligatoire dans les cas suivants (Article 37 RGPD) :
✅ Tous les organismes publics → inclut les hôpitaux publics, CHU, EHPAD publics
✅ Traitement à grande échelle de données sensibles de santé → cliniques privées, groupes hospitaliers
✅ Suivi régulier et systématique des personnes → télésuivi, objets connectés de santé
Missions du DPO hospitalier selon le RGPD et la CNIL
1. Informer et conseiller la direction et les services (urgences, radiologie, laboratoires, pharmacie, RH…)
2. Contrôler le respect du RGPD :
- Cartographie des traitements de données de santé
- Registre des activités de traitement
- Analyses d’impact (PIA) obligatoires pour les traitements à risque
- Audits de conformité réguliers
3. Coopérer avec la CNIL :
- Point de contact privilégié en cas de contrôle
- Notification des violations de données dans les 72 heures
- Réponse aux mises en demeure
4. Sensibiliser les équipes :
- Personnel médical (médecins, infirmières, aides-soignants)
- Personnel administratif (accueil, archives, facturation)
- Services informatiques et prestataires externes
⚠️ Important : Le DPO n’est pas personnellement responsable en cas de non-conformité. C’est l’établissement de santé (le responsable de traitement) qui engage sa responsabilité juridique et financière.
Les spécificités RGPD du secteur santé
A. Le Dossier Patient Informatisé (DPI) : cœur du système
Le DPI centralise toutes les informations médicales d’un patient au sein d’un établissement :
- Données d’identification (état civil, NIR, carte vitale)
- Antécédents médicaux et allergies
- Prescriptions et traitements en cours
- Comptes rendus d’hospitalisation et de consultation
- Résultats d’analyses biologiques
- Imagerie médicale (radios, IRM, scanners)
- Données de surveillance (monitoring)
Exigences CNIL spécifiques au DPI :
| Exigence | Détail | Sanction en cas de manquement |
|---|---|---|
| Traçabilité des accès | Tout accès au DPI doit être tracé et justifié | Mise en demeure CNIL |
| Habilitations nominatives | Matrice de droits par profil (médecin, IDE, admin) | Contrôle interne obligatoire |
| Cloisonnement | Accès limité au « besoin d’en connaître » | Secret médical compromis |
| Archivage sécurisé | Conservation 20 ans après dernier séjour | Perte de preuve médicale |
| Purge des données | Suppression au-delà des durées légales | Amende RGPD |
📖 Référence : Projet de recommandation CNIL sur le DPI (mars 2025)
B. Certification Hébergement de Données de Santé (HDS)
Depuis 2018, tout hébergeur de données de santé DOIT être certifié HDS (Article L.1111-8 du Code de la santé publique).
Qu’est-ce que l’HDS ?
La certification HDS garantit que l’hébergeur (cloud, datacenter, prestataire) respecte des normes de sécurité renforcées pour protéger les données de santé.
Qui est concerné ?
- ✅ Éditeurs de logiciels médicaux (DPI, PACS, LAP)
- ✅ Prestataires cloud (AWS, Azure, OVH avec certification HDS)
- ✅ Hébergeurs de serveurs internes à l’hôpital
- ✅ Archiveurs de documents médicaux
Activités HDS à certifier :
- Mise à disposition et maintien en condition opérationnelle de l’infrastructure
- Administration et exploitation de l’infrastructure
- Sauvegarde externalisée
🔍 Rôle du DPO : Vérifier que TOUS les prestataires hébergeant des données de santé disposent d’une certification HDS valide et à jour. Intégrer cette exigence dans les contrats de sous-traitance.
C. Secret médical et partage d’informations
Articulation délicate entre :
- Secret médical (Article L.1110-4 du Code de la santé publique) : obligation absolue de confidentialité
- RGPD : droits des patients (accès, rectification, portabilité)
- Partage nécessaire aux soins : entre professionnels de santé
Cas pratiques fréquents :
| Situation | Règle applicable | Action du DPO |
|---|---|---|
| Patient demande accès à son dossier | Droit d’accès RGPD + Code santé publique | Procédure d’accès sous 8 jours (urgence) ou 2 mois |
| Famille demande infos sur patient majeur | Secret médical prime | Refus sauf autorisation écrite du patient |
| Partage avec médecin traitant | Consentement implicite pour soins | Vérifier accord patient + canal sécurisé |
| Recherche médicale | Consentement explicite ou intérêt public | PIA obligatoire + avis comité éthique |
D. Durées de conservation spécifiques
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Dossier médical complet | 20 ans après dernier passage | Code santé publique |
| Imagerie médicale | 20 ans (mammographies : à vie) | Décret n°2006-6 |
| Registre des naissances | Conservation définitive | Archives publiques |
| Données RH du personnel | Selon droit du travail (5-50 ans) | RGPD + Code du travail |
| Logs d’accès au DPI | 3 ans minimum (6 mois RGPD + 30 mois prescription pénale) | Recommandation CNIL |
E. Violations de données et notification CNIL
Le secteur santé est une cible privilégiée des cyberattaques (ransomwares, fuites de données).
Procédure en cas de violation :
- Détection de l’incident (piratage, perte USB, email erroné…)
- Évaluation du risque pour les droits et libertés des patients
- Notification CNIL sous 72h si risque élevé
- Information des patients concernés si risque très élevé pour leur vie privée
- Mesures correctives + documentation dans le registre des violations
🚨 Exemple réel : En 2024, un CHU a dû notifier à la CNIL une fuite de 50 000 dossiers patients suite à un ransomware. Coût : 500K€ de remédiation + atteinte à la réputation.
Certification HDS : un prérequis incontournable {#certification-hds}
Pourquoi l’HDS est crucial pour le DPO hospitalier ?
En tant que DPO, vous devez :
- ✅ Auditer les infrastructures d’hébergement actuelles
- ✅ Exiger la certification HDS de tous les prestataires
- ✅ Vérifier la validité des certificats (durée 3 ans)
- ✅ Accompagner l’établissement vers la certification si hébergement interne
Les 3 activités HDS
| Activité | Description | Exemple |
|---|---|---|
| A1 | Mise à disposition de l’infrastructure physique | Datacenter, baies serveurs |
| A2 | Administration de l’infra (OS, réseau, sécurité) | Équipes IT, infogérance |
| A3 | Sauvegarde externalisée des données | Backup hors site |
💼 Cas pratique formation : Comment auditer un contrat cloud et identifier les manquements HDS ? Comment accompagner un DSI dans la démarche de certification ?
Programme détaillé de la formation DPO Hospitalier
🎓 Formation de 35 + 14 heures en présentiel
Format Impact-RGPD : 5 stagiaires maximum pour un accompagnement personnalisé sur VOTRE projet de conformité hospitalière.
Formation de DPO en mode projet …5 jours de pratique…sur votre cas réel
- Jour 1 : Les grands principes du RGPD, le périmètre
- Jour 2 : Le profil du DPO, identification et cartographie
- Jour 3 : Outils du DPO, création de plans d’actions
- Jour 4 : Les transferts de données et Sensibiliser les acteurs
- Jour 5 : Risques, impacts et sécurité….RGPD en qualité continue
A l’issue de la formation, le participant est en capacité de :
- Comprendre les enjeux de la protection des données et le cadre de la règlementation à un niveau très fin permettant de présenter la certification opérée par les organismes de certification agréés par la CNIL
- Connaitre les principes du RGPD et se les approprier dans un contexte professionnel, de diagnostic, de conseil, de DPO, de formation.
- Mettre en œuvre les outils de conformité RGPD dans son entreprise ou chez un tiers client
- Construire et maintenir les éléments de preuve de la conformité
- Conseiller les Responsables de Traitements sur la conduite et la gestion des études d’impacts sur la vie privée PIA (EIVP)
- Connaître les outils de suivi de la conformité
- Conseiller les responsables de traitement sur les principaux moyens de sécurisation de données personnelles
- Organiser la documentation et préparer l’accueil de la CNIL en cas de contrôle
Il sera remis au stagiaire une attestation de suivi, un certificat et un bilan de formation.
Module DPO Santé : 2 jours de formation spécifique pour les DPO / référents RGPD du domaine de la santé.
Le programme se déroule sur 2 jours soit 14 heures de formation.
Matin 1 : Identification des données et des flux
Cette première matinée permet d’acquérir la vision de détails des données collectées et circulant dans un établissement de santé. Nous aborderons les systèmes de gestion de données, les flux et les systèmes de traitements (logiciels, bases de données, appareils connectés, réseaux) mais aussi la typologie de données, les activités et tâches des destinataires.
Nous verrons également les spécificités liées à l’hébergement de données de santé HDS. Et la différence en Partage et Echange de Données de santé.
Après -midi 1 : Cas pratique
Dans le cadre de ce module l’après-midi est consacrée à la réalisation d’un cas pratique. Il s’agit d’une mise en situation, en groupe, d’identification des systèmes, des données et des flux dans l’établissement du stagiaire (un travail préalable à la formation est demandé au stagiaire).
Dans le cas d’une formation en INTRA, ce cas pratique peut être unique et totalement adapté aux besoins et spécificités des stagiaires de la formation
Matin 2 : Défense, résilience, continuité
Cette seconde matinée permet d’acquérir les méthodes de gestion que le DPO doit aider à mettre en place dans le cas d’une crise de fonctionnement de l’établissement (ex. Blocage des systèmes informatiques) et de son implication dans l’élaboration d’un PCA de l’établissement.
Nous verrons également les processus liés aux habilitations et droits d’accès aux données de santé de l’équipe de soins ainsi que la formalisation ou l’audit des processus d’identitovigilance.
Après -midi 2 : Cas pratique
Dans le cadre de ce module l’après-midi est consacrée à la réalisation d’un cas pratique.
Il s’agit d’une mise en situation, sur un processus complet impliquant des données de santé, dans lequel le stagiaire doit identifier toutes les actions à mettre en place afin de concevoir ou améliorer le traitement de données pour une mise en conformité RGPD (y compris, si applicable, hébergement, identitovigilance, PCA, PGSSI-S…etc)
Respects des principes fondamentaux, hébergement des données, liaison interne et externe des données, liens avec les prestataires, exercices des droits, continuité des soins en mode de travail dégradé, résilience des systèmes, maintien de l’identitovigilance etc…
📌 Objectifs :
Ce module de formation a pour objectif de fournir aux personnes désirant faire de la protection des données personnelles dans le domaine de la santé, les spécificités liées à ce domaine d’activité
A l’issue de la formation, le participant est en capacité de :
- Identifier les flux de données en santés dans les établissements de type CHU, CHR, EHPAD, MSP, Centres de soins, Etablissements d’aide au maintien à domicile, Dispensaires, centre de groupement médical. Flux internes et flux externes.
- Identifier les failles de sécurité, concevoir et prendre en main les plans d’actions pour corriger les failles identifiées et gérer la continuité d’activité (PCA)
- Accompagner la gestion de crise et la résilience des soins
- Connaitre les attendus en matière : d’hébergement de données de santé (HDS), la gestion de l’identitovigilance, la notion d’accès (droits et habilitations) aux données et la notion d’équipe de soins, le transfert sécurisé de données de santé, pour tous types de destinataires de données à caractère personnel, sensibles ou non sensibles, dans son établissement
Préparation intensive à la certification CNIL
🎯 Objectif : 100% de réussite à l’examen de certification
Notre formation intègre une préparation directe et intensive à l’examen de certification de compétences de DPO reconnu par la CNIL.
Méthodologie de préparation
✅ Base de 500+ questions commentées
✅ 10 quiz blancs dans les conditions réelles d’examen (QCM chronométrés)
✅ Sessions de révision collectives : points de blocage et astuces
✅ Fiches de synthèse sectorielles : santé, HDS, DPI, secret médical
✅ Accompagnement post-formation jusqu’à l’obtention de la certification
Format de l’examen de certification
- Durée : de 2 à 3h00 suivant organisme choisi
- Format : QCM de 100 ou 120 questions
- Score requis : 75/100 minimum
- Validité : 3 ans (renouvellement possible)
🏆 Taux de réussite Impact-RGPD : 82% en première tentative (contre 65% en moyenne nationale)
Tarifs et financement
💰 Tarifs de la formation DPO Hospitalier
| Formule | Durée | Prix | Inclus |
|---|---|---|---|
| Formation DPO | 35h présentiel | 3 500 € HT | ✅ Support de cours ✅ Accès plateforme quiz ✅ Modèles et templates RGPD ✅ Suivi post-formation 3 mois |
| Module DPO Santé | 14h présentiel | 1 200 € HT | ✅ Support de cours ✅ Accès plateforme quiz ✅ Modèles et templates santé |
| Formation + Accompagnement | 49 + 15h coaching | 6 599 € HT | ✅ Tout inclus ci-dessus ✅ 15h d’accompagnement individuel ✅ Relecture registre et PIA ✅ Préparation contrôle CNIL |
🎓 Financement OPCO
✅ Organisme certifié Qualiopi : prise en charge possible par votre OPCO
✅ Plan de formation de l’établissement
✅ Financement DPC pour les professionnels de santé
👉Contactez-nous pour un devis personnalisé et l’étude de votre dossier de financement
9️⃣ FAQ – Vos questions sur la certification DPO Hospitalier {#faq}
❓ La certification DPO est-elle obligatoire pour exercer en établissement de santé ?
Non, la certification n’est pas obligatoire légalement. Cependant, elle est fortement recommandée par la CNIL et de plus en plus exigée par les recruteurs (CHU, cliniques, groupes hospitaliers). Elle atteste de vos compétences et rassure la direction sur votre capacité à piloter la conformité RGPD.
❓ Puis-je suivre la formation si je ne suis pas du secteur médical ?
Oui, absolument ! Vous n’avez pas besoin d’être médecin ou soignant. La formation est conçue pour transmettre les connaissances sectorielles nécessaires, même à des profils juridiques, IT ou administratifs. Nous formons aussi bien des juristes, DSI, DRH que des professionnels de santé reconvertis.
❓ Quelle est la différence entre DPO interne et DPO externalisé en santé ?
DPO interne : salarié de l’établissement, connaissance terrain, disponibilité immédiate, risque de conflit d’intérêt si autres missions.
DPO externe : prestataire indépendant, expertise multi-sites, vision transversale, coût maîtrisé, moins de proximité quotidienne.
Les deux sont possibles selon la taille de l’établissement. Un CHU privilégiera un DPO interne, une petite clinique un DPO mutualisé externe.
❓ La formation couvre-t-elle les EHPAD et établissements médico-sociaux ?
Oui, partiellement. Les fondamentaux RGPD santé et HDS sont communs. Cependant, les EHPAD ont des spécificités supplémentaires (consentement personnes vulnérables, tutelles, téléassistance…) que nous traitons en profondeur dans notre formation DPO EHPAD dédiée.
Si votre établissement est un EHPAD, nous recommandons la formation spécialisée EHPAD plutôt que la formation hospitalière classique.
❓ Combien de temps après la formation puis-je passer la certification ?
Vous pouvez vous inscrire à l’examen immédiatement après la formation. En moyenne, nos stagiaires passent l’examen 2 à 8 semaines après la formation, le temps de réviser les quiz et de consolider les acquis. Nous vous accompagnons jusqu’à l’obtention de la certification.
❓ Que se passe-t-il si je rate l’examen de certification ?
Vous pouvez le repasser autant de fois que nécessaire. Nous analysons avec vous les points de blocage et vous proposons des révisions ciblées. Notre accompagnement post-formation ne s’arrête pas à la première tentative : nous vous soutenons jusqu’à la réussite.
Taux de réussite en 2e tentative : 95%.
❓ La formation peut-elle se faire en INTRA dans mon établissement ?
Oui ! Nous nous déplaçons partout en France pour des formations INTRA. C’est même recommandé si vous souhaitez former plusieurs collaborateurs simultanément (équipe DPO + DSI + responsable qualité + direction).
L’avantage : nous travaillons directement sur VOS process, VOTRE DPI, VOS contrats, pour un accompagnement ultra-personnalisé.
Demandez un devis INTRA : nous adaptons le programme et la durée selon vos besoins.
❓ Proposez-vous un accompagnement après la formation ?
Oui, systématiquement ! Toute formation inclut 3 mois d’accompagnement post-formation :
- 📧 Réponses à vos questions par email
- 📞 Deux appels de suivi (1h chacun)
- 📄 Relecture de vos documents (registre, PIA…)
- 🎯 Coaching pour la certification
Option premium : accompagnement renforcé de 15h (cf. formule ci-dessus) pour une mise en conformité complète.
❓ Quels outils et templates sont fournis ?
Vous repartez avec une boîte à outils opérationnelle :
- ✅ Registre des traitements spécifique santé (Excel + Word)
- ✅ Modèles de PIA pré-remplis (DPI, télémédecine, recherche)
- ✅ Clauses contractuelles HDS / sous-traitance
- ✅ Procédures : gestion des droits, violations de données, contrôle CNIL
- ✅ Supports de sensibilisation pour le personnel médical
- ✅ Checklists d’audit de conformité
- ✅ Accès plateforme de quiz (500+ questions)
Tous les documents sont personnalisables et utilisables immédiatement dans votre établissement.
🚀 Prêt à devenir DPO Hospitalier Certifié ?
📞 Réservez votre place en formation DPO Hospitalier
5 places maximum par session · Certification Qualiopi · Financement OPCO/CPF
✉️ Ou envoyez-nous un email : info@impact-rgpd.fr
