Éditeurs de logiciels en santé : sécurité renforcée et nouvelles obligations !

Le secteur de la santé est l'une des cibles prioritaires de la cybercriminalité. La sensibilité des données traitées, la multiplicité des acteurs numériques impliqués et un sous-investissement en cybersécurité en font un terrain structurellement vulnérable.

La CNIL avait d’ailleurs sanctionné lourdement un éditeur de logiciel dans le secteur de la santé en fin d’année 2025 à hauteur de 1,7 million d’euros (lire notre commentaire).  

Les chiffres sont éloquents : lors de la journée RGPD « Données de santé et recherche » qui s’est déroulée à Paris le 26 mars, la CNIL a précisé avoir enregistré plus de 6 000 notifications de violations de données en 2025, dont 8 % dans le secteur santé — et sur les seuls derniers mois de l'année 2025, ce pourcentage est passé à 53 % pour le secteur de la santé. La menace est donc massive et concentrée !  

Face à ce constat, législateur et régulateur ont accéléré la construction d'un cadre normatif renforcé. Nous examinerons les incidents récents pour mesurer l'ampleur de la menace (1) afin de comprendre la volonté – continue - des législateurs français et européen de venir renforcer les obligations en matière de sécurité dans ce secteur (2). Nous avons également préparé une check-list des obligations à la charge des éditeurs de logiciel en santé.  

I. Panorama des dernières violations de données en santé en France : tous les acteurs sont concernés

Novembre 2024 : le logiciel hospitalier Mediboard a été compromis, aboutissant à la mise en vente des données de 750 000 patients situés en France — identité, ordonnances, médecin traitant, historique mutuelle —sur BreachForums, le forum sur la cybercriminalité. D’après l’éditeur du logiciel, l'origine de la violation est une usurpation de compte chez l'un de ses clients (L’Usine Digitale, 20 novembre 2024, Un établissement de santé victime d'une fuite de données, 750 000 dossiers de Français dérobés, Y. BOURGIN).

Août 2025 : le groupe de laboratoires Inovie Labosudn détecte une intrusion menée via les identifiants compromis d'un prestataire externe. Résultat : 3,2 millions de patients exposés — données administratives, coordonnées, informations de sécurité sociale et mutuelle, mais aussi données médicales relatives aux analyses réalisées (L’Usine Digitale, 26 septembre 2025, Des données médicales exposées après un incident de sécurité chez Inovie Labosud, A. VITARD).  

Septembre 2025 : le GIP Inéa Santé Numérique Hauts-de-France – une administration publique - signale une cyberattaque ciblant les données d'identité de patients d'hôpitaux publics. Fort heureusement, aucun dossier médical compromis, mais l'incident rappelle que les autorités publiques sont également concernées par ces menaces (ARS Hauts-de-France, 8 octobre 2025, Cyberattaque menée contre les données d’identité des patients des hôpitaux publics de la région).  

Octobre 2025 : le logiciel de gestion de patientèle - MonLogicielMedical de Cegedim Santé - subit une cyberattaque concernant jusqu’à 15 millions de patients en France. C'est la plus grande fuite de données de santé jamais survenue en France (Siècle digital, 2 mars 2026, Cyberattaque massive contre un logiciel médical : jusqu’à 15 millions de Français concernés, F. OLIVIERI).

Novembre 2025 : le premier logiciel médical SaaS destiné à des libéraux en France – édité par Weda – a subit une cyberattaque privant 23 000 professionnels de santé de l'accès à l’outil pendant plusieurs jours, avec un risque d'exfiltration de données patients (Le Monde, 18 novembre 2025, Une cyberattaque contre Weda, logiciel utilisé par des milliers de médecins, provoque paralysie du système et fuite de données, M. SZADKOWSKI).  

Fin novembre 2025 : la plateforme de téléconsultation MédecinDirect est victime d'une intrusion ayant conduit à la compromission des données de 320 000 patients — motifs de consultation, échanges avec les médecins et numéros de sécurité sociale (L’Usine Digitale, 8 décembre 2025, Cyberattaque : La plateforme de téléconsultation MédecinDirect victime d’une fuite de données, 285 000 personnes touchées, A VITARD).

Ces incidents ont un point commun : dans chaque cas, un prestataire numérique — éditeur de logiciel, hébergeur, infogéreur, sous-traitant — se trouve au cœur de la violation, qu'il en soit directement à l'origine ou qu'il n'ait pas réagi suffisamment vite.

Le réflexe habituel consistant à se renvoyer la responsabilité entre éditeur et client est devenu une impasse. Chaque incident, quelle qu'en soit la cause immédiate, doit interroger l'ensemble de la chaîne des acteurs : comment aurait-il pu être évité ?

Nous proposons de dresser un état des lieux des dispositions législatives, règlementaires et des recommandations applicables aux éditeurs de logiciel en santé.  

II. Le cadre applicable aux éditeurs de logiciel en santé : obligations et nouvelles exigences

Les deux dernières années et le début 2026 marquent une densification notable du cadre normatif applicable aux prestataires dans le numérique en santé. Nous distinguons ci-après les textes contraignants et le soft law, par ordre chronologique.

2.1. Les textes contraignants

Directive NIS 2 : Adoptée en 2022, la directive NIS 2 (Directive n°2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union) étend considérablement le périmètre de NIS 1 et introduit des obligations substantielles pour le secteur de la santé.

Dorénavant, les établissements de soins, laboratoires, fabricants de dispositifs médicaux et certains prestataires numériques sont désormais qualifiés d'entités essentielles ou importantes. Cette qualification impose des obligations renforcées, qui impactent les prestataires et plus précisément les éditeurs de logiciels en santé proposant leurs services à ces acteurs.  

Deux apports majeurs de NIS 2 concernant la sécurité, méritent d'être soulignés :  

  • les obligations de notification des incidents sont renforcées : alerte initiale sous 24h, notification complète sous 72h.  
  • la sécurité de la chaîne de sous-traitance devient une obligation formelle : les prestataires et fournisseurs doivent être évalués et leurs prestations contractuellement encadrées.

Les sanctions peuvent atteindre jusqu’à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

La transposition de la directive NIS 2 en droit français est en cours : le projet de loi « Résilience » est actuellement devant l'Assemblée nationale.  

A noter : L’ANSSI lance le référentiel « RECYF » pour aider les organisations à se préparer aux exigences de la directive NIS 2. Cet outil propose des bonnes pratiques pour renforcer la cybersécurité, notamment en matière de gestion des risques et de résilience afin d’anticiper la loi « Résilience ».  

Loi SREN : Adoptée en 2024, la loi SREN9 transpose en droit français notamment les règlements européens DSA et DMA de 2022. Cette loi a pour objectif de restaurer la confiance des citoyens dans le numérique et d'encadrer les pratiques des grandes plateformes.

Concernant spécifiquement la santé les acteurs du numérique en santé, la loi a ajouté ces deux obligations notables  :  

  • Les données de santé doivent être stockées sur le territoire d'un État membre de l'Union Européenne ou de l'Espace Économique Européen ;  
  • Les accès distants aux données de santé depuis des pays tiers restent possibles mais doivent être encadrés contractuellement et faire l'objet d'une transparence envers les clients et personnes concernées.  

Ces exigences figurent dans le décret du 24 mars 2026 et dans le nouveau référentiel HDS V2.  

À noter : la loi SREN n'interdit pas le recours à des prestataires non européens pour l’hébergement des données de santé — elle ajoute des conditions contractuelles et pratiques dans un tel cas.  

Décret du 3 mars 2026 : Ce décret10 précise le régime de sanctions applicable aux prestataires de services numériques en santé en cas de non-respect des référentiels nationaux d’interopérabilité, de sécurité et d’éthique, ainsi qu’en l’absence de certification de conformité lorsque celle-ci est requise pour leurs activités.

Le décret confie à l'Agence du numérique en santé (ANS) un rôle central dans la constatation des manquements et sanction des prestataires concernés. Le quantum de la sanction peut aller d’un % du chiffre d'affaires hors taxes réalisé en France et jusqu’à 1 million d'euros.  

A noter : en plus des prestataires directement concernés, les utilisateurs peuvent également être sanctionnés en cas non-respect des référentiels par ces prestataires.  

Décret du 24 mars 2026 : Le décret11 modifie le Code de la santé publique pour y intégrer les exigences déjà inscrites dans le référentiel HDS v2 (voir ci-dessus la loi SREN). Il impose aux hébergeurs de données de santé trois obligations — déjà inscrites dans le référentiel HDS v2 : fonder tout accès distant depuis un pays tiers sur une base juridique RGPD solide, mentionner explicitement dans le contrat d'hébergement les transferts et risques d'accès extra-européens, et maintenir une cartographie actualisée des accès distants aux données.

2.2. Soft law

Circulaire n° 6519/SG du Premier ministre, datée du 5 février 2026 : La circulaire12 fixe les objectifs prioritaires des achats numériques de l'État. Elle s'adresse notamment aux établissements de soins et de santé, aux ARS, à l’exclusion des acteurs privés.

Parmi ses priorités, la souveraineté numérique occupe une place centrale. La circulaire affirme l'exigence de recourir à des prestataires certifiés SecNumCloud – et non uniquement HDS V2- pour l'hébergement des données de santé. L’objectif étant de maximiser « l'immunité aux législations extra-européennes à portée extraterritoriale » particulièrement menacée par le Cloud Act américain et FISA.

Il convient de rappeler que, dans la hiérarchie des normes, la circulaire constitue un acte administratif de rang inférieur, placé en dessous des lois et des décrets.

La Doctrine du numérique en santé 2026 : Publiée le 13 mars 2026 par la Délégation au numérique en santé (DNS), la nouvelle Doctrine du numérique en santé13 constitue le référentiel pour l'ensemble des acteurs du secteur de la santé : établissements de santé, structures médico-sociales, professionnels de santé, entreprises du numérique en santé et institutions publiques.

Elle intègre les évolutions réglementaires récentes, notamment les exigences issues de NIS 2 et traduit en obligations pratiques les attentes en matière d'interopérabilité, de sécurité et d'éthique.  

La Doctrine du numérique en santé consacre une fiche dédiée à la sécurité, articulée autour de deux axes : la régulation SSI européenne et nationale, incluant la PGSSI-S et la certification HDS V2 ainsi que les exigences de sécurité applicables aux grands programmes numériques en santé, dont le programme CaRE visant à renforcer la résilience des établissements face aux cyberattaques.  

CNIL – Journée RGPD (26 mars, Paris) : Face à la multiplication des violations de données en santé, la CNIL recommande que les sous-traitants lui notifient directement les violations de données personnelles. Cette approche permettrait de centraliser les notifications, de simplifier les démarches des responsables de traitement et d’améliorer la fiabilité des données relatives aux violations.

2.3. A venir

Nous attendons dans les prochains mois :  

  • l’adoption de la loi « Résilience » transposant la directive NIS 2 et le Cyber Resilience Act en droit français ;  
  • le décret d’application de l’article 31 de la loi SREN, qui précisera les modalités concrètes de mise en œuvre de l’exigence de « cloud souverain » pour les administrations et opérateurs publics recourant à des prestataires cloud privés.
  • le projet de recommandation sur la sécurité du dossier patient informatisé préparé par la CNIL à l'issue de contrôles menés auprès de plusieurs établissements de santé – il comporte 15 fiches pratiques, dont plusieurs consacrées à la sécurité14

Nous avons regroupé dans une checklist les principaux réflexes et obligations applicables aux éditeurs de logiciels dans le secteur de la santé, selon les textes concernés :  

RGPD — traitement des données de santé

  • Mettre en œuvre les mesures de sécurité appropriées  
  • Auditer ses sous-traitants ultérieurs et s'assurer de leurs garanties
  • Effectuer les notifications auprès de la CNIL en cas de violation de données et fournir des informations aux responsable de traitement — (par exemple leur fournir les modèles de notification à la CNIL et aux personnes concernées)

Décret du 3 mars 2026 — référentiels

  • Vérifier si son activité est soumise à un référentiel d'interopérabilité, de sécurité ou d'éthique (à ce jour : dispositifs médicaux et téléconsultation)
  • Se conformer au référentiel applicable et en démontrer proactivement la conformité aux clients

Loi SREN & référentiel HDS v2 — hébergement des données de santé

  • Maintenir / ou s’assurer que le sous-traitant en charge de l’hébergement des données de santé maintient sa certification HDS v2 pour toute activité d'hébergement ou d'infogérance de données de santé
  • Maîtriser sa chaîne de sous-traitance et prévoir dans le contrat les obligations de sécurité
  • Assurer la transparence envers les clients et les personnes concernées sur les sous-traitants et transferts de données hors EEE
  • Mettre à jour le tableau de représentation des garanties publié sur le site  

Directive NIS 2 —Entités essentielles et importantes

Si l’éditeur propose ses services à des clients qualifiés d’EE ou EI :  

  • Mettre en place les mesures techniques et organisationnelles adaptées, telles que la PSSI, gestion des incidents, gestion des accès
  • Maîtriser et auditer l'ensemble de la chaîne de sous-traitance — contractualisation des exigences de sécurité
  • Respecter les délais de notification des violations de données à l'ANSSI (24h pour l’alerte, 72 h pour la notification complète et le rapport final sous un mois)  

Doctrine du Numérique en santé — sécurité et interopérabilité

  • Respect des exigences SSI
  • Respect du Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) si le logiciel est destiné aux professionnels de santé

Circulaire Lecornu — Commande publique

Si l’éditeur propose ses services à des acteurs publics :  

  • Héberger les données de santé dans l'EEE — aucun accès depuis un pays tiers n'est autorisé
  • Obtenir la qualification SecNumCloud pour les solutions hébergeant des données de santé

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !  

Clémentine Beaussier, avocate associée chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
1er avril 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité