Huge-call
Huge-user
Icon-search11
Huge-call
Huge-user
Icon-search11
  • Cap Formation
  • Cybersécurité
  • Cybersécurité des données de santé : les nouveaux défis 2026 pour protéger les établissements de santé – Partie 2

Cybersécurité des données de santé : les nouveaux défis 2026 pour protéger les établissements de santé – Partie 2

Cybersécurité des données de santé – Partie 2

Les nouvelles attentes de la CNIL en 2026

En 2026, la Commission nationale de l’informatique et des libertés (CNIL) renforce son accompagnement des établissements de santé afin de mieux sécuriser les traitements de données médicales. Son programme de travail met notamment l’accent sur deux axes majeurs :

  • l’évolution des référentiels relatifs à la recherche en santé ;
  • la publication de nouvelles recommandations concernant le dossier patient informatisé (DPI).

 

Ces travaux visent à aider les directions d’établissements, les DPO, les RSSI et les DSI à appliquer des mesures techniques et organisationnelles adaptées aux risques actuels. La CNIL rappelle également que la protection des données de santé ne relève pas uniquement de la conformité au RGPD : elle constitue désormais un véritable enjeu de continuité des soins et de confiance des patients.

L’Espace européen des données de santé ouvre une nouvelle ère

L’un des projets les plus structurants de ces prochaines années est sans aucun doute l’Espace européen des données de santé (EEDS / EHDS).

Entré dans sa phase de déploiement, ce règlement européen vise plusieurs objectifs majeurs :

🌍 permettre aux citoyens d’accéder plus facilement à leurs données médicales ;

🏥 faciliter les soins transfrontaliers ;

🔬 accélérer la recherche médicale ;

🤖 favoriser l’innovation en intelligence artificielle médicale ;

🔒 harmoniser les exigences de cybersécurité dans l’ensemble de l’Union européenne.

Le texte prévoit également des exigences renforcées concernant l’interopérabilité des dossiers médicaux électroniques ainsi que des environnements de traitement hautement sécurisés pour toute réutilisation des données à des fins scientifiques.

Le Health Data Hub poursuit sa transformation

En parallèle, la Plateforme des données de santé (Health Data Hub) poursuit son évolution.

Au printemps 2026, deux nouveaux outils nationaux ont été publiés :

  • un répertoire national des bases de données de santé ;
  • un catalogue national de métadonnées.

 

Ces dispositifs permettront aux chercheurs, établissements hospitaliers, universités et industriels d’identifier beaucoup plus facilement les jeux de données disponibles tout en améliorant leur traçabilité et leur transparence.

À terme, ces catalogues faciliteront également l’intégration des bases françaises au futur Espace européen des données de santé.

La formation des professionnels devient un pilier de la cybersécurité

Aucun logiciel ne peut compenser un manque de sensibilisation des utilisateurs.

Aujourd’hui encore, une part importante des incidents débute par :

  • un courriel frauduleux ;
  • un mot de passe compromis ;
  • un partage inapproprié de documents ;
  • une erreur humaine.

 

Les établissements les plus résilients sont ceux qui investissent régulièrement dans la montée en compétences de leurs équipes.

Une formation efficace doit désormais couvrir :

✅ les techniques modernes de phishing ;

✅ les risques liés à l’intelligence artificielle générative ;

✅ la protection des postes de travail ;

✅ les règles de confidentialité ;

✅ les procédures d’alerte en cas d’incident ;

✅ les exercices de gestion de crise cyber.

Cette approche transforme progressivement chaque collaborateur en premier rempart contre les cyberattaques. La Plateforme des données de santé propose d’ailleurs en 2026 une formation citoyenne dédiée à la cybersécurité des données de santé afin de diffuser ces bonnes pratiques auprès des différents publics.

Les bonnes pratiques à mettre en œuvre dès aujourd’hui

Pour réduire durablement leur exposition aux risques, les établissements de santé peuvent s’appuyer sur plusieurs mesures concrètes :

  • authentification multifacteur (MFA) sur tous les accès sensibles ;
  • segmentation des réseaux informatiques ;
  • sauvegardes déconnectées et régulièrement testées ;
  • supervision continue des infrastructures ;
  • mises à jour de sécurité rapides ;
  • contrôle des prestataires et de leurs accès ;
  • journalisation des événements ;
  • tests d’intrusion réguliers ;
  • politique stricte de gestion des identités ;
  • plans de reprise et de continuité d’activité régulièrement exercés.

 

Ces actions constituent aujourd’hui le socle indispensable d’une stratégie de cybersécurité moderne.

Une question de souveraineté numérique

La cybersécurité des données médicales dépasse désormais le simple cadre technique.

Elle soulève également des enjeux de souveraineté numérique.

En mars 2026, une décision importante du Conseil d’État est venue confirmer l’autorisation délivrée par la CNIL concernant certains traitements opérés dans le cadre du Health Data Hub, tout en rappelant les garanties techniques exigées et l’importance de limiter tout risque d’accès non autorisé aux données sensibles. Cette décision illustre le niveau d’exigence croissant appliqué aux projets manipulant des données de santé.

Conclusion

La cybersécurité des données de santé entre dans une nouvelle phase.

Les cybercriminels exploitent désormais l’intelligence artificielle, ciblent les chaînes de sous-traitance et recherchent avant tout la perturbation durable des systèmes de soins. Face à ces menaces, les réponses évoluent : gouvernance renforcée, nouvelles recommandations de la CNIL, déploiement du programme CaRE, préparation de l’Espace européen des données de santé et développement d’outils nationaux favorisant une exploitation sécurisée des données.

Pour les établissements de santé, la réussite ne dépend plus uniquement des solutions techniques. Elle repose sur une combinaison d’investissements, d’organisation, de formation des professionnels et de coopération entre tous les acteurs de l’écosystème.

Dans un environnement où les données médicales représentent un patrimoine stratégique, renforcer la cybersécurité revient à protéger à la fois les patients, les soignants et la continuité des soins.

FAQ – Cybersécurité des données de santé

Pourquoi les données de santé attirent-elles autant les cybercriminels ?

Parce qu’elles contiennent des informations personnelles particulièrement sensibles, difficiles à modifier et ayant une forte valeur sur les marchés criminels.

Les petits établissements sont-ils concernés ?

Oui. Les cabinets médicaux, laboratoires, cliniques et structures médico-sociales sont désormais autant ciblés que les grands centres hospitaliers.

L’intelligence artificielle améliore-t-elle la cybersécurité ?

Oui. Elle permet notamment de détecter plus rapidement les comportements anormaux, d’anticiper certaines attaques et d’automatiser une partie de la réponse aux incidents. Toutefois, elle est également utilisée par les attaquants, ce qui impose une vigilance accrue.

Pourquoi former les collaborateurs ?

La majorité des cyberattaques exploitent encore une erreur humaine. Former régulièrement les équipes reste l’une des mesures de protection les plus efficaces et les plus rentables.

 

 

CAP Formation — Expert en nouveaux horizons

Depuis 1998, CAP Formation accompagne salariés et entreprises dans le développement de leurs compétences. Plus de 60 000 apprenants formés, 3 000 entreprises clientes, 1,2 million d'heures de formation réalisées — et une équipe de plus de 50 formateurs experts mobilisés chaque jour sur le terrain.

Langues étrangères, informatique & bureautique, intelligence artificielle, cybersécurité, prévention & sécurité — nos formations sont certifiées Qualiopi, finançables CPF ou via votre OPCO, et dispensées en présentiel ou distanciel dans nos 5 agences à Orléans, Tours, Chartres, Trappes et Paris.

Ici, vous retrouverez nos conseils, actualités et analyses sur le monde de la formation professionnelle et les compétences de demain.

Prendre contact

Téléchargez notre certificat Qualiopi ici