Le secteur de la santé privée en Espagne fait face en 2025 à une convergence réglementaire sans précédent : d'un côté, les obligations déjà établies du Règlement (UE) 2016/679 (RGPD) et de la Loi organique 3/2018 (LOPD-GDD, loi nationale espagnole sur la protection des données) en matière de protection des données de santé ; de l'autre, les nouvelles obligations du Règlement (UE) 2024/1689 sur l'Intelligence Artificielle (Règlement IA), dont les dispositions entrent en vigueur de manière échelonnée jusqu'en août 2026. L'intersection de ces deux cadres réglementaires nécessite une gestion intégrée du risque juridique que les services de conformité et les Délégués à la Protection des Données du secteur doivent aborder de manière coordonnée.
Données de santé : protection renforcée sous le RGPD et la LOPD-GDD
L’article 9 du RGPD classe les données relatives à la santé comme données à caractère personnel de catégorie spéciale et interdit leur traitement sauf dans le cadre de l’une des exceptions prévues à l’article 9.2. Dans le contexte des soins de santé, les bases juridiques les plus courantes sont :
Le consentement explicite (article 9.2.a RGPD) : valable pour les traitements non directement liés à la prestation de soins, tels que l’envoi de communications commerciales sur des services de santé complémentaires, la participation à des études épidémiologiques à des fins de recherche privée, ou le traitement de données pour améliorer les systèmes d’IA clinique. Le consentement doit être spécifique à chaque finalité, éclairé et librement donné. Dans le contexte des soins de santé, la relation de dépendance entre patient et prestataire peut compromettre la liberté du consentement, de sorte que les critères de qualité sont particulièrement exigeants.
La nécessité à des fins de médecine préventive ou de diagnostic (article 9.2.h RGPD) : couvre les traitements effectués par des professionnels de la santé ou sous leur responsabilité pour la gestion des systèmes et services de soins. Cette base juridique ne couvre pas les traitements ultérieurs des données à des fins sans rapport avec la prise en charge directe du patient, tels que les analyses commerciales ou l’entraînement de modèles d’IA tiers.
L’intérêt public dans le domaine de la santé publique (article 9.2.i RGPD) : réservé aux organismes publics ou entités ayant une mission de service public ; il ne couvre pas les traitements par des entités privées sauf si elles agissent expressément sous mandat de l’autorité sanitaire.
La LOPD-GDD espagnole, à son article 9, précise que les établissements de soins peuvent traiter les données de leurs patients pour la prévention des maladies, la prestation de soins et la gestion des services du système de santé, ainsi que pour le respect des obligations de financement de la Sécurité sociale. L’Agence Espagnole de Protection des Données (AEPD) a publié des orientations sectorielles — dont son Guide sur le Traitement des Données dans le Secteur de la Santé (2021) — qui constituent la référence pratique pour les décisions de conformité.
Le Règlement IA et les systèmes d’IA dans les soins de santé
Le Règlement (UE) 2024/1689, publié au Journal officiel de l’UE le 12 août 2024 et en vigueur depuis le 1er août 2024, établit un cadre d’obligations progressif basé sur le niveau de risque des systèmes d’IA. Pour le secteur de la santé, les aspects les plus pertinents sont :
Systèmes d’IA interdits (applicables depuis le 2 février 2025, article 5) : Aucun système d’IA particulièrement pertinent pour les soins de santé ordinaires ne figure dans cette catégorie, bien que les techniques de manipulation subliminale ou l’exploitation de vulnérabilités puissent être applicables dans des contextes de santé mentale ou d’addiction.
Systèmes d’IA à haut risque (Annexe III, point 5) : Le Règlement IA classe expressément comme systèmes d’IA à haut risque ceux destinés à être utilisés comme dispositifs médicaux — soumis au règlement sur les dispositifs médicaux, le Règlement (UE) 2017/745 — ou comme compléments à des dispositifs médicaux. Sont également inclus les systèmes utilisés pour le triage ou la priorisation des soins d’urgence, le diagnostic différentiel de maladies graves ou l’interprétation d’images médicales (radiologie, anatomopathologie).
Les obligations des opérateurs de systèmes à haut risque comprennent, en vertu des articles 9 à 15 du Règlement IA : l’établissement d’un système de gestion des risques, l’utilisation de données d’entraînement représentatives et sans biais, le maintien d’une documentation technique actualisée, la conservation de journaux d’activité permettant la traçabilité du fonctionnement du système, la garantie d’une supervision humaine du système, et l’obtention d’une évaluation de conformité avant tout déploiement.
Interaction RGPD–Règlement IA : Le considérant 97 du Règlement IA reconnaît explicitement la relation entre le Règlement IA et le RGPD. Lorsqu’un système d’IA traite des données de santé, les obligations du cadre du Règlement IA et du RGPD doivent être satisfaites simultanément. L’Analyse d’Impact relative à la Protection des Données (AIPD) en vertu de l’article 35 du RGPD est obligatoire lorsque le traitement est effectué à grande échelle ou peut comporter des risques élevés pour les droits des personnes. En pratique, tout système d’IA traitant des données cliniques de plus de 5 000 patients devrait faire l’objet d’une AIPD.
Application réglementaire : précédents à travers l’Europe
L’AEPD a sanctionné une clinique privée en 2022 à hauteur de 150 000 € pour accès non autorisé aux dossiers cliniques par du personnel non soignant, et a en 2023 enquêté sur plusieurs prestataires de services de télémédecine pour des défaillances dans les procédures de vérification d’identité et de gestion du consentement. En Italie, le Garante a imposé des amendes allant jusqu’à 4,5 millions d’euros à des laboratoires d’analyses cliniques pour traitement à grande échelle de données de santé sans base juridique adéquate.
Ces actions d’application soulignent que le secteur de la santé est sous surveillance réglementaire active en matière de protection des données, et que l’entrée en vigueur de l’application du Règlement IA à partir de 2026 ajoutera une nouvelle couche d’exposition à la supervision.
Recommandations pratiques pour les organisations de santé
Les entités du secteur de la santé doivent, dans l’horizon immédiat :
- Réaliser un inventaire de tous les systèmes d’IA utilisés ou en cours d’évaluation et les classifier par rapport à l’Annexe III du Règlement IA.
- Auditer les contrats avec les fournisseurs de logiciels de diagnostic assisté par IA pour vérifier que le fournisseur agit en tant que fabricant au titre du Règlement IA et a obtenu ou s’engage à obtenir une évaluation de conformité.
- Mettre à jour les Registres des Activités de Traitement (article 30 RGPD) pour intégrer les systèmes d’IA comme activités de traitement spécifiques.
- Mettre à jour les politiques de confidentialité pour inclure des informations claires sur les systèmes d’IA qui prennent ou soutiennent des décisions ayant des effets sur le patient.
- Former le DPO et l’équipe de conformité sur les exigences du Règlement IA avant août 2026.
Chez BMC, notre équipe juridique conseille les organisations de santé sur la conformité RGPD, la préparation au Règlement IA et la gouvernance intégrée de la protection des données. Découvrez nos services juridiques.
