Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Dimanche 12 juillet 2026
RGPD

RGPD et laboratoire de biologie médicale : guide 2026

RGPD laboratoire de biologie médicale : données santé à grande échelle, HDS, DPO et AIPD obligatoires, résultats en ligne, transmission prescripteurs.

L’essentiel. Un laboratoire de biologie médicale (LBM) est l’un des acteurs de santé les plus exposés au RGPD : il traite des données de santé (Art. 9) à grande échelle, ce qui rend la désignation d’un DPO obligatoire (Art. 37(1)©) et l’analyse d’impact (AIPD) obligatoire pour ses traitements structurants. Le dossier patient, les prescriptions, les comptes rendus d’analyses et les serveurs de résultats en ligne doivent être hébergés chez un prestataire certifié HDS. La transmission des résultats au patient et au prescripteur doit être sécurisée (authentification forte, messagerie sécurisée de santé). Le secteur a déjà connu des fuites massives et des sanctions marquantes : la sécurité n’est pas optionnelle.

Dans les missions que je mène auprès de structures de santé, le laboratoire de biologie médicale est un cas à part. Là où un cabinet médical ou dentaire traite des données de santé au fil de sa patientèle, le LBM les traite en flux industriel : des milliers de patients, des dizaines de milliers d’analyses, des comptes rendus produits, transmis et consultés en continu, souvent en réseau multi-sites. Cette échelle fait basculer le laboratoire dans la catégorie des traitements à risque élevé, avec des obligations renforcées que beaucoup de structures sous-estiment encore. Voici le cadre applicable et les priorités concrètes.

Pourquoi le LBM est un cas RGPD à haut risque

Trois facteurs cumulés placent le laboratoire au sommet de l’échelle de risque :

La nature des données. Les résultats d’analyses biologiques sont des données de santé au sens de l’Art. 9 : sérologies, bilans, marqueurs, génétique, dépistages. Ce sont des données sensibles, dont le traitement est interdit par principe sauf exception de l’Art. 9(2). Certaines analyses (VIH, dépistages, données génétiques) sont parmi les plus sensibles qui soient.

L’échelle. Un LBM traite des données de santé concernant un très grand nombre de personnes, de façon régulière et systématique. C’est précisément le critère du « traitement à grande échelle » que la CNIL et le CEPD utilisent pour déclencher les obligations les plus lourdes.

La chaîne de traitement. Prélèvement, analyse (parfois sous-traitée à un plateau technique ou à un autre laboratoire), production du compte rendu, transmission au patient et au prescripteur, archivage : la donnée circule entre de nombreux acteurs et systèmes, chacun étant un point de fuite potentiel.

Ce cumul explique que le secteur ait connu des incidents de sécurité majeurs et figure parmi les cibles prioritaires du contrôle.

Le statut du laboratoire : responsable de traitement

Le LBM détermine les finalités (réaliser les analyses, produire et transmettre les résultats, facturer, assurer la traçabilité) et les moyens (système d’information de laboratoire, serveur de résultats, hébergement). Il est responsable de traitement au sens de l’Art. 4(7). Le biologiste médical est par ailleurs un professionnel de santé, soumis au secret médical de l’article L. 1110-4 du Code de la santé publique.

À ce titre, le laboratoire doit délivrer l’information de l’Art. 13, tenir le registre des activités de traitement (Art. 30), garantir les droits des patients — notamment le droit d’accès —, encadrer ses sous-traitants et notifier toute violation de données à risque dans les 72 heures. Compte tenu de la sensibilité des données, une fuite de résultats d’analyses constitue quasi systématiquement une violation à notifier, souvent avec communication aux personnes concernées.

Les bases légales à mobiliser

Comme pour tout traitement de données de santé, la base légale se construit à deux étages : une base de l’Art. 6 et une exception de l’Art. 9.

Traitement Base Art. 6 Exception Art. 9
Réalisation des analyses, compte rendu Art. 6(1)(b) / © Art. 9(2)(h) prise en charge, médecine préventive
Transmission au prescripteur Art. 6(1)© / (b) Art. 9(2)(h)
Facturation, télétransmission, tiers payant Art. 6(1)© obligations légales Art. 9(2)(h) ou (b)
Serveur de résultats en ligne pour le patient Art. 6(1)(b) contrat / © Art. 9(2)(h)
Recherche, épidémiologie (le cas échéant) Art. 6(1)(e) / (f) Art. 9(2)(j) intérêt public, recherche

Le fondement central — analyser et rendre le résultat dans le cadre de la prise en charge — repose sur la combinaison Art. 6(1)(b) ou © et Art. 9(2)(h). Le consentement n’est en général pas la base des soins ; il conserve un rôle propre pour certains traitements spécifiques (recherche, certaines finalités secondaires).

L’hébergement : HDS obligatoire de bout en bout

Dès qu’un prestataire externe héberge des données de santé pour le compte du laboratoire — y compris par simple stockage —, il doit être certifié Hébergeur de Données de Santé (HDS) au titre de l’article L. 1111-8 du Code de la santé publique. Dans un LBM, cela concerne toute la chaîne :

  • le système d’information de laboratoire (SIL) en mode hébergé ;
  • le serveur de résultats en ligne consultable par les patients et les prescripteurs ;
  • les sauvegardes et l’archivage externalisés ;
  • les plateformes d’échange avec les prescripteurs et les plateaux techniques.

La vérification prioritaire consiste à exiger de chaque prestataire son attestation de certification HDS et la localisation des données, puis à l’annexer au contrat de sous-traitance. Un maillon non HDS dans la chaîne suffit à mettre le laboratoire en défaut.

Le serveur de résultats en ligne : le point le plus sensible

La mise à disposition des résultats en ligne est devenue standard, et c’est le point d’exposition le plus critique. Deux exigences :

Authentification forte. L’accès du patient à ses résultats ne peut pas reposer sur un simple identifiant devinable (nom + date de naissance). Il faut une authentification robuste, un identifiant non prévisible et, idéalement, un second facteur. De nombreuses fuites documentées dans le secteur proviennent de serveurs de résultats mal sécurisés ou d’URL prédictibles permettant d’accéder aux comptes rendus d’autres patients.

Cloisonnement et traçabilité. Chaque patient ne doit accéder qu’à ses propres résultats ; les accès doivent être journalisés. La mise en service ou la refonte d’un serveur de résultats en ligne justifie une analyse d’impact (AIPD) préalable.

La transmission aux prescripteurs

Le compte rendu est transmis au médecin prescripteur. Cette transmission de données de santé à un tiers doit être sécurisée : la messagerie sécurisée de santé (MSSanté) est le canal de référence pour les échanges entre professionnels de santé. L’envoi de résultats par e-mail non chiffré ou par des canaux grand public est à proscrire.

La transmission repose sur la prise en charge du patient (Art. 9(2)(h)) et doit être limitée aux destinataires légitimes : le prescripteur, les professionnels participant à la prise en charge, et le patient lui-même. Le principe de minimisation et la logique du « besoin d’en connaître » s’appliquent strictement.

Sous-traitance et transmission entre laboratoires

Le LBM travaille rarement seul. Certaines analyses spécialisées sont réalisées par un plateau technique ou un autre laboratoire. La donnée du patient est alors transmise pour analyse. Deux qualifications sont possibles selon les cas :

  • lorsqu’un laboratoire réalise une analyse pour le compte du laboratoire d’origine, sans déterminer les finalités, il agit en sous-traitant : un contrat conforme à l’Art. 28(3) est requis ;
  • lorsque chaque laboratoire poursuit ses propres finalités, une qualification de responsables distincts ou conjoints peut s’imposer.

Cette analyse doit être menée et contractualisée pour chaque flux. Un questionnaire sous-traitant permet de documenter les garanties de l’éditeur du SIL, de l’hébergeur HDS et des plateaux techniques. Au-delà, le laboratoire s’appuie sur de nombreux sous-traitants (éditeur du SIL, hébergeur, plateforme de résultats, prestataire de télétransmission, maintenance) : chacun doit être encadré au titre de l’Art. 28.

DPO et AIPD : obligatoires

Le DPO. La désignation d’un DPO est obligatoire pour un laboratoire de biologie médicale : le traitement à grande échelle de données de santé relève de l’Art. 37(1)©. Le DPO peut être interne, externalisé ou mutualisé à l’échelle d’un groupe de laboratoires, mais il doit disposer de moyens réels, d’une indépendance effective et rapporter au niveau de direction.

L’AIPD. L’analyse d’impact (AIPD) est obligatoire pour les traitements structurants du laboratoire : système d’information de laboratoire traitant massivement des données de santé, serveur de résultats en ligne, tout dispositif à risque élevé. Elle doit être réalisée avant la mise en service et réévaluée à chaque évolution significative.

Durées de conservation

Donnée Durée indicative Fondement
Dossier patient, comptes rendus d’analyses Durée fixée par la réglementation du dossier de biologie médicale Code de la santé publique
Facturation, télétransmission Selon délais comptables et fiscaux Code de commerce, sécurité sociale
Données de connexion au serveur de résultats Durée strictement utile à la traçabilité Sécurité, minimisation
Recherche (le cas échéant) Durée du protocole autorisé Cadre de la recherche

Voir notre tableau des durées de conservation. Les durées propres au dossier de biologie médicale sont fixées par la réglementation sanitaire ; elles doivent être vérifiées selon les référentiels applicables (à confirmer par les textes en vigueur). Le droit à l’effacement (Art. 17) est largement neutralisé par ces obligations de conservation pendant leur durée. Le patient conserve en revanche son droit d’accès et son droit de rectification.

Sécurité : le cœur du sujet

L’Art. 32 impose un niveau de sécurité proportionné au risque — ici, maximal. Les attendus concrets :

  • comptes nominatifs et habilitations par profil (biologiste, technicien, secrétariat, préleveur) ;
  • suppression immédiate des accès au départ d’un collaborateur ;
  • authentification forte sur les serveurs de résultats et les accès distants ;
  • chiffrement des postes, des sauvegardes et des transmissions ;
  • journalisation des accès aux dossiers et détection des accès anormaux ;
  • messagerie sécurisée de santé (MSSanté) pour les échanges avec les prescripteurs ;
  • plan de réaction aux incidents et aux rançongiciels — les structures de santé sont des cibles privilégiées.

Erreurs fréquentes et sanctions

Manquements récurrents dans le secteur : serveurs de résultats mal sécurisés (identifiants devinables, URL prédictibles) ; hébergement non certifié HDS sur un maillon de la chaîne ; transmission de résultats par des canaux non sécurisés ; contrats Art. 28 absents avec l’éditeur du SIL ou les plateaux techniques ; DPO désigné sans moyens réels ; AIPD non réalisée ; accès trop larges au système d’information.

Le secteur a connu des incidents marquants. Le cas le plus documenté reste la fuite, en 2021, des données médicales de près de 500 000 personnes issues de laboratoires français, provoquée par une vulnérabilité liée à un éditeur de logiciels de biologie médicale ; l’éditeur a fait l’objet d’une sanction financière significative de la CNIL (de l’ordre de plusieurs centaines de milliers d’euros, selon les décisions publiques). Sans reproduire ici de numéro de délibération que je ne pourrais garantir, la leçon est nette : la responsabilité se répartit sur toute la chaîne (éditeurs, hébergeurs, laboratoires), et l’absence de sécurisation d’un serveur de résultats ou d’un flux de transmission expose à une sanction sévère et à une atteinte réputationnelle durable. Voir notre synthèse sur les sanctions RGPD.

Pour structurer la mise en conformité, un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des sous-traitants (SIL, hébergeur HDS, plateaux techniques) et le pilotage des AIPD.

Ce qu’il faut retenir

  • Le LBM traite des données de santé (Art. 9) à grande échelle : régime RGPD au niveau maximal.
  • DPO et AIPD sont obligatoires ; ce ne sont pas des options.
  • Toute la chaîne d’hébergement (SIL, serveur de résultats, sauvegardes) doit être certifiée HDS.
  • Le serveur de résultats en ligne est le point critique : authentification forte, cloisonnement, journalisation.
  • La transmission aux prescripteurs passe par un canal sécurisé (MSSanté).
  • La sous-traitance d’analyses entre laboratoires doit être qualifiée et contractualisée (Art. 28).

Voir aussi nos guides sectoriels : RGPD et cabinet médical, RGPD et cabinet dentaire et RGPD en EHPAD.

Recevez nos analyses conformité chaque semaine.

Veille juridique et guides pratiques pour les professionnels de santé et les structures qui traitent des données sensibles.

S'inscrire à la newsletter

FAQ

Un laboratoire de biologie médicale doit-il désigner un DPO ?

Oui, c’est obligatoire. Le traitement à grande échelle de données de santé relève de l’Art. 37(1)© du RGPD. Le DPO peut être externalisé ou mutualisé à l’échelle d’un groupe, mais il doit disposer de moyens réels et d’une indépendance effective.

Faut-il une AIPD pour un laboratoire ?

Oui, pour les traitements structurants : système d’information de laboratoire, serveur de résultats en ligne, tout dispositif à risque élevé. L’analyse d’impact doit être réalisée avant la mise en service et réévaluée à chaque évolution significative du traitement.

Où doivent être hébergés les résultats d’analyses ?

Chez un hébergeur certifié HDS, sur l’ensemble de la chaîne : système d’information, serveur de résultats, sauvegardes et archivage. Il faut exiger l’attestation de certification HDS de chaque prestataire et la localisation des données, puis l’annexer au contrat de sous-traitance.

Comment sécuriser l’accès en ligne aux résultats des patients ?

Par une authentification robuste (identifiant non devinable, idéalement un second facteur), un cloisonnement strict garantissant que chaque patient n’accède qu’à ses propres résultats, et une journalisation des accès. Les identifiants faibles et les URL prédictibles sont à l’origine de nombreuses fuites documentées.

Comment transmettre les résultats au médecin prescripteur ?

Par un canal sécurisé, la messagerie sécurisée de santé (MSSanté) étant la référence pour les échanges entre professionnels de santé. L’envoi de résultats par e-mail non chiffré ou par des canaux grand public est à proscrire. La transmission repose sur la prise en charge du patient (Art. 9(2)(h)).

La sous-traitance d’analyses à un autre laboratoire est-elle encadrée par le RGPD ?

Oui. Lorsqu’un laboratoire réalise une analyse pour le compte d’un autre sans en déterminer les finalités, il agit en sous-traitant et un contrat Art. 28 est requis. Lorsque chaque laboratoire poursuit ses propres finalités, une qualification de responsables distincts ou conjoints peut s’imposer : l’analyse doit être menée pour chaque flux.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →