Smart Alert | Ce qui attend le secteur santé dans le programme de travail 2026 de la CNIL
Raphaël Chantelot
Mathieu Selva-RoudonAssociéParisMathieu Selva-Roudon
Marion Roquette-PfisterAssociéParisMarion Roquette-Pfister
Prudence CadioAssociéParisPrudence Cadio
Thibault JuliaCounselParisThibault Julia
Typhaine GeoffroyCounselParisTyphaine Geoffroy
Eleonora SorribesAssociéParisEleonora Sorribes
Hubert BazinAssociéShanghaiHubert Bazin
Benoîte ChanfrayCollaborateurParisBenoîte Chanfray
Stéphane ErardAssociéParisStéphane Erard
Sophie MarinierAssociéParisSophie Marinier
Ran HuAssociéParisRan Hu
Stephan Lesage-MathieuAssociéParisStephan Lesage-Mathieu
Michael SamolAssociéParisMichael Samol
Christian SauerAssociéParisChristian Sauer
Romain ViretCounselParisRomain Viret
Lobna BoudiafCollaborateurParisLobna Boudiaf
Romain BerthonAssociéParisRomain Berthon
Smart Alert | Ce qui attend le secteur santé dans le programme de travail 2026 de la CNIL
La CNIL a publié son programme de travail pour 2026, présentant les principaux thèmes sur lesquels elle prévoit de mobiliser ses ressources, par secteurs ou thématiques, en vue de consultations publiques ou de publications.
Parmi les secteurs identifiés comme prioritaires, le secteur de la santé occupe une place centrale.
IA en santé
La CNIL et la HAS publieront un guide opérationnel définissant les bonnes pratiques sur le recours à l’IA dans un contexte de soins.
La CNIL finalisera ses travaux concernant les utilisations de l’IA dans les secteurs du travail et de la santé, notamment sur les risques de biais algorithmiques et les garanties à mettre en place pour protéger les droits des salariés et des patients.
Recherche en santé
La CNIL révisera les méthodologies de référence permettant de réaliser des recherches dans le domaine de la santé. Elle mettra également en ligne sa position sur les modalités d’information des personnes concernées en cas de réutilisation de leurs données à des fins de recherche.
Dossier Patient Informatisé (DPI)
La CNIL publiera un document consolidant les règles applicables au DPI ainsi que ses recommandations juridiques et techniques applicables, règles d’accès, traçabilité, sécurité, gestion des habilitations, pour aider les établissements à aligner leurs pratiques avec le RGPD, NIS2 et les standards de cybersécurité.
Conclusion : une documentation de sécurité désormais centrale (FRIA & DPIA) !
Pour les acteurs de la santé, la CNIL confirme une évolution majeure : la conformité repose désormais autant sur la qualité des mesures de sécurité que sur la capacité à les documenter, les justifier et les démontrer.
Dans ce contexte, deux outils deviennent structurants :
- La FRIA (Fundamental Rights Impact Assessment) prévue par l’IA Act pour certains déployeurs;
- La DPIA (Analyse d’Impact).
L’article 27(4) du règlement IA prévoit d’ailleurs que la FRIA complète la DPIA lorsque celle-ci a déjà été réalisée : les obligations déjà couvertes par la DPIA n’ont pas à être dupliquées.
L’enjeu pour les organisations est d’articuler ces deux analyses afin de produire une documentation cohérente, exploitable et opposable en cas de contrôle.
En 2026, cette capacité documentaire devient un véritable levier de confiance pour les établissements, les professionnels de santé et les partenaires technologiques !