contact@rgpd-sante.com | Lu–Ve : 9h–18h
Accueil Obligations RGPD des réseaux de périnatalité

— Réseaux de périnatalité —

Conformité RGPD d'un réseau
de périnatalité : ce que la loi impose

Les réseaux de périnatalité traitent des données parmi les plus sensibles du secteur de la santé : nouveau-nés vulnérables, revues de morbi-mortalité, parcours partagés entre de multiples établissements. Ce guide recense les obligations concrètes qui s'appliquent à votre structure.

Données de santé sensibles Personnes vulnérables Multi-établissements Art. 9 RGPD

Obligation 1 — Documents

Le registre des activités de traitement

Tout réseau de périnatalité, en tant que responsable de traitement, doit tenir un registre documentant l'ensemble de ses activités impliquant des données personnelles. La nature hautement sensible des données traitées — données de santé de nouveau-nés, de femmes enceintes, de décès périnataux — rend cette obligation particulièrement critique.

01

Registre de traitement

Recenser tous vos traitements

Le registre doit couvrir l'ensemble des activités du réseau impliquant des données à caractère personnel — des professionnels membres aux nouveau-nés suivis, en passant par les données des mères.

  • Suivi des nouveau-nés vulnérables (prématurés, pathologies néonatales)
  • Revues de morbi-mortalité périnatale (RMM)
  • Coordination des parcours de soins (maternité → néonatologie → domicile)
  • Suivi des grossesses à risque
  • Formation et sensibilisation des professionnels membres
  • Gestion des adhérents et des professionnels du réseau
  • Gestion administrative (ressources humaines, comptabilité)
Obligatoire — Article 30 du RGPD
02

Information des personnes

Informer à chaque collecte de données

Chaque fois que le réseau collecte des données personnelles — à l'inscription d'une patiente dans un programme de suivi, lors d'une RMM, dans un formulaire — les personnes concernées ou leurs représentants légaux doivent être informés.

  • Notice d'information pour les parents des nouveau-nés suivis
  • Notice pour les femmes enceintes intégrées dans un parcours de soins
  • Politique de confidentialité du site internet du réseau
  • Procédure interne de gestion des droits (accès, rectification, suppression)
  • Information spécifique dans le cadre des RMM (données des familles concernées)
Obligatoire — Articles 13 et 14 du RGPD

Obligation 2 — Analyse d'impact

L'AIPD : quasi-systématique pour un réseau de périnatalité

L'Analyse d'Impact relative à la Protection des Données (AIPD) est obligatoire dès qu'un traitement présente un risque élevé pour les droits et libertés des personnes. Pour les réseaux de périnatalité, les critères déclencheurs sont quasi-systématiquement réunis : données de santé sensibles, personnes vulnérables (nouveau-nés, femmes en périnatalité), partage multi-établissements.

!

Traitements à risque élevé — Réseaux de périnatalité

Les activités qui déclenchent l'obligation d'AIPD

Les guidelines de la CNIL retiennent 9 critères. Lorsqu'un traitement remplit au moins 2 d'entre eux, l'AIPD est obligatoire. Dans un réseau de périnatalité, les activités suivantes les cumulent systématiquement — notamment les données de santé de personnes vulnérables, le partage à grande échelle et la surveillance régulière.

Suivi des nouveau-nés vulnérables Données de santé sensibles de personnes en situation de grande vulnérabilité, partagées entre plusieurs établissements.
Revues de morbi-mortalité (RMM) Analyse de cas cliniques — dont des décès — impliquant des données médicales sensibles et potentiellement des proches.
Coordination de parcours de soins Transferts de données de santé entre maternités, néonatologie, PMI, pédiatres libéraux et HAD — partage multi-acteurs.
Suivi des grossesses à risque Suivi longitudinal de femmes enceintes vulnérables avec partage d'informations entre plusieurs professionnels.
Bases de données et registres Constitution de registres de suivi ou de bases de données épidémiologiques locales à partir de données de santé identifiantes.
Échanges inter-établissements Tout système d'échange ou de messagerie partagée entre établissements qui traite des données de santé individuelles.

Obligation 3 — Partenariats & conventions

Encadrer juridiquement chaque échange de données

Le réseau de périnatalité est au cœur d'un écosystème dense : maternités de niveaux 1, 2 et 3, services de néonatologie, PMI, pédiatres libéraux, CAMSP, HAD, associations de parents. Chaque échange de données avec ces partenaires doit être encadré par une convention ou un contrat spécifique selon la nature de la relation.

01

Conventions partenariales

Clauses de protection des données avec les établissements

Lorsque le réseau et un établissement partenaire traitent conjointement des données — par exemple pour la coordination d'un parcours de soins — une convention de responsabilité conjointe encadrant les rôles de chacun est obligatoire.

  • Conventions avec les maternités (niveaux 1, 2 et 3)
  • Conventions avec les services de néonatologie et de pédiatrie
  • Conventions avec les PMI (Protection Maternelle et Infantile)
  • Conventions avec les CAMSP
  • Conventions avec les services d'HAD intervenant en périnatalité
  • Conventions avec les associations de parents partenaires
  • Vérification des clauses RGPD dans les conventions existantes
Obligatoire — Article 26 du RGPD (responsabilité conjointe)
02

Sous-traitants

Contrats avec les prestataires qui accèdent aux données

Tout prestataire ou logiciel qui traite des données pour le compte du réseau est un sous-traitant au sens du RGPD. Un contrat formalisant ses obligations est obligatoire — en particulier pour les hébergeurs de données de santé.

  • Logiciels de coordination et de suivi des parcours
  • Hébergeurs de données (certification HDS obligatoire si données de santé)
  • Outils de messagerie sécurisée inter-professionnels
  • Prestataires informatiques et de maintenance
  • Outils statistiques ou d'analyse épidémiologique
  • Signature ou mise à jour des DPA (Data Processing Agreements)
Obligatoire — Article 28 du RGPD

Obligation 4 — Sécurité des données

Protéger des données parmi les plus sensibles du secteur

Les données traitées par un réseau de périnatalité — données de santé de nouveau-nés, d'analyses de décès périnataux, de grossesses à risque — font partie des données les plus sensibles qui existent. Leur protection impose des mesures organisationnelles et techniques rigoureuses.

01

Habilitations

Définir qui accède à quoi

L'accès aux données du réseau — et en particulier aux données de suivi de nouveau-nés et aux comptes rendus de RMM — doit être strictement encadré selon les fonctions et les besoins réels de chaque personne.

  • Politique de gestion des habilitations formalisée
  • Accès aux RMM limité aux seuls professionnels concernés
  • Révision des accès lors de tout départ ou changement de mission
  • Traçabilité des accès aux données de suivi des nouveau-nés
  • Gestion distincte des droits pour les professionnels extérieurs (partenaires)
02

Sensibilisation

Former les personnes qui traitent les données

Coordinateurs, professionnels de santé impliqués dans les RMM et les parcours de soins, secrétaires : toutes les personnes qui manipulent des données personnelles dans le cadre du réseau doivent être sensibilisées à leurs obligations.

  • Sensibilisation initiale à la prise de poste ou d'adhésion au réseau
  • Procédure claire en cas de violation de données ou d'incident
  • Règles spécifiques pour la gestion et le partage des données de RMM
  • Charte informatique signée par chaque collaborateur
  • Bonnes pratiques sur la messagerie sécurisée et les mots de passe
03

Outils HDS

Des outils certifiés pour les données de santé

Tout hébergeur ou logiciel qui stocke ou traite des données de santé au sens du Code de la santé publique doit être certifié Hébergeur de Données de Santé (HDS). C'est un point de vigilance majeur dans les réseaux de périnatalité qui utilisent souvent plusieurs outils partagés entre établissements.

  • Vérification de la certification HDS de chaque outil utilisé
  • Messageries sécurisées certifiées pour les échanges cliniques
  • Interdiction de stocker des données de suivi sur des outils grand public (Drive, Gmail, etc.)
  • Documentation de l'architecture technique et des flux de données inter-établissements
Obligatoire — Article L. 1111-8 du Code de la santé publique

Obligation 5 — Délégué à la Protection des Données

La désignation d'un DPO auprès de la CNIL

Pour un réseau de périnatalité, la désignation d'un DPO et sa déclaration auprès de la CNIL sont souvent obligatoires — et systématiquement recommandées. La nature des données traitées et l'ampleur des échanges inter-établissements déclenchent régulièrement les critères légaux.

Quand la désignation d'un DPO est obligatoire

Le RGPD impose la désignation d'un DPO dans trois situations. Pour les réseaux de périnatalité, les deux premiers critères s'appliquent fréquemment — les données de santé de nouveau-nés vulnérables et de femmes enceintes sont par nature sensibles et souvent traitées à grande échelle.

Traitement à grande échelle de données sensibles — si le réseau suit un volume significatif de nouveau-nés, de grossesses à risque ou gère des bases de données de RMM couvrant plusieurs établissements, l'obligation s'applique.
Organisme public ou parapublic — si le réseau est constitué sous forme d'un groupement de coopération sanitaire (GCS) ou d'un GIP, la désignation est obligatoire quelle que soit l'ampleur des traitements.
Surveillance systématique à grande échelle — les programmes de suivi longitudinal des nouveau-nés prématurés ou à risque peuvent constituer une surveillance systématique au sens du RGPD.
Même en l'absence d'obligation légale stricte, la désignation d'un DPO externalisé est fortement recommandée pour tout réseau de périnatalité. Elle garantit un suivi continu de la conformité et un interlocuteur identifié pour les équipes, les partenaires et la CNIL.

— Passer à l'action —

Votre réseau est-il en conformité ?

Le Pack de conformité RGPD est conçu pour accompagner les réseaux de périnatalité de A à Z : audit initial, registre de traitement, documents obligatoires, conventions partenariales, sécurité et plan d'action priorisé.

Découvrir le Pack de conformité → Prendre rendez-vous