cybersécurité EHPAD RGPD violations données santé plan résilience 2026
Numérique & Innovation

Cybersécurité en EHPAD : 5 629 violations de données en 2024 — obligations légales et plan de résilience 2026

16 mai 2026 8 min de lecture Patrice Martin
Ressource recommandée Kit Nouveau 2026
Kit PCA (Plan de Continuite d'Activite) personnalisable 2026 — 8 fichiers

Kit PCA (Plan de Continuite d'Activite) personnalisable 2026 — 8 fichiers

Plan de Continuité d'Activité — obligatoire depuis 01/01/2025 (méthodologie ISO 22301).

29,90 € Découvrir le Kit
Partager

5 629 violations de données signalées à la CNIL en 2024, en hausse de 20 % par rapport à 2023. Parmi elles, 196 concernent spécifiquement des dossiers patients informatisés — soit douze fois plus qu’en 2018. Les EHPAD, avec leurs dossiers usagers informatisés (DUI) reliés à des systèmes de télémédecine et d’objets connectés, figurent en première ligne. Tour d’horizon des obligations légales 2026 et d’un plan de résilience opérationnel adapté aux établissements médico-sociaux.

Une menace en forte croissance dans le secteur médico-social

Dans son panorama 2025, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) identifie le secteur de la santé comme le troisième domaine le plus exposé aux cybermenaces, représentant 10 % de ses interventions. Les rançongiciels — logiciels malveillants qui chiffrent les données d’un établissement contre rançon — ont progressé de 8 % dans la santé sur la même période. En 2024, 43 cyberattaques majeures ont visé des établissements et services médico-sociaux, dont plusieurs EHPAD. Un guide de cybersécurité adapté aux directeurs d’EHPAD synthétise les meilleures pratiques à mettre en place.

La valeur des données de santé sur le marché cybercriminel explique l’attractivité de ces cibles : un dossier médical complet peut se monnayer jusqu’à 250 dollars, contre quelques centimes pour des identifiants bancaires classiques. Les EHPAD cumulent des données particulièrement sensibles : diagnostics médicaux, ordonnances, profils cognitifs, données biométriques issues d’objets connectés, informations financières liées à la facturation.

Le cadre réglementaire 2026 : RGPD, NIS2, HDS

Trois réglementations majeures encadrent désormais la cybersécurité des EHPAD :

  • RGPD (article 9) : les données de santé bénéficient d’une protection renforcée. La désignation d’un délégué à la protection des données (DPO) est obligatoire pour les EHPAD. Toute violation de données doit être notifiée à la CNIL dans un délai de 72 heures. En cas de risque élevé pour les résidents, ceux-ci (ou leurs représentants légaux) doivent également être informés.
  • Directive NIS2 : adoptée au Sénat français en mars 2025, ses décrets d’application sont en cours de publication. Les établissements médico-sociaux entrant dans la catégorie des entités essentielles ou importantes devront formaliser leur gouvernance cyber, cartographier leurs systèmes d’information et mettre en place une gestion active des risques.
  • Référentiel HDS v2 : obligatoire depuis mai 2026 pour tous les hébergeurs de données de santé. Il impose un alignement avec la norme ISO/IEC 27001 et des capacités de détection d’incidents 24h/24. Les prestataires DUI et télémédecine des EHPAD doivent impérativement être certifiés HDS v2.

Les cinq failles les plus fréquentes identifiées en EHPAD

L’analyse des 196 incidents DPI documentés par la CNIL en 2024 révèle des vulnérabilités récurrentes dans les établissements médico-sociaux :

  1. Comptes utilisateurs partagés : plusieurs soignants utilisant le même identifiant sur le DUI, rendant toute traçabilité impossible — et constituant une infraction directe au RGPD.
  2. Objets connectés non sécurisés : systèmes d’appel patients, électrodosimètres et capteurs de chute connectés au réseau sans cloisonnement, ouvrant des portes d’entrée pour les attaquants.
  3. Absence de sauvegardes isolées : sauvegardes stockées sur le même réseau que les données de production, rendues inutilisables en cas de rançongiciel.
  4. Mots de passe insuffisants : mots de passe identiques sur tous les postes, jamais renouvelés, souvent partagés entre personnels temporaires et permanents.
  5. Absence d’authentification forte (MFA) pour les accès distants au DUI, notamment pour la téléconsultation et les accès depuis domicile.

Le programme CaRE : un financement à saisir avant le 4 juin 2026

L’Agence du numérique en santé (ANS) pilote le programme CaRE (Cybersécurité Accélération et Résilience des Établissements), doté de 750 millions d’euros jusqu’en 2027, dont 87 millions dédiés aux ESMS numériques via le Ségur. Ce programme accompagne les établissements dans leur montée en maturité cybersécurité en finançant audit, formation et équipement. La procédure de candidature au programme CaRE pour les ESMS est ouverte jusqu’au 4 juin 2026. Tout EHPAD souhaitant en bénéficier doit au préalable réaliser un audit de conformité RGPD et NIS2.

Plan de résilience en douze points pour votre EHPAD

Gouvernance et conformité (à faire immédiatement)

  • Désigner ou confirmer le DPO et lui allouer du temps dédié (pas seulement une fonction honorifique)
  • Cartographier les traitements de données de santé et rédiger le registre RGPD
  • Vérifier la certification HDS v2 de tous les prestataires DUI et télémédecine
  • Réaliser une Analyse d’Impact relative à la Protection des Données (AIPD) pour les dispositifs de téléassistance et objets connectés

Sécurité technique (horizon 3 mois)

  • Créer des comptes utilisateurs individuels sur le DUI (un compte par professionnel, habilitations granulaires)
  • Activer l’authentification multi-facteurs (MFA) pour tous les accès distants
  • Mettre en place une règle de sauvegarde 3-2-1 : 3 copies, 2 supports différents, 1 hors site et isolée du réseau
  • Segmenter le réseau IoT (objets connectés) du réseau administratif et médical

Formation et exercices (horizon 6 mois)

  • Former l’ensemble du personnel aux risques de phishing et aux bonnes pratiques de mots de passe
  • Organiser un exercice de crise annuel simulant un scénario de rançongiciel (kits disponibles sur le site de l’ANS)
  • Tester le Plan de Continuité d’Activité (PCA) et le Plan de Reprise d’Activité (PRA) — documents exigés par NIS2
  • Documenter la procédure de notification à la CNIL et à l’ANS sous 72 heures en cas d’incident

Sanctions et responsabilités : ce que risque un directeur d’EHPAD

La CNIL a prononcé 87 amendes en 2024, pour un montant total de 55,2 millions d’euros — soit plus du double par rapport à 2023. Les manquements les plus sanctionnés concernent l’absence de mesures de sécurité adéquates et le défaut de notification des violations dans les délais légaux. Pour un EHPAD, la responsabilité du directeur peut être engagée personnellement en cas de manquement grave caractérisé, notamment si des mesures de sécurité élémentaires n’avaient pas été mises en place malgré les recommandations de la CNIL.

Au-delà des sanctions financières, les conséquences opérationnelles d’une cyberattaque réussie peuvent être dévastatrices : impossibilité d’accéder aux dossiers résidents, arrêt des systèmes de distribution des médicaments, paralysie des dispositifs d’appel d’urgence. La continuité des soins — et in fine la sécurité des résidents — est directement menacée.

Mon EHPAD est-il directement concerné par la directive NIS2 ?
Oui, avec des degrés d’obligation variables selon la taille de l’établissement. Les EHPAD dépassant certains seuils (à définir par les décrets d’application en cours) seront classés en entités importantes ou essentielles et devront formaliser leur gouvernance cyber, déclarer les incidents à l’ANSSI et se soumettre à des audits périodiques. Les établissements plus petits bénéficient de délais d’adaptation plus longs, mais il est recommandé d’anticiper dès maintenant.
Que risque le directeur d’un EHPAD victime d’une fuite de données ?
Le directeur assume la responsabilité du traitement des données de santé au titre du RGPD. En cas de manquement aux obligations de sécurité, la CNIL peut prononcer une mise en demeure, une amende pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et rendre la sanction publique. Une responsabilité pénale peut également être engagée en cas de négligence caractérisée ayant conduit à la divulgation de données sensibles.
Comment candidater au programme CaRE avant le 4 juin 2026 ?
La candidature se fait sur le portail de l’Agence du numérique en santé (esante.gouv.fr). L’établissement doit d’abord réaliser un autodiagnostic de maturité cybersécurité (outil disponible sur le portail ANS), puis constituer un dossier de candidature incluant le projet de mise en conformité et le budget prévisionnel. L’accompagnement comprend un audit externe, une formation des équipes et un financement partiel des équipements.
Ressource expert recommandée Pack PREMIUM
Pack Crise & Continuité 2026 — 4 Kits, 33 fichiers (-27%)
Pack Crise & Continuité 2026 — 4 Kits, 33 fichiers (-27%)

Plan Bleu + PCA + Exercices + Canicule en 1 pack — économisez 29,70 €.

  • 4 Kits, 33 fichiers à personnaliser
  • -27% vs achat séparé (109,60 €)
  • Toute la conformité crise 2026
79,90 € TTC Découvrir le pack
Actualite Directeur d’EHPAD IDEC – Infirmier Coordinateur en EHPAD
Partager cet article
Dossier expert Comparatif Logiciel EHPAD et DUI : Le Guide Complet [2026]

Le guide de référence 2026 sur les logiciels EHPAD définit les enjeux de numérisation, présente les fonctionnalités clés et les exigences du Ségur numérique, et...

Lire le dossier
Offres d'emploi en EHPAD
infirmier – SYNDICAT DU FOYER LOGEMENTS POUR PERSONNES AGEES DE CHAUSSIN (SIFL)
Fonction publique 📍 Jura (39) (39)
Ergothérapeute en SMR (H/F)
Colisée 📍 Bondy, Île-de-France (93) CDD
Toutes les offres d'emploi
Boutique SOS EHPAD

Ressources pour votre pratique

Formations, guides et outils selectionnes en lien avec votre profil professionnel

SOS Directeurs EHPAD - édition 2026 Ouvrages et Livres
SOS Directeurs EHPAD - édition 2026
29,90 € TTC Voir
La Bible juridique des EHPAD – Édition 2026 Ouvrages et Livres
La Bible juridique des EHPAD – Édition 2026
29,90 € TTC Voir
La Bible du Management EHPAD - édition 2026 Ouvrages et Livres
La Bible du Management EHPAD - édition 2026
29,90 € TTC Voir
Procédure Mode Dégradé et Gestion de la Pénurie de Personnel Procédures EHPAD
Procédure Mode Dégradé et Gestion de la Pénurie de Personnel
11,90 € TTC Voir
A lire aussi

Autres articles en Numérique & Innovation

Poursuivez votre lecture avec ces articles sur le meme sujet

IA en EHPAD : la CNSA engage le secteur avec 36 actions concrètes sur 18 mois
Numérique & Innovation IA en EHPAD : la CNSA engage le secteur avec 36 actions concrètes sur 18 mois 16 mai 2026
Cybersécurité en EHPAD : guide pratique pour directeurs 2026
Numérique & Innovation Cybersécurité en EHPAD : guide pratique pour directeurs 2026 11 mai 2026
IA prédictive en EHPAD 2026 : chutes, capteurs intelligents et responsabilité médicale
Numérique & Innovation IA prédictive en EHPAD 2026 : chutes, capteurs intelligents et responsabilité médicale 6 mai 2026
Téléconsultation assistée en EHPAD : -27 % d’urgences dans 17 établissements du Grand Est, comment reproduire le modèle
Télémédecine Téléconsultation assistée en EHPAD : -27 % d’urgences dans 17 établissements du Grand Est, comment reproduire le modèle 1 mai 2026
Voir tous les articles
Sur le meme theme

Articles qui pourraient vous interesser

Selection basee sur vos centres d'interet

Alimentation et nutrition en EHPAD : guide pratique des protocoles 2026
Dénutrition & Nutrition Alimentation et nutrition en EHPAD : guide pratique des protocoles 2026 16 mai 2026
Dotation soins et dotation dépendance : optimiser ses ressources en EHPAD
CPOM / Budget / Tarification Dotation soins et dotation dépendance : optimiser ses ressources en EHPAD 16 mai 2026
Vaccin antigrippal haute dose en EHPAD : -55 % de risque Alzheimer — ce que révèle l’étude 2026
Maladies neurodégénératives & Alzheimer Vaccin antigrippal haute dose en EHPAD : -55 % de risque Alzheimer — ce que révèle l’étude 2026 16 mai 2026
Réforme du financement des EHPAD 2025-2026 : ce qui change
CPOM / Budget / Tarification Réforme du financement des EHPAD 2025-2026 : ce qui change 15 mai 2026
Lien copie dans le presse-papier

SOS Ehpad