Décret 2025-1395, RGPD, consentement et médico-social : quels risques ?

Le décret n° 2025-1395 du 29 décembre 2025 soulève de nombreuses interrogations pour les EHPAD et structures médico-sociales (FAM, SESSAD, …), en particulier sur l’usage du consentement comme base légale des traitements de données personnelles. Dans un contexte où la vulnérabilité des résidents est avérée et la dépendance à la structure est forte, la validité du consentement est juridiquement fragile. L’application du décret sans précautions préalables pourrait exposer les établissements à des risques élevés de non-conformité : sanctions financières, mise en demeure, invalidation des traitements par la CNIL. Face à ces incertitudes, l’expertise d’un DPO externe spécialisé médico-social devient un levier essentiel pour sécuriser les pratiques et éviter des conséquences lourdes.

S’appuyer sur le cabinet de conseil RGPD Lexagone vous permet d’être en conformité RGPD et donc de garantir la sécurité de votre activité et la confiance de vos résidents.

PARLER À UN EXPERT

Que prévoit le décret 2025-1395 pour les structures médico-sociales ?

Le décret précise que, dans le cadre de l’accompagnement médico-social (EHPAD, FAM, MAS, SESSAD…), le consentement peut être utilisé pour collecter et traiter les données des résidents, notamment via le contrat de séjour ou le document individuel de prise en charge.

Cette orientation répond à un objectif de sécurisation et de transparence, mais elle se heurte aux principes fondamentaux du RGPD :

• Le consentement doit être libre ;
• L’exigence de preuve et la possibilité de retrait à tout moment rendent le consentement fragile en contexte de dépendance ;
• Les données de santé ne peuvent être traitées que sous conditions strictes, le consentement étant rarement approprié en structures médico-sociales.

Dans un EHPAD et plus généralement, dans l’ensemble des structures médico-sociales, le recours au consentement créé un déséquilibre manifeste entre les intérêts des parties, c’est à dire l’usager, et la structure. Par exemple, dans un EHPAD un résident qui refuse ou retire son consentement pourrait se voir privé d’accès à certains services essentiels, ce qui aurait des conséquences graves pour le résident et sa prise en charge. Dès lors, la base légale fondée sur le consentement est juridiquement contestable, le consentement ne pouvant être obtenu de manière parfaitement libre, celui-ci conditionnant l’accès à des services essentiels pour le résident.

Décret 2025-1395 et RGPD : des contradictions et fragilités juridiques

Le décret semble introduire une apparente obligation de consentement pour certains traitements de données, mais ignore le contexte de vulnérabilité des personnes.

En cas de contrôle CNIL, les EHPAD et structures médico-sociales utilisant le consentement pourraient voir les traitements jugés invalides, entraînant :

• Illégalité des traitements de données personnelles
• Mise en demeure et sanctions financières pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial
• Publication de la sanction, impactant l’image de l’établissement
• Obligation de corriger ou supprimer les données traitées de manière non conforme

Exemple concret : Un résident ayant accepté le traitement de ses données dans le DUI (Dossier Usager Informatisé) retire son consentement en cours de séjour. La structure devrait alors suspendre le traitement, ce qui peut compromettre l’organisation des soins et la sécurité de la prise en charge.

Difficultés d’applicabilité dans les EHPAD et structures médico-sociales

Les structures médico-sociales, notamment l’EHPAD, cumulent :

• Difficultés de garantir un consentement éclairé pour chaque résident.
• Difficultés de gérer les retraits de consentement en temps réel.
• Les équipes doivent concilier obligations légales et continuité de l’accompagnement.
• Capacité à consentir variable : tutelle, curatelle, altération cognitive rendent la validité juridique du consentement fragile.

Le décret 2025-1395 ajoute une contrainte réglementaire supplémentaire, sans cadre opérationnel clair.

Les équipes s’interrogent : faut-il solliciter systématiquement le représentant légal ? Sous quelles formalités recueillir le consentement ? Sous quelles modalités renouveler le consentement ? Que faire en cas de refus ?

Si vous souhaitez de plus amples informations pour une délégation de la conformité à un DPO externalisé, pour la réalisation de votre AIPD sur le DUI, n’hésitez pas à nous contacter.

PARLER À UN EXPERT

Questions fréquentes

Pourquoi les structures médico-sociales doivent agir avec prudence ?

La vulnérabilité des résidents rend le consentement juridiquement fragile. Appliquer le décret sans position CNIL expose à des corrections coûteuses, des situations de retrait de consentement complexes et une perte de confiance des familles.

Pourquoi faire appel à un DPO externe pour vous conseiller dans le cadre de structure médico-sociales ?

Un DPO externe (Délégué à la Protection des Données externalisé) est un expert RGPD indépendant, mandaté par une structure médico-sociale (EHPAD, IME, ESAT, foyer d’hébergement, etc.) pour assurer le respect des obligations prévues par le RGPD.

Il dispose d’une expertise approfondie dans le secteur médico-social et pourra vous accompagner au mieux.

Pour la majorité des structures, solliciter un DPO externalisé est plus agile. Ce modèle permet de bénéficier d’une veille règlementaire pointue, sans les contraintes liées au recrutement d’un profil rare et onéreux. Notre cabinet conseil RGPD vous offre l’accompagnement adapté à vos besoins.

By Elisa GRIDAINE, Julie FERLIN et Mathilde STINES

Les images ont été générées par l’Intelligence Artificielle.