Registre national des cancers : la tribune du Monde rouvre le débat sur la gouvernance des données de santé

19/4/26
👈 les autres actualités

Une tribune publiée dans Le Monde le 10 avril 2026 alerte sur la gouvernance du registre national des cancers et qualifie l'outil de « fourre-tout hétérogène de données sensibles ». Au-delà de la critique scientifique, le texte rouvre un débat juridique central : un registre de santé publique peut-il accumuler des informations couvrant « de multiples facettes de la vie privée » sans franchir les lignes posées par le RGPD ?

Ce qui s'est passé

Plusieurs auteurs — médecins, chercheurs et juristes spécialisés en protection des données — ont co-signé une tribune publiée dans la rubrique Idées du Monde. Ils contestent le périmètre du registre national des cancers et la diversité des champs collectés : données cliniques, biologiques, génétiques, mais aussi éléments socio-économiques, professionnels et géographiques. Selon eux, ce maillage transforme un outil épidémiologique en base de données quasi exhaustive sur les patients, sans que la finalité initiale — surveiller l'incidence du cancer en France — justifie une telle étendue.

La tribune n'attaque pas l'utilité scientifique du registre. Elle questionne le cadre de gouvernance : qui décide des données collectées, qui peut y accéder, sous quelles garanties techniques et organisationnelles, et avec quel droit d'opposition pour les personnes concernées. Les auteurs appellent à une réévaluation rapide du dispositif au regard du Code de la santé publique et du RGPD.

Pourquoi c'est important

Le débat dépasse largement le seul registre des cancers. Les données de santé sont qualifiées de sensibles par le RGPD, ce qui interdit en principe leur traitement sauf à invoquer une exception expressément prévue par l'article 9 du RGPD. Pour un registre de santé publique, la base juridique repose généralement sur l'intérêt public et un cadre légal national, sous le contrôle de la CNIL.

Mais cette habilitation ne suspend pas les autres principes du règlement. Le registre reste soumis au principe de minimisation : seules les données « adéquates, pertinentes et limitées » à la finalité poursuivie peuvent être collectées. Ce principe, posé par l'article 5 du RGPD, devient particulièrement contraignant lorsqu'un dispositif est conçu pour durer plusieurs décennies et alimenter des recherches non encore définies. Plus le périmètre s'élargit, plus la justification de chaque champ devient exigeante.

La tribune souligne également l'enjeu de la conformité RGPD du secteur de la santé, où la CNIL a multiplié les contrôles et les rappels à l'ordre depuis 2024. Les acteurs publics ne sont pas exemptés : ils restent tenus aux mêmes obligations de documentation, d'analyse de risque et de transparence vis-à-vis des personnes concernées.

Ce que ça change pour les organisations

Pour tout responsable de traitement manipulant des données de santé — établissements hospitaliers, assureurs, mutuelles, éditeurs de logiciels métier, laboratoires, structures de recherche — le débat ouvert par la tribune appelle à trois actions concrètes.

D'abord, réinterroger la finalité. Une finalité large et évolutive (« recherche médicale », « santé publique ») ne suffit plus. Il faut décliner précisément les usages prévus, les exclure explicitement le cas échéant, et documenter cette analyse dans le registre des traitements.

Ensuite, réaliser ou actualiser une analyse d'impact. Tout traitement à grande échelle de données de santé est présumé à risque élevé et déclenche l'obligation d'une analyse d'impact relative à la protection des données (AIPD). Le récent template officiel adopté par l'EDPB en avril 2026 fournit désormais une trame harmonisée européenne pour structurer cet exercice.

Enfin, renforcer la gouvernance. Cela passe par une cartographie précise des accès, une politique de durée de conservation alignée sur la finalité, et une information renforcée des personnes — y compris sur le droit d'opposition pour les traitements fondés sur l'intérêt public, dont l'effectivité est trop souvent négligée.

Ce que Leto pense de cette décision

La tribune touche un point aveugle de la conformité RGPD française : on parle beaucoup des sanctions contre les acteurs privés, beaucoup moins des dispositifs publics qui agrègent silencieusement des volumes considérables de données sensibles. Or, sur le plan du droit, le statut public ne dispense pas de la rigueur technique. Le principe de minimisation s'applique à tous, et la légitimité d'intérêt public ne se présume pas — elle se documente, se borne et se contrôle. Plus largement, ce débat illustre une tendance que nous observons chez nos clients : les autorités scientifiques et les régulateurs convergent vers une exigence accrue de gouvernance, de documentation et de redevabilité. La conformité RGPD n'est plus une formalité administrative ; c'est désormais un test de crédibilité institutionnelle.

Sources : Le Monde — Tribune sur le registre national des cancers (10 avril 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026