La santé et la confidentialité dans l’Église

MDP Data Protection vous accompagne dans la protection des données de santé au sein des structures ecclésiales, pour un accompagnement respectueux et conforme au RGPD.

Un défi discret mais réel : données de santé et pratiques ecclésiales

L’Église, en tant qu’institution humaine et spirituelle, accompagne souvent ses fidèles dans des moments délicats : maladie, hospitalisation, situations personnelles sensibles. Cette mission pastorale s’accompagne parfois de la collecte d’informations très personnelles… qui relèvent du RGPD.

Mais comment traiter des données de santé dans un cadre ecclésial tout en respectant les obligations de confidentialité, de sécurité et de licéité prévues par le droit européen ?

Ce que dit le RGPD  pour gérer les données de santé dans le contexte ecclésial

Le Règlement général sur la protection des données (RGPD) considère les données de santé comme des “catégories particulières de données” (article 9). Leur traitement est, par défaut, interdit, sauf exceptions strictement encadrées.

• Consentement explicite (article 9.2.a) du fidèle pour chaque usage,
• Nécessité pour fournir une assistance ou un accompagnement pastoral confidentiel (article 9.2.d),
• Intérêt légitime poursuivi par une organisation à but non lucratif à finalité religieuse, 
• Intérêt vital de la personne concernée (article 9.2.c), en cas d’urgence.

 En pratique, une paroisse ne peut pas conserver une liste de malades sans formaliser cette finalité, informer les personnes, et sécuriser ces informations.

👉 Voir aussi : LeMag – Conformité RGPD des congrégations : une démarche progressive et naturelle

 Exemple concret : le Sanctuaire de Lourdes

Le Sanctuaire de Lourdes, lieu emblématique d’accueil de pèlerins malades, a été confronté à cette problématique. Il a souhaité sécuriser le traitement des données de santé collectées lors des inscriptions aux pèlerinages, des soins ou de l’accompagnement spirituel.

Accompagné par MDP Data Protection, le Sanctuaire a structuré ses registres de traitement, mis en place un registre d’accès limité, et renforcé la sensibilisation de ses équipes bénévoles.

“Je suis très heureux de cette rencontre, et je solliciterai MDP pour mes prochains projets en lien avec la sécurisation des systèmes informatiques !”

🗣️ Philippe Leroux – Sanctuaire de Lourdes

Bonnes pratiques pour la confidentialité des données de santé

• Cartographier les données personnelles sensibles collectées (fiches d’inscription, intentions de prière, courriers…) et collecter uniquement les données strictement nécessaires à la mission pastorale
• Informer les personnes accompagnées de manière claire sur l’usage de leurs données
• Limiter l’accès à ces données : seules les personnes autorisées (curé, aumônier, référent) doivent y avoir accès.
• Conserver, sécuriser et documenter : conserver les données de manière sécurisée (format papier ou numérique protégé), protéger par mot de passe, éviter les échanges par mail non chiffrés, et tenir un registre de traitement dédié, prévoir une durée de conservation limitée…

Confidentialité et spiritualité : un enjeu d’exemplarité

Dans un contexte où la confiance des fidèles est essentielle, il est crucial pour les institutions religieuses de montrer l’exemple. Être conforme au RGPD, ce n’est pas simplement respecter la loi, c’est aussi garantir un respect profond de l’intimité et de la dignité des personnes accompagnées.

Pour aller plus loin

• CNIL – Données de santé : ce que dit le RGPD
• Service-public.fr – Traitement de données personnelles sensibles
• CNIL – Guide RGPD pour les associations

 LES SOLUTIONS CHEZ MDP Data Protection  :

• LIVRE BLANC : Notre guide pratique sur la conformité au RGPD.
• MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
• MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

MDP Data Protection accompagne depuis 7 ans les organisations dans leur conformité RGPD, vous avez besoin d’un accompagnement pour votre structure religieuse ?

Contactez les experts MDP Data Protection pour un audit ou une mission de mise en conformité.

 ❓ Foire aux questions (Voir aussi :  FAQ – Foi)

• Est-ce qu’une paroisse doit avoir un DPO (Délégué à la Protection des Données) ?

Pas obligatoirement. Une paroisse n’est pas tenue de nommer un DPO sauf si elle traite régulièrement des données sensibles ou à grande échelle. En revanche, une documentation RGPD reste indispensable.

• Les intentions de prière sont-elles des données personnelles ?

Oui, si elles permettent d’identifier directement ou indirectement une personne et contiennent des éléments sensibles (santé, vie privée). Elles doivent alors être traitées avec précaution.

• Faut-il le consentement des fidèles pour inscrire des malades dans le bulletin paroissial ?

Oui. Le RGPD impose un consentement explicite lorsqu’il s’agit de données de santé ou de situations personnelles rendues publiques.

• Peut-on conserver les fiches de contact des paroissiens indéfiniment ?

Non. Les données doivent être conservées pour une durée limitée, clairement définie dans une politique de conservation (ex : 3 à 5 ans).

✍️ À propos de l’auteur

Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.

Dernière mise à jour : Avril 2025