Skip links
Mentions
Contact
Published in: Conformité & RGPD

WhatsApp en EHPAD et structures médico-sociales : est-ce conforme au RGPD ?

Author
Published on:

À retenir en 30 secondes

WhatsApp rend de vrais services pour échanger avec les usagers : rappeler un rendez-vous, traduire un message, transmettre un document. Mais ces échanges font transiter des données sensibles par un outil grand public. Trois problèmes structurels en découlent : vous perdez le contrôle de la donnée, vous exposez des personnes vulnérables, et vous ne pouvez pas prouver votre conformité — quel que soit le téléphone utilisé. Les avantages sont réels mais remplaçables ; les risques, eux, sont structurels. WhatsApp ne peut pas être rendu conforme pour cet usage : il faut le remplacer, pas l’aménager.

Dans les structures sociales et médico-sociales — accueil et hébergement des demandeurs d’asile (CADA, HUDA, CPH), accompagnement des personnes en situation de handicap (IME, ESAT, FAM, MAS), grand âge (EHPAD, SSIAD) — WhatsApp s’est imposé jusque dans la relation avec les usagers eux-mêmes. Un professionnel envoie un rappel de rendez-vous. Il traduit un message pour une personne qui ne parle pas français. Il transmet la photo d’un document à régulariser. C’est gratuit, immédiat, et l’usager l’a déjà sur son téléphone.

Le problème n’est pas que WhatsApp soit inutile : s’il s’est répandu, c’est qu’il résout de vrais problèmes. Mais dès qu’on manipule des données aussi sensibles que celles de ces publics, ces échanges se paient par des risques sérieux et difficilement réversibles.

Pourquoi WhatsApp s’est imposé : des avantages réels

Si les équipes l’utilisent pour communiquer avec les usagers, c’est qu’il rend service :

  • L’immédiateté : on joint un usager en quelques secondes.
  • Le partage de documents : envoyer ou recevoir la photo d’une pièce administrative se fait en deux gestes.
  • La traduction : on copie-colle le message d’un usager allophone, on le traduit, on répond.
  • La simplicité : rien à installer côté usager, il a déjà l’application.

Ces avantages sont concrets. Mais ils relèvent du confort opérationnel, et chacun peut être obtenu autrement, avec un outil prévu pour cet usage.

Pourquoi le secteur change tout

Un échange avec un usager contient presque toujours une donnée de catégorie particulière au sens de l’article 9 du RGPD : état de santé, mais aussi origine, situation sociale ou administrative. Ces données bénéficient d’une protection renforcée parce qu’elles concernent des personnes vulnérables et que leur divulgation peut faire de vrais dégâts. S’y ajoute le secret professionnel propre à ces métiers.

Surtout, c’est l’établissement qui est responsable de traitement (article 4 du RGPD) : juridiquement comptable de ce qui circule, et non le salarié qui a entamé la conversation de bonne foi. Et ici, l’usager n’est pas un tiers : il est partie prenante de l’échange, ce qui accentue la sensibilité.

Risque 1 — La perte de contrôle

Quand un échange avec un usager passe par WhatsApp, aucun contrat de sous-traitance (article 28 du RGPD) n’encadre l’usage des données par Meta. Pire : Meta n’est pas un simple sous-traitant, puisqu’il exploite pour son propre compte les métadonnées de la conversation (nous y revenons). La donnée vit alors en plusieurs endroits — l’appareil du professionnel, celui de l’usager, l’infrastructure de Meta, les sauvegardes — sans que l’établissement puisse la superviser, la récupérer ou l’effacer de façon centralisée.

Conséquence directe : le droit à l’effacement (article 17) et le droit d’accès (article 15) deviennent impossibles à honorer. Si un usager demande la suppression de ses données, vous ne pouvez pas y répondre — la moitié de la conversation reste sur son téléphone, hors de votre portée, même avec un téléphone professionnel. À noter aussi : les sauvegardes sur iCloud ou Google Drive ne sont pas chiffrées de bout en bout par défaut (l’option existe depuis 2021, mais doit être activée manuellement).

Risque 2 — L’exposition des personnes vulnérables

« WhatsApp est chiffré, donc c’est sûr. » Le contenu des messages l’est, en effet : Meta ne peut pas le lire. Mais le chiffrement de bout en bout ne protège pas les métadonnées : qui communique avec qui, à quelle fréquence, à quels horaires. Or savoir qu’une personne est en contact régulier avec un service social ou médical spécialisé est déjà, en soi, une information sensible. Ces métadonnées-là sont collectées par Meta.

Autrement dit : même sans lire un seul message, le seul fait de la relation peut trahir une situation que l’usager n’a pas choisi d’exposer.

Risque 3 — L’impossibilité de prouver sa conformité

Le RGPD ne demande pas seulement de protéger les données : il impose, par le principe d’accountability (article 5.2), d’être en mesure de démontrer sa conformité. Sur ce terrain, WhatsApp échoue sur tous les plans : pas de journalisation des accès, pas de gestion des habilitations (impossible de savoir ni de prouver qui a vu quoi), et aucune possibilité de mener l’analyse d’impact (AIPD, article 35) ni de tenir un registre des traitements (article 30) sérieux pour cet usage. En cas de contrôle de la CNIL, vous n’avez rien à présenter.

Idée reçue : « le problème, c’est que les données partent aux États-Unis »

C’est l’argument le plus facile à démonter. Depuis 2023, le cadre EU-US Data Privacy Framework encadre ces transferts ; il a été confirmé par la justice européenne en 2025, et Meta y est certifié. Le transfert vers les États-Unis n’est donc pas le point faible. Le vrai problème est structurel — il tient quel que soit le pays d’hébergement.

Faut-il un hébergeur de données de santé (HDS) ?

C’est la question technique la plus mal comprise. L’obligation d’hébergement HDS (article L.1111-8 du Code de la santé publique) ne se déclenche que si vous hébergez de véritables données de santé chez un prestataire tiers. Deux précisions importantes :

  • Beaucoup de structures du secteur social stockent des données sensibles mais non médicales (situation administrative, origine, parcours). Ces données relèvent de l’article 9 du RGPD, mais ne déclenchent pas le HDS.
  • Le numéro de sécurité sociale (NIR) n’est pas une donnée de santé : c’est un identifiant national, soumis à son propre régime (le « décret cadre NIR » n° 2019-341), mais qui n’impose pas d’HDS à lui seul.

WhatsApp, dans tous les cas, n’est pas certifié HDS — donc si votre structure stocke réellement des données médicales, l’outil est exclu pour cette raison supplémentaire. Mais le cœur du problème reste ailleurs : le contrôle, l’exposition et la preuve.

La vraie comparaison : un gain mineur, un risque majeur

D’un côté, les avantages : rapidité, partage de fichiers, traduction, gratuité. Réels, mais remplaçables.

De l’autre, les risques : exposition de personnes vulnérables, perte de maîtrise totale, impossibilité de prouver sa conformité. Au bout de la chaîne, le RGPD prévoit des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires — un plafond théorique pour une petite structure, mais le risque concret est réel : mise en demeure de la CNIL, obligation de notifier une violation de données sous 72 heures (article 33), atteinte à la réputation, responsabilité engagée en cas de plainte.

Le confort gagné se compte en minutes. Le risque encouru se compte en personnes exposées. Le déséquilibre n’est pas discutable.

Que faire à la place ?

Interdire WhatsApp sans rien proposer ne fonctionne jamais : les équipes y reviennent par praticité. Il faut distinguer deux besoins.

Pour les échanges entre professionnels : une messagerie professionnelle sécurisée, chiffrée, hébergée dans l’Union européenne, avec gestion des habilitations et journalisation des accès.

Pour la communication avec l’usager : c’est le point le plus délicat, car l’usager est extérieur à votre système d’information. La bonne réponse n’est pas un simple messager interne, mais un canal dédié — espace ou application — à finalité définie (article 5), avec une base légale claire (article 6) et des données minimisées. À défaut, on limite la messagerie à la pure logistique, sans donnée sensible (un horaire de rendez-vous, jamais un motif médical).

Le tout doit être encadré par une analyse d’impact (AIPD, article 35), un contrat de sous-traitance conforme (article 28) avec le prestataire retenu, et un hébergement HDS si — et seulement si — des données de santé sont concernées.

FAQ

WhatsApp est-il conforme au RGPD ? +
Pour un usage privé, oui. Pour échanger avec des usagers dans une structure sociale ou médico-sociale, non : ni traçabilité des accès, ni maîtrise de la conservation et de l’effacement, ni contrat de sous-traitance avec Meta. Et il ne peut pas être aménagé pour le devenir.
Peut-on échanger avec un usager via WhatsApp ? +
Le gain est réel, mais dès qu’une information sur la personne apparaît, c’est un traitement de données sensibles dont l’établissement est responsable — et vous ne maîtrisez pas la moitié de la conversation qui reste sur le téléphone de l’usager. À réserver à de la logistique minimale, ou mieux, à remplacer par un canal dédié.
Le chiffrement de bout en bout ne suffit-il pas ? +
Non. Il protège le contenu des messages, mais pas les métadonnées (qui parle à qui, quand), déjà sensibles. Et les sauvegardes iCloud / Google Drive ne sont pas chiffrées de bout en bout par défaut.
Faut-il forcément un hébergeur HDS ? +
Seulement si vous hébergez de vraies données de santé chez un tiers. Les données sensibles non médicales (situation administrative, origine) et le numéro de sécurité sociale ne déclenchent pas, à eux seuls, l’obligation HDS — mais relèvent pleinement du RGPD.
Que risque concrètement un établissement ? +
Au-delà des sanctions financières prévues par le RGPD : une mise en demeure de la CNIL, la gestion et la notification d’une violation de données, une atteinte à la réputation, et sa responsabilité engagée en cas de plainte d’un usager ou d’une famille.

Vous échangez encore avec vos usagers via des messageries grand public ? TECHCIS, activateur France Num, accompagne les structures sociales et médico-sociales dans la mise en conformité RGPD de leurs outils numériques.

Téléchargez notre checklist de conformité Demandez un diagnostic gratuit

You may also like

🍪 Ce site web utilise des cookies pour améliorer votre expérience web.