ComplyOne-Pulse
Les données patients exigent plus que de bonnes intentions.
Les entreprises de santé font face au RGPD pour les données patients et à NIS2 pour l'infrastructure numérique — les deux sont activement appliqués. Avec l'AI Act pour les algorithmes cliniques, la surface réglementaire est plus large que la plupart des prestataires ne le réalisent.
Pourquoi la santé ne peut pas se reposer sur le consentement et la bonne foi
Les données de santé sont la catégorie la plus sensible de données personnelles selon le RGPD — et c'est exactement ce que les entreprises de santé et medtech doivent traiter pour fournir des soins. Ajoutez les obligations de cybersécurité NIS2 pour l'infrastructure numérique, la classification à haut risque AI Act pour le support à la décision clinique, et un environnement d'application implacable, et le coût d'un programme non conforme se mesure en millions, plus le dommage de réputation qui se cumule pendant des années.
What's included in ComplyOne-Pulse
The regulations that matter most for entreprises de santé et medtech — covered, mapped to your business, and tracked over time.
RGPD
Données de santé de catégorie spéciale — base légale explicite requise, AIPD obligatoires, règles de conservation strictes. L'article 9 fixe une barre beaucoup plus haute que les données personnelles ordinaires.
NIS2
La santé est désignée comme secteur essentiel. Hôpitaux, cliniques, prestataires de diagnostic et grands fournisseurs medtech font face à des obligations NIS2 directes depuis octobre 2024.
AI Act
L'IA utilisée dans les dispositifs médicaux, le support à la décision clinique, le triage et le diagnostic est à haut risque. L'Annexe III liste explicitement l'accès aux services de santé essentiels comme catégorie à haut risque.
LPD suisse
Les prestataires de santé suisses sont soumis à la LPD avec ses dispositions de profilage à haut risque et la responsabilité personnelle jusqu'à CHF 250 000. Les flux transfrontaliers déclenchent des règles supplémentaires.
How ComplyOne-Pulse works
Onboard in minutes
Answer 5 questions about your business — sector, locations, data flows. No account needed for the free check.
Get your compliance map
See exactly which regulations apply to your business, where the gaps are, and what severity each carries.
Act on it
A prioritised task list, document templates, and an audit-ready evidence pack — guided through to a defensible compliance baseline.
Daily regulatory horizon scanning
ComplyOne scans EU regulatory sources every day — directives, implementing acts, regulator guidance, enforcement notices. When something changes that affects your obligation map, you get a structured alert: what changed, why it applies to you, and what you need to do. No more discovering enforcement deadlines from a news headline.
How to approach entreprises de santé et medtech compliance
Réalisez une AIPD pour chaque flux de données patient
Les données de santé de l'article 9 atteignent effectivement toujours le seuil de risque élevé pour une analyse d'impact relative à la protection des données. Ce n'est pas une bonne pratique optionnelle — c'est une exigence légale documentée, et c'est la première chose qu'un régulateur demande à voir.
Classifiez l'IA clinique selon l'AI Act
Un logiciel destiné à informer une décision clinique est à haut risque selon l'AI Act et le règlement sur les dispositifs médicaux. Les deux cadres ont des obligations qui se chevauchent mais distinctes — gestion des risques, supervision humaine, documentation technique, surveillance post-commercialisation, enregistrement dans la base de données UE.
Verrouillez votre programme de cyber-risque NIS2
La santé est essentielle selon l'Annexe I de NIS2 — soit le niveau le plus élevé d'obligations de cybersécurité : gestion des risques documentée, signalement d'incidents (alerte précoce sous 24 heures, rapport complet sous 72), sécurité de la chaîne d'approvisionnement et responsabilité de l'organe de direction pour les manquements.
Gérez les relations de sous-traitance et de responsabilité conjointe
Les workflows de santé impliquent typiquement une chaîne de sous-traitants — fournisseurs DPI, systèmes de laboratoire, services de facturation, archives d'imagerie, plateformes de télémédecine. Chacun a besoin d'un contrat documenté au sens de l'article 28, de contrôles des sous-traitants ultérieurs et d'engagements de notification de violation suffisamment serrés pour satisfaire la fenêtre RGPD de 72 heures.
Documentez les flux de données pour les scénarios transfrontaliers et de recherche
Cliniques multi-sites, télémédecine transfrontalière, collaborations de recherche, soumissions de registres — tous créent des scénarios de transfert qui nécessitent des clauses contractuelles types, des analyses d'impact des transferts et une base légale explicite. Mal fait, une subvention de recherche devient un incident réglementaire.
Swiss-hosted
All data hosted in Switzerland — outside US data-access frameworks.
10 EU regulations
GDPR, AI Act, NIS2, DORA, FADP, UK GDPR, Data Act, CSRD, AMLR, CRA — one platform.
Daily horizon scanning
Regulatory changes alerted, mapped to your obligations, every day.
Frequently asked questions
Sommes-nous automatiquement essentiels selon NIS2 parce que nous sommes un hôpital ?+
La plupart des hôpitaux sont essentiels selon l'Annexe I de NIS2, oui. Les seuils varient selon l'État membre mais couvrent tout prestataire de santé qui satisfait aux critères de taille — typiquement plus grand qu'une petite clinique. Même les petits prestataires peuvent être classifiés comme « importants » plutôt qu'« essentiels », ce qui comporte tout de même des obligations substantielles. Les autorités nationales compétentes maintiennent les registres.
L'AI Act s'applique-t-il si notre IA est déjà un dispositif médical CE-marqué ?+
Oui — les deux régimes s'appliquent. L'AI Act prévoit un certain degré d'intégration avec le cadre du règlement sur les dispositifs médicaux, mais il ajoute des obligations supplémentaires : gestion des risques IA, conception de la supervision humaine, surveillance post-commercialisation IA et enregistrement dans la base de données UE IA en plus du MDR. ComplyOne cartographie les obligations de double régime et aide à éviter les efforts dupliqués.
Quelle base légale couvre le traitement des données patient ?+
Plusieurs bases fonctionnent en parallèle. La fourniture de soins de santé et la gestion des systèmes de santé ou sociaux (article 9 § 2 lit. h) couvre la plupart des soins directs. L'intérêt public en santé publique (article 9 § 2 lit. i) couvre certains scénarios. La recherche a sa propre base (article 9 § 2 lit. j). Le consentement est rarement la bonne base pour les soins cliniques primaires, malgré le fait qu'il soit le plus couramment supposé.
Comment ComplyOne gère-t-il les délais de 24 heures et 72 heures ?+
ComplyOne fournit des modèles de rapport d'incident alignés sur les délais NIS2 (alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous 1 mois) et la fenêtre RGPD de 72 heures pour les violations. Les workflows structurés garantissent que vous capturez chaque champ requis avant la soumission, évitant les scénarios de modification tardive qui aggravent l'examen du régulateur.
À quelle vitesse un prestataire de santé peut-il démarrer ?+
Le contrôle de conformité prend environ 5 minutes et produit votre carte des réglementations applicables. Les programmes de santé prennent typiquement plus longtemps que d'autres secteurs pour atteindre une base défendable en raison de la profondeur des AIPD et de la documentation IA clinique — prévoyez 4 à 6 semaines de travail structuré, avec ComplyOne suivant les progrès et faisant remonter d'abord les lacunes les plus à risque.
See where you stand — in 60 seconds
Free compliance check, no signup required. Get your obligation map and gap report instantly.