Consentement de l’usager et données personnelles en ESMS : quelles limites posées par le décret du 29 décembre 2025 ?

Le décret n° 2025-1395 du 29 décembre 2025, relatif au contrat de séjour ou au document individuel de prise en charge (DIPC) en ESMS, s’inscrit dans la continuité de la loi n° 2024-317 du 8 avril 2024 (loi « Bien vieillir ») et vise à renforcer les droits des usagers des ESMS.

Il vient modifier l’article D. 311 du CASF en y insérant un VII bis, qui impose désormais la consignation, dans une annexe au contrat de séjour ou au DIPC, de l’accord de principe ou du refus de la personne (ou de son représentant légal) pour :

• le contrôle dans son espace privatif (article L.313-13-1 du CASF) ;
• la collecte, la conservation et le traitement de ses données personnelles recueillies lors de sa prise en charge.

Cet article se limitera aux enjeux liés au traitement des données personnelles des usagers, au cœur de vives interrogations pour les ESMS dans l’adaptation de leur fonctionnement et de leurs pratiques à ces nouvelles exigences entrées en vigueur au lendemain de la publication du décret.

Les ESMS doivent tirés rapidement les conséquences du décret du 29 décembre 2025, entré en vigueur au lendemain de sa publication, ne laissant ainsi aucun délai de transition aux ESMS pour adapter leurs pratiques. Pour autant prudence est mère de sûreté !

En effet, bien que cette précision réglementaire relative aux modalités de traitement des données personnelles des usagers recueillies à partir du système d’information mentionné à l’article L. 312-9 du CASF soit louable dans son intention de renforcer la transparence et le respect des droits des usagers, celle-ci pose des défis juridiques et opérationnels aux ESMS.

En effet, le consentement, tel que défini par l’article 7 du RGPD, doit être donné de manière libre, spécifique, éclairé et univoque. Or, dans le contexte des ESMS, où les publics accueillis sont souvent en situation de vulnérabilité (personnes âgées, en situation de handicap ou de dépendance), la validité de ce consentement peut être remis en cause, fragilisant ainsi la conformité et la continuité des activités de traitement des ESMS soumises aux exigences relatives à la protection des données personnelles.

Ainsi, nous vous proposons dans le cadre de cet article une analyse des incidences du décret n° 2025-1395 du 29 décembre 2025 auprès des ESMS et des recommandations opérationnelles pour sécuriser leurs pratiques

À titre liminaire, et afin de mieux comprendre les enjeux juridiques et opérationnels qui se posent aux ESMS, il convient de faire un point sur les exigences posées par la règlementation sur les données personnelles.

Pour rappel, la règlementation sur les données personnelles, qui recouvre à la fois les dispositions du règlement européen général sur la protection des données n° 2016-679 (« RGPD ») et celles de la loi Informatique et Libertés n°78-17, modifiée (« LIL »), précise les principes et les règles régissant la protection des données personnelles des personnes physiques.

Un responsable de traitement, c’est-à-dire la personne physique ou la personne morale qui détermine les moyens et les finalités du traitement des informations personnelles qu’elle collecte pour les besoins de ses activités, doit être en mesure d’apporter la preuve de la conformité de ses activités de traitement aux exigences posées par la règlementation sur les données personnelles (principe de responsabilité prévu par l’article 24 du RGPD).

À ce titre, les ESMS, en tant que responsable de traitement au sens du RGPD, doivent donc être en mesure de prouver que leurs activités nécessitant la réalisation de tout un ensemble d’opérations sur les informations personnelles des usagers (ex : collecte, enregistrement, structuration, conservation, modification, extraction, consultation, utilisation, communication par transmission, interconnexion, effacement ou destruction, etc…), notamment pour leur prise en charge, soient licites au sens du RGPD, c’est-à-dire, reposer sur l’une des 6 bases légales de traitement prévue à l’article 6 du RGPD.

Parmi les bases légales prévues à l’article 6 du RGPD, nous retrouvons notamment le consentement (article 6.1.a RGPD), l’exécution du contrat (article 6.1.b RGPD), l’obligation légale qui s’impose au responsable de traitement (article 6.1.c RGPD) ou encore l’intérêt légitime du responsable de traitement (article 6.1.f RGPD).

Ces éléments étant posés, la question est donc la suivante : quelle est la base légale du RGPD retenue par les ESMS pour rendre licite le traitement des informations personnelles des usagers pour les besoins de leur prise en charge ?

C’est précisément l’objet du décret du 29 décembre 2025 qui est venu préciser au sein de l’article D.311.VII bis. du Code de l’action sociale et des familles (« CASF ») que :

 « Le contrat ou le document individuel de prise en charge comporte une annexe consignant: […]

b) La mention expresse de l’accord de principe ou du refus de la personne accueillie ou accompagnée ou de son représentant légal pour la collecte, la conservation et le traitement des données personnelles recueillies au cours de sa prise en charge. Cet accord de principe ou ce refus sont recueillis conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données) »

Ainsi, les ESMS devraient donc retenir le consentement de l’usager comme la base légale pour assurer la licéité du traitement des informations personnelles de l’usager dans le cadre de sa prise en charge.

Pour autant, cette base légale est-elle réellement viable pour les ESMS ? Cela en est moins certain…

Le recueil du consentement de l’usager au traitement de ses informations personnelles recueillies pour les besoins de sa prise en charge part d’une intention louable : réaffirmer la place de l’usager au cœur de son parcours de soins, et comme le précise le rapport du Sénat sur la proposition de loi Bien vieillir avant son adoption, renforcer « la garantie des droits des personnes accueillies en ESMS ».

Pourtant, si le décret renvoie explicitement au RGPD pour encadrer cette démarche, la Commission Nationale de l’Informatique et des Libertés (« CNIL »), autorité indépendante chargée de veiller au respect de la réglementation sur les données personnelles, a pu émettre des réserves quant à l’utilisation du consentement comme base légale de traitement dans le secteur médico-social.

En effet, dans son référentiel relatif aux traitements de données en ESMS adopté le 11 mars 2021, la CNIL mettait déjà en garde les ESMS sur les risques liés à cette approche:

« Attention : dans le cadre de l’accompagnement social et/ou médico-social des personnes âgées, en situation de handicap ou en difficulté, la commission appelle l’attention des organismes sur la nécessité de faire preuve de la plus grande prudence dans l’usage du consentement comme base légale de leurs traitements de données à caractère personnel. Les personnes concernées peuvent en effet souffrir d’altération du discernement pouvant rendre le consentement non valable.

En outre, il est rappelé que la personne concernée qui fournit son consentement peut à tout moment le retirer, mettant fin en principe à la possibilité de traiter les données la concernant pour l’avenir.

De manière générale, le responsable de traitement doit veiller au respect des conditions de recueil du consentement et plus particulièrement au caractère libre, spécifique, éclairé et univoque du consentement. »

La CNIL pointe ici les difficultés opérationnelles auxquelles se confrontent les ESMS ayant recours au consentement comme base légale de leurs activités de traitement :

1. La validité du consentement donné: L’article 7 du RGPD impose le recueil d’un consentement libre, éclairé et univoque. Or, dans le cadre d’une prise en charge médico-sociale, l’état de santé de l’usager peut se dégrader, remettant en cause la validité de son consentement initial, et par la même occasion la licéité du traitement (pas de consentement valide, pas de traitement). L’ESMS pourra toujours recueillir de nouveau le consentement auprès des tuteurs/curateurs de l’usager, mais cela implique pour l’établissement la réalisation de nouvelles démarches susceptibles de complexifier son fonctionnement.
2. Le retrait du consentement : Le consentement peut être retiré aussi facilement qu’il a été donné (article 7.3 du RGPD). Bien que ce retrait n’affecte pas la licéité des traitements antérieurs, il pose une question cruciale : comment assurer la continuité de la prise en charge de l’usager ? Un ESMS ne peut bien évidemment pas interrompre brutalement l’accompagnement d’un usager, mais le décret du 29 décembre 2025 le place face à un dilemme : respecter une exigence formelle de consentement, tout en sachant que cette base légale est souvent inapplicable en pratique.

Il est par ailleurs remarquable que le Sénat ait explicitement repris les mises en garde de la CNIL, qu’il cite textuellement à partir de la page 111 de son rapport sur la proposition de Loi « Bien vieillir », mais n’en tire pas les conséquences pratiques dans la rédaction du texte final.

Mais alors, quelle base légale retenir si le consentement de l’usager n’est pas opérationnel ?

Pour encadrer le traitement des données personnelles des usagers, les ESMS peuvent opter pour des bases légales plus solides et opérationnelles que le consentement, notamment :

• L’exécution contractuelle du contrat de séjour qui lie l’usager et l’ESMS (article 6.1.b du RGPD) ;
• L’obligation légale (article 6.1.c du RGPD) pour les ESMS de tenir le dossier médical de l’usager, notamment au travers de leur solution « Dossier usager informatisé» (« DUI ») au cœur du système d’information des ESMS mentionné à l’article Article L.312-9 du CASF.
• Éventuellement, la mission d’intérêt public (article 6.1.e du RGPD) pour les organismes publics ou personnes morales de droit privé gérant un service public.

Les ESMS restent toutefois tenus d’adapter les annexes de leur contrat de séjour et du DIPC aux exigences posées par le décret du 29 décembre 2025. Dès lors, comment concilier conformité et pragmatisme ?

Les mentions d’informations amenées à apparaître dans les annexes du contrat de séjour et du DIPC devront recueillir l'” accord de principe ” de l’usager, tel que prévu par le décret, mais également les informations obligatoires prévues par l’article 13 du RGPD, qui impose de communiquer aux personnes concernées l’ensemble des éléments relatifs au traitement de leurs données personnelles, parmi lesquels nous retrouvons la base légale retenue par le responsable de traitement.

Ainsi, les documents de séjour de l’ESMS pourront préciser que l’accord de principe est recueilli, à titre complémentaire, sans préjudice des obligations légales auxquelles sont tenues les ESMS dans le cadre de leurs activités.

Ce décret, en questionnant les fondements juridiques du traitement des données réalisés par les ESMS, révèle un enjeu bien plus large : celui de la gouvernance RGPD dans un secteur où la protection de l’individu, au cœur même de la mission de ces établissements, ne peut se contenter de solutions théoriques ou bureaucratiques. Il nous oblige à repenser cette gouvernance pour qu’elle devienne opérationnelle, agile mais surtout au service des usagers, plutôt qu’un carcan administratif risquant de compromettre leur prise en charge. Et si ce décret était le déclic pour passer des textes aux actes ?