Silver Économie & RGPD: Prospecter sans HDS ni Article 9

La silver économie regroupe des acteurs dont le cœur de métier touche directement à la santé, à la dépendance ou au vieillissement : EHPAD, services de soins infirmiers à domicile (SSIAD), mutuelles senior, plateformes de téléassistance, éditeurs de logiciels de gestion médicale. Ce périmètre sectoriel place mécaniquement une large partie des données traitées sous le régime des données de santé, catégorie spéciale au sens de l'article 9 du RGPD. Or la confusion est fréquente : beaucoup de startups age-tech pensent prospecter des décideurs B2B classiques, alors qu'elles adressent des structures dont les bases de données internes contiennent des données de catégorie sensible.

Le problème n'est pas de traiter des données de santé — c'est de ne pas l'identifier. Dès lors qu'une solution SaaS collecte, héberge ou traite indirectement des informations relatives à l'état de santé de résidents ou de patients, l'hébergement doit être certifié HDS (Hébergeur de Données de Santé) conformément à l'article L.1111-8 du Code de la santé publique, et le traitement de prospection ne peut s'appuyer sur le seul intérêt légitime de l'article 6(1)(f) du RGPD. Cette distinction est le premier filtre à appliquer avant toute campagne d'acquisition.

France Stratégie, dans son rapport 2022 sur la transformation numérique du secteur médico-social, identifie ce flou réglementaire comme l'un des principaux freins à l'adoption des solutions age-tech par les établissements. Les acheteurs publics et privés du secteur sont de plus en plus sensibilisés à la conformité de leurs fournisseurs — ce qui signifie que votre statut RGPD est devenu un argument commercial autant qu'une obligation légale.

L'article 9 du RGPD interdit par principe le traitement des données relatives à la santé, sauf exceptions limitativement énumérées. En contexte de prospection B2B, la question n'est pas de savoir si vous traitez les données de santé des patients de vos prospects — vous ne le faites pas. La question est plus subtile : est-ce que les informations que vous collectez sur vos prospects (leur poste, leur établissement, leur rôle dans la chaîne de soin) permettent d'inférer indirectement des données de santé sur des tiers ? Dans la grande majorité des cas, la réponse est non, et l'article 9 ne s'applique pas directement à votre base de prospection.

Là où l'article 9 devient contraignant, c'est lorsque votre outil de prospection s'intègre dans le système d'information de votre prospect ou collecte des signaux d'usage liés à des actes de soin. Un tracking comportemental sur un logiciel de dossier patient partagé, une API qui remonte des indicateurs d'occupation de lits, un pixel installé sur un portail de suivi thérapeutique : autant de cas où votre campagne marketing frôle ou franchit la ligne rouge. La CNIL a sanctionné plusieurs acteurs sur ce fondement exact, avec un délai moyen de procédure de 3,7 ans entre le signalement initial et la décision définitive — un délai qui ne doit pas être lu comme une tolérance, mais comme un arriéré de traitement.

La bonne pratique consiste à cartographier précisément vos données de prospection : nom, prénom, email professionnel, intitulé de poste, nom de l'établissement. Ces données ne relèvent pas de l'article 9 dès lors qu'elles sont strictement professionnelles et ne permettent pas d'identifier l'état de santé d'une personne physique identifiable. Consultez notre guide sur le RGPD cold outreach B2B pour une cartographie complète des bases légales applicables à chaque type de donnée.

L'article 6(1)(f) du RGPD permet de fonder un traitement de données personnelles sur l'intérêt légitime du responsable de traitement, à condition que cet intérêt ne soit pas supplanté par les droits et libertés fondamentaux de la personne concernée. En prospection B2B classique, cette base légale est robuste : un professionnel qui exerce dans un rôle décisionnel peut raisonnablement s'attendre à être contacté dans un cadre commercial lié à ses fonctions. La CNIL a confirmé cette interprétation dans ses lignes directrices sur la prospection commerciale.

Dans la silver économie, l'intérêt légitime reste applicable à la prospection des décideurs B2B — directeurs d'EHPAD, responsables achats de groupes de santé, DSI de réseaux de soins — à condition de respecter trois critères cumulatifs : la finalité du traitement doit être déterminée et proportionnée, la personne doit exercer dans un rôle professionnel en lien direct avec votre offre, et vous devez avoir mis en place un mécanisme d'opt-out simple et immédiatement opérationnel. L'email professionnel nominatif d'un directeur médical est traitable sous article 6(1)(f) ; l'adresse email générique d'une équipe de soins ne l'est pas avec la même solidité juridique.

La limite critique dans ce secteur tient à la sensibilité perçue du contexte. Même si vous ne traitez aucune donnée de santé au sens strict, adresser des messages de prospection à des professionnels de santé sur des sujets liés à la vulnérabilité des personnes âgées crée un risque réputationnel et, en cas de plainte, une présomption défavorable devant la CNIL. Le test de mise en balance prévu par l'article 6(1)(f) doit être documenté dans votre registre des traitements — non pas comme une formalité, mais comme un bouclier en cas de contrôle. Pour aller plus loin sur la structuration de vos séquences dans ce cadre, voir séquences cold email légales.

L'hébergement de données de santé (HDS) est une certification délivrée par un organisme accrédité COFRAC, obligatoire pour tout hébergeur qui stocke, archive ou traite des données de santé à caractère personnel pour le compte de tiers. La confusion fréquente chez les startups age-tech est de croire que cette obligation ne concerne que les éditeurs de logiciels médicaux. En réalité, dès lors que votre CRM ou votre outil de marketing automation reçoit des données provenant d'un établissement de santé — même sous forme de fichiers de contacts exports — la question de la qualification HDS se pose.

Concrètement : si votre processus de prospection inclut l'enrichissement de données depuis des annuaires médicaux (type Doctolib Pro, FINESS, RPPS), ou l'import de fichiers fournis par des partenaires du secteur contenant des informations sur des professionnels de santé identifiables dans un contexte de soin, votre outil de traitement peut être qualifié d'hébergeur de données de santé par ricochet. L'ANSSI, dans son référentiel de sécurité des systèmes d'information de santé (PGSSI-S), précise les critères techniques minimaux attendus, qui dépassent largement les standards d'un CRM commercial standard.

La solution opérationnelle : maintenir une séparation stricte entre votre base de prospection (données professionnelles pures, sans corrélation avec des actes de soin) et toute donnée provenant de systèmes d'information de santé. Un pipeline de leads construit à partir de LinkedIn, de pages institutionnelles d'établissements et de bases SIRET sectorielles reste hors du périmètre HDS. Utilisez des outils de qualifier automatiquement vos prospects pour enrichir vos leads sans jamais ingérer de données issues de SI de santé.

Première erreur : utiliser des fichiers de contacts achetés à des agrégateurs de données médicales sans vérifier la base légale de collecte initiale. L'article 14 du RGPD impose d'informer les personnes concernées de l'origine de leurs données lorsqu'elles n'ont pas été collectées directement. Si le fournisseur ne peut pas documenter cette chaîne, vous héritez de sa non-conformité. Deuxième erreur : intégrer des formulaires de capture sur des landing pages sans mention RGPD conforme ni case opt-in distincte pour la prospection commerciale — particulièrement risqué lorsque la landing page cible des professionnels de santé, public sensible aux yeux de la CNIL.

Troisième erreur : ne pas tenir à jour le registre des traitements pour les activités de prospection. Ce registre, obligatoire pour toute entreprise de plus de 250 salariés et recommandé en dessous, doit documenter la base légale, les catégories de données, les destinataires et les durées de conservation pour chaque campagne. Quatrième erreur : conserver des données de prospects inactifs au-delà de 3 ans sans requalification du consentement ou démonstration d'un intérêt légitime persistant. La CNIL considère généralement 3 ans comme la durée maximale de conservation raisonnable pour un prospect B2B sans interaction.

Cinquième erreur, et la plus coûteuse : confondre sous-traitant et responsable conjoint de traitement lorsqu'on co-prospecte avec un partenaire du secteur. Un accord de co-marketing avec un réseau d'EHPAD ou une fédération professionnelle implique une analyse RGPD spécifique. L'amende maximale de 20 millions d'euros ou 4% du chiffre d'affaires mondial s'applique indifféremment aux deux parties si la responsabilité conjointe n'est pas contractuellement encadrée. Pour optimiser la qualification de vos leads dans ce cadre, notre article sur le scorer les leads détaille une méthode en 12 critères compatible avec ces contraintes.

La construction d'une base de prospection conforme dans la silver économie repose sur quatre sources légalement robustes : les annuaires professionnels publics (FINESS pour les établissements, RPPS pour les professionnels de santé en tant que personnes morales), les pages institutionnelles des groupes et réseaux (Korian, DomusVi, Orpea, ADMR), les profils LinkedIn de décideurs ayant rendu publiques leurs coordonnées professionnelles, et les listes de participants à des événements sectoriels ayant donné leur consentement explicite à être contactés. Aucune de ces sources ne déclenche l'article 9, à condition de ne collecter que des données à caractère strictement professionnel.

L'enrichissement de ces données doit suivre le principe de minimisation de l'article 5(1)(c) du RGPD : ne collecter que ce qui est strictement nécessaire à la finalité de prospection. Email professionnel, intitulé de poste, nom de l'établissement, code FINESS ou SIRET, taille de structure, région : ce périmètre couvre 95% des besoins de segmentation sans jamais frôler les catégories spéciales. Toute donnée supplémentaire doit être justifiée dans votre registre des traitements par une nécessité documentée.

La durée de conservation est un point de contrôle régulièrement vérifié lors des audits CNIL : au-delà de 3 ans sans interaction (ouverture d'email, clic, réponse, appel), un prospect doit être archivé ou supprimé. Mettez en place un processus automatisé de purge semestrielle avec notification préalable de type 'dernière chance de rester en contact' — ce qui constitue également une opportunité de réengagement. Cette hygiène de base réduit significativement votre surface de risque en cas de contrôle.

Les startups age-tech qui parviennent à scaler leur acquisition sans incident RGPD partagent un trait commun : elles ont investi tôt dans une DPO externe ou un conseil spécialisé, et elles ont intégré la conformité comme argument commercial plutôt que comme contrainte. Dans un secteur où les acheteurs sont des directeurs d'établissements soumis eux-mêmes à des obligations RGPD strictes, arriver en prospection avec un dossier de conformité documenté — registre des traitements, politique de confidentialité sectorielle, clause DPA prête à signer — raccourcit les cycles de vente de manière mesurable.

Sur le plan opérationnel, les séquences de cold email les plus performantes dans la silver économie combinent une segmentation fine par type d'établissement (EHPAD public vs privé lucratif vs privé non lucratif, SAAD, SSIAD, résidences autonomie), une personnalisation basée sur des signaux publics non sensibles (appels d'offres publiés, actualités institutionnelles, recrutements en cours), et une proposition de valeur centrée sur la réduction de charge administrative plutôt que sur l'amélioration des soins — ce dernier angle frôlant le terrain des données de santé dans sa formulation.

La mesure de performance doit elle-même être conçue sans tracking intrusif. Un pixel de suivi d'ouverture email sur une liste de directeurs médicaux peut être requalifié en traitement non consenti si la politique de confidentialité n'en fait pas mention explicite. Privilégiez les métriques déclaratives (taux de réponse, demandes de démo, clics sur liens UTM) aux métriques comportementales silencieuses. Cette approche, plus respectueuse, améliore également la délivrabilité — les serveurs de messagerie des établissements de santé sont parmi les plus stricts en matière de filtrage anti-spam.