RGPD pour site médical
Un site médical — cabinet de médecin généraliste, spécialiste, clinique ou professionnel de santé libéral — traite par nature des données parmi les plus sensibles que connaît le RGPD. Les informations relatives à la santé des patients constituent des « catégories particulières de données » au sens de l'article 9 du RGPD, dont le traitement est en principe interdit sauf exceptions strictement encadrées.
Notre générateur produit une politique de confidentialité adaptée aux spécificités du secteur médical : hébergement certifié HDS, prise de rendez-vous en ligne, secret médical, désignation du délégué à la protection des données et droits renforcés des patients. Le document est prêt en quelques minutes, sans connaissances juridiques préalables.
Données de santé : un régime juridique renforcé
Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement est autorisé pour les professionnels de santé dans le cadre de la prise en charge médicale (article 9.2.h), à condition que le traitement soit réalisé sous la responsabilité d'un professionnel soumis au secret professionnel. Le secret médical constitue ici à la fois une obligation déontologique et un fondement juridique du traitement.
Concrètement, un cabinet médical traite des données de santé dès que des informations relatives à l'état de santé d'un patient, ses antécédents, ses prescriptions ou ses résultats d'examens sont enregistrées — y compris dans un simple agenda de rendez-vous en ligne si la nature de la consultation y est mentionnée.
La base légale applicable n'est pas le consentement mais la prise en charge médicale (art. 9.2.h RGPD) combinée à la mission d'intérêt public de santé. Le consentement s'applique aux traitements accessoires : newsletter, enquêtes de satisfaction, communications marketing.
Hébergement de données de santé certifié HDS
Tout hébergement de données de santé à caractère personnel collectées dans le cadre d'activités de prévention, de diagnostic ou de soins doit être confié à un hébergeur certifié HDS (Hébergeur de Données de Santé) ou agréé, conformément à l'article L1111-8 du Code de la santé publique. Cette obligation s'applique que les données soient hébergées sur un serveur dédié ou dans le cloud.
En pratique, cela signifie que votre logiciel de gestion de cabinet, votre agenda de prise de rendez-vous en ligne (Doctolib, Maiia, Mondocteur, Kibolt, etc.) et tout service numérique stockant des données patients doit être hébergé chez un prestataire certifié HDS. La liste des hébergeurs certifiés est disponible auprès de l'ANS (Agence du Numérique en Santé). Le non-respect de cette obligation expose le professionnel à des sanctions pénales et disciplinaires.
DPO, registre des traitements et droits des patients
La désignation d'un délégué à la protection des données (DPO) est obligatoire pour les organismes qui traitent à grande échelle des données de santé (article 37.1.c RGPD). Pour un médecin libéral isolé, cette obligation ne s'applique généralement pas, mais elle devient pertinente pour les cliniques, les groupes médicaux et les structures employant plusieurs praticiens. La CNIL recommande dans tous les cas de désigner un référent interne à la protection des données.
Tout responsable de traitement dans le secteur médical doit tenir un registre des activités de traitement (article 30 RGPD) recensant notamment : les données de santé collectées, leurs finalités, les destinataires (laboratoires, spécialistes, caisses d'assurance maladie), les durées de conservation et les mesures de sécurité. Les patients disposent d'un droit d'accès à leur dossier médical (art. L1111-7 CSP) qui s'articule avec leur droit d'accès RGPD.
La durée de conservation des dossiers médicaux est fixée par la réglementation sanitaire — vingt ans à compter de la date du dernier acte médical pour un adulte — indépendamment des durées RGPD. Ces deux régimes doivent être coordonnés dans votre politique de confidentialité.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD pour site médicalQuestions fréquentes
Un médecin libéral doit-il désigner un DPO ?
Pas systématiquement. L'obligation de désigner un DPO s'applique aux organismes traitant des données de santé à grande échelle (art. 37.1.c RGPD). Un médecin de ville traitant les données de ses propres patients n'est pas considéré comme effectuant un traitement à grande échelle. En revanche, une clinique, un réseau de soins ou un hôpital est concerné. La CNIL recommande malgré tout à tout professionnel de santé de désigner un référent interne.
La prise de rendez-vous en ligne via Doctolib est-elle conforme au RGPD ?
Doctolib est un sous-traitant certifié HDS qui dispose d'un contrat de sous-traitance RGPD (DPA) signé avec chaque praticien. L'utilisation de la plateforme ne dispense pas le praticien d'informer ses patients : une mention d'information RGPD doit être affichée à l'accueil du cabinet et sur le site web, incluant le recours à Doctolib comme sous-traitant.
Peut-on envoyer des rappels de rendez-vous par SMS sans consentement explicite ?
Oui, dans la mesure où ce traitement relève de la gestion de la relation médicale (exécution du contrat de soins). Le rappel de rendez-vous est directement lié à la prise en charge et ne constitue pas une communication commerciale. Il n'est donc pas soumis à l'obligation de consentement préalable au sens de la directive ePrivacy, à condition de ne contenir aucun message promotionnel.
Quelles sont les sanctions en cas de violation de données de santé ?
Les violations de données de santé doivent être notifiées à la CNIL dans les 72 heures (art. 33 RGPD) et, si le risque pour les personnes est élevé, aux patients concernés (art. 34 RGPD). Les sanctions peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. En France, le défaut de sécurité exposant des données de santé peut également entraîner des poursuites pénales et disciplinaires (Conseil de l'Ordre).