Vous êtes médecin, kinésithérapeute, dentiste ou tout autre professionnel de santé libéral ? Chaque jour, vous collectez des données sensibles sur vos patients : dossiers médicaux, résultats d’examens, historiques de rendez-vous, données de télémédecine. Depuis le 25 mai 2018, le RGPD vous impose des obligations précises. En cas de manquement, les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Ce guide pratique couvre l’ensemble des points RGPD applicables à votre cabinet, avec les textes de référence, les durées légales et les actions concrètes à mener. Belenos a intégré nativement ces exigences dans sa solution de télésecrétariat médical : hébergement HDS, contrat de sous-traitance inclus, gestion des droits patients automatisée.
45 % des professionnels de santé libéraux ne sont pas encore conformes au RGPD — et la CNIL a prononcé plus de 340 sanctions en Europe en 2023 (rapport EDPB).
Dans cet article
- Les définitions essentielles du RGPD
- Vos responsabilités en tant que responsable de traitement
- Les droits de vos patients à respecter
- Le registre des traitements
- Les durées de conservation légales
- Les contrats avec vos sous-traitants
- L’hébergement des données de santé (HDS)
- La sécurité des données
- Que faire en cas de violation de données ?
- Plan d’action : 5 étapes pour se mettre en conformité
- Sanctions et risques
- FAQ
1. Les définitions essentielles du RGPD
Qu’est-ce qu’une donnée à caractère personnel ?
Le RGPD (Art. 4.1) définit une donnée à caractère personnel comme toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement. Cette définition ne concerne que les personnes physiques — les entreprises et associations ne sont pas visées.
| Type d’identification | Exemples dans un cabinet médical |
|---|---|
| Directe | Nom, prénom, adresse e-mail nominative, photo |
| Indirecte | Numéro de sécurité sociale (NIR), données biométriques, numéro de téléphone |
| Par croisement | Code postal + date de naissance + spécialité médicale |
Qu’est-ce qu’une donnée de santé ?
Les données de santé (Art. 4.15 RGPD) désignent toutes les données relatives à la santé physique ou mentale, passée, présente ou future d’une personne qui révèlent des informations sur son état de santé.
Voici ce qui constitue une donnée de santé dans votre cabinet :
- Dossier médical, ordonnances, résultats d’analyses
- Comptes-rendus de consultation, diagnostics, traitements médicamenteux
- Antécédents chirurgicaux et hospitalisations
- Imagerie médicale (radiographies, IRM, scanners)
- Données de téléconsultation et formulaires d’anamnèse
- Agenda de rendez-vous (car il révèle la fréquence et la nature des consultations)
Important : les données de santé font partie des 9 catégories de données sensibles de l’article 9 du RGPD. Leur traitement est soumis à des obligations renforcées et les sanctions en cas de violation sont deux fois plus élevées qu’en droit commun.
2. Vos responsabilités en tant que responsable de traitement
En tant que professionnel de santé libéral ou dirigeant d’un cabinet de groupe, vous êtes le Responsable de Traitement (RT) au sens de l’Art. 4.7 du RGPD. Vous déterminez seul les finalités et les moyens du traitement des données de vos patients.
Les 5 principes fondamentaux à respecter (Art. 5 RGPD)
| Principe | Ce que cela signifie concrètement |
|---|---|
| Licéité et transparence | Collecter les données pour une raison légitime et en informer le patient |
| Limitation des finalités | Utiliser les données uniquement pour l’objectif pour lequel elles ont été collectées |
| Minimisation | Ne collecter que ce qui est strictement nécessaire au soin |
| Exactitude | Maintenir les données à jour et corriger les erreurs sur demande |
| Conservation limitée | Supprimer les données à l’issue de leur durée de conservation légale |
La base légale de traitement pour un cabinet médical
Tout traitement de données doit reposer sur une base légale (Art. 6 RGPD). Pour les professionnels de santé, la base légale principale est :
- L’obligation légale (Art. 6.1.c) : tenue du dossier médical, facturation Assurance Maladie
- La mission d’intérêt public (Art. 6.1.e) : soins, prévention, santé publique
- Le consentement (Art. 6.1.a) : pour les traitements non couverts par les deux bases précédentes (prospection, newsletter…)
Pour les données de santé spécifiquement, la base légale doit être complétée par une des exceptions de l’Art. 9.2 du RGPD, notamment la prise en charge médico-sociale (Art. 9.2.h).
Le principe de Privacy by Design
Le RGPD impose de prendre en compte la protection des données dès la conception de vos outils et processus (Art. 25). Cela signifie que vous devez choisir des logiciels médicaux qui intègrent la sécurité par défaut, et non la rajouter après coup.
Belenos applique le Privacy by Design nativement : chiffrement de bout en bout, minimisation des données collectées, et paramètres de sécurité activés par défaut. Aucune configuration technique n’est requise de votre part.
3. Les droits de vos patients à respecter
Vos patients disposent de 8 droits fondamentaux que vous devez honorer sous un délai d’un mois maximum (Art. 12 RGPD). Ce délai peut être étendu à trois mois pour les demandes complexes, à condition d’en informer le patient dans le premier mois.
| Droit | Article RGPD | Ce que vous devez faire |
|---|---|---|
| Information | Art. 13-14 | Informer le patient lors de la collecte (affichage en salle d’attente, mentions sur les formulaires) |
| Accès | Art. 15 | Fournir une copie du dossier sur demande (délai : 8 jours pour les données récentes, 2 mois pour les archives) |
| Rectification | Art. 16 | Corriger les données inexactes ou incomplètes |
| Effacement | Art. 17 | Limité pour les données de santé : l’obligation légale de conservation prime sur ce droit |
| Limitation | Art. 18 | Geler le traitement d’une donnée pendant qu’une contestation est en cours |
| Portabilité | Art. 20 | Fournir les données dans un format structuré et lisible par machine (PDF, XML) |
| Opposition | Art. 21 | Stopper l’utilisation des données à des fins de prospection ou de communication marketing |
| Non-profilage automatisé | Art. 22 | Ne pas prendre de décision médicale entièrement automatisée sans supervision humaine |
Comment informer vos patients concrètement ?
- Affichez une notice d’information visible en salle d’attente — Téléchargez l’affiche URPS Île-de-France (PDF)
- Ajoutez une mention RGPD sur vos formulaires papier et numériques
- Intégrez une politique de confidentialité sur votre site internet ou votre logiciel de prise de rendez-vous
- Conservez une trace de chaque demande de droit exercée par un patient
Belenos automatise la gestion des droits patients : les demandes d’accès et d’export sont traitées directement depuis le portail patient, avec traçabilité intégrée.
4. Le registre des traitements
Le registre des activités de traitement est le document central de votre conformité RGPD (Art. 30). Il recense tous les traitements de données personnelles réalisés dans votre cabinet. Il est obligatoire pour tous les responsables de traitement, quelle que soit la taille du cabinet.
Bonne nouvelle : depuis le 25 mai 2018, vous n’avez plus à déclarer vos traitements auprès de la CNIL. C’est votre registre interne qui fait foi.
Pour chaque traitement, vous devez documenter :
- Le nom du traitement (ex : gestion des rendez-vous, tenue du dossier médical, facturation)
- La finalité : à quoi servent ces données ?
- Les catégories de données traitées (identité, données de santé, coordonnées…)
- Les destinataires : qui y accède ? (vous, votre secrétaire, votre logiciel, votre comptable)
- La durée de conservation
- Les mesures de sécurité mises en place
- Les éventuels transferts de données hors de l’Union Européenne
Exemple de ligne de registre : gestion des rendez-vous
| Champ | Contenu |
|---|---|
| Nom du traitement | Gestion des rendez-vous patients |
| Responsable de traitement | Dr Martin, médecin généraliste |
| Finalité | Organisation et suivi des consultations |
| Données collectées | Identité, coordonnées, motif de consultation |
| Destinataires | Cabinet médical, secrétariat, plateforme Belenos |
| Durée de conservation | 3 ans après le dernier rendez-vous |
| Mesures de sécurité | Accès authentifié, chiffrement TLS, hébergement HDS |
| Transferts hors UE | Aucun (serveurs localisés en France) |
📥 Téléchargez le modèle de registre simplifié de la CNIL (format .ods, gratuit)
5. Les durées de conservation légales
Conserver des données plus longtemps que nécessaire est une violation du RGPD. Voici les durées de référence applicables dans un cabinet médical français :
| Type de donnée | Base légale | Durée de conservation |
|---|---|---|
| Dossier médical (établissement de santé) | Art. R1112-7 Code de la Santé Publique | 20 ans à compter de la dernière consultation |
| Dossier médical (médecin libéral) | Recommandation CNOM | Toute la vie du patient (minimum 20 ans conseillé) |
| Agenda et prise de rendez-vous | Art. 5.1(e) RGPD + recommandation CNIL | 3 ans après le dernier rendez-vous |
| Données de facturation et comptabilité | Code de commerce, Art. L123-22 | 10 ans |
| Consentements et formulaires signés | Art. 7.1 RGPD | Durée du traitement + 5 ans |
| Données de téléconsultation | Art. R1112-7 CSP (assimilées au dossier médical) | 20 ans |
| Vidéosurveillance (salle d’attente) | Loi du 21/01/1995 | 30 jours maximum |
| Candidatures de recrutement non retenues | Recommandation CNIL | 2 ans après le dernier contact |
Cas particulier — décès du patient : le dossier médical doit être conservé encore 10 ans après la date du décès, et au moins jusqu’au 28e anniversaire du patient s’il est décédé mineur (Art. R1112-7 CSP).
6. Les contrats avec vos sous-traitants
Tout prestataire qui traite des données de santé pour votre compte est un sous-traitant au sens du RGPD (Art. 28). Vous avez l’obligation de formaliser cette relation par un contrat écrit, appelé DPA (Data Processing Agreement). Sans ce contrat, vous engagez votre responsabilité directe.
Sont concernés, entre autres : votre logiciel de gestion de cabinet, votre plateforme de prise de rendez-vous en ligne, votre solution de télémédecine, votre prestataire de sauvegarde informatique, votre comptable s’il accède aux données de facturation.
Ce que le contrat de sous-traitance doit obligatoirement mentionner (Art. 28.3 RGPD)
- L’objet et la durée du traitement confié
- L’obligation de traiter les données uniquement sur instruction documentée du responsable de traitement
- L’engagement de confidentialité du personnel autorisé
- Les mesures de sécurité techniques et organisationnelles mises en place
- Les conditions d’autorisation pour faire appel à des sous-traitants secondaires
- L’obligation d’assister le responsable de traitement pour répondre aux demandes de droits des patients
- Le sort des données (restitution ou suppression) à la fin du contrat
- Le droit d’audit du responsable de traitement
Ce que vous devez vérifier avant de signer avec un prestataire
- Dispose-t-il d’une certification HDS pour l’hébergement des données de santé ?
- Propose-t-il un DPA RGPD pré-rédigé et conforme ?
- Ses serveurs sont-ils hébergés dans l’Union Européenne ?
- A-t-il une politique de sécurité documentée et auditée ?
Avec Belenos, le DPA conforme RGPD est fourni automatiquement lors de l’onboarding et signable en ligne. Vous n’avez pas besoin de faire appel à un juriste pour cette étape.
7. L’hébergement des données de santé (HDS)
« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social […] doit être agréée ou certifiée à cet effet. »
— Article L.1111-8 du Code de la Santé Publique, modifié par la loi n° 2016-41 du 26 janvier 2016
Qu’est-ce que la certification HDS ?
La certification Hébergeur de Données de Santé (HDS) est délivrée par un organisme accrédité par le COFRAC, selon le référentiel défini par l’Agence du Numérique en Santé (ANS). Elle garantit que l’hébergeur dispose des processus et des mesures de sécurité appropriés pour protéger des données médicales.
| Certification | Ce qu’elle garantit | Obligatoire pour |
|---|---|---|
| HDS | Sécurité organisationnelle et contractuelle de l’hébergement de données de santé | Tout hébergeur de données de santé en France |
| ISO 27001 | Système de management de la sécurité de l’information | Recommandé par la CNIL |
| ISO 27701 | Extension d’ISO 27001 pour la gestion de la vie privée | Recommandé pour les traitements sensibles |
Pourquoi c’est important pour votre cabinet
Utiliser un logiciel médical ou une plateforme de rendez-vous dont le prestataire n’est pas certifié HDS est illégal. En cas de contrôle ou de violation de données, vous êtes directement mis en cause, même si c’est votre prestataire qui a failli à ses obligations.
Belenos héberge les données de vos patients chez OVHcloud Healthcare, certifié HDS et ISO 27001, avec des serveurs exclusivement localisés en France. Les données ne quittent jamais le territoire de l’Union Européenne.
8. La sécurité des données : vos obligations techniques
L’article 32 du RGPD vous oblige à mettre en place des mesures de sécurité techniques et organisationnelles adaptées au niveau de risque. Pour des données de santé, ce niveau de risque est par définition élevé.
Les mesures minimales recommandées par la CNIL pour un cabinet médical
- Contrôle des accès : chaque utilisateur (médecin, secrétaire, remplaçant) doit avoir un identifiant et un mot de passe personnels. Ne jamais partager un compte.
- Authentification renforcée : activer l’authentification à deux facteurs (2FA) sur tous vos outils numériques.
- Chiffrement : chiffrer les postes de travail, les téléphones professionnels et les clés USB contenant des données patients.
- Sauvegardes régulières : effectuer des sauvegardes automatiques, testées et stockées dans un lieu séparé (idéalement sur serveur HDS).
- Mises à jour : maintenir les logiciels et systèmes d’exploitation à jour pour corriger les failles de sécurité.
- Verrouillage automatique : paramétrer le verrouillage automatique des écrans après quelques minutes d’inactivité.
- Gestion des départs : désactiver immédiatement les accès d’un collaborateur qui quitte le cabinet.
- Formation du personnel : sensibiliser secrétaires et assistants aux risques de phishing et aux bonnes pratiques RGPD.
89 % des hôpitaux et cliniques français ont subi une cyberattaque en 2022 (Agence du Numérique en Santé). Les cabinets libéraux sont également ciblés, notamment via des e-mails frauduleux et des rançongiciels.
9. Que faire en cas de violation de données ?
Une violation de données est tout incident de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles. Exemples concrets : un ordinateur volé, un dossier envoyé au mauvais patient, un accès piraté à votre logiciel médical.
Vos obligations en cas d’incident
Étape 1 — Documenter l’incident (immédiatement)
Notez la nature de la violation, les données concernées, le nombre de patients affectés, les causes probables et les mesures prises.
Étape 2 — Notifier la CNIL (dans les 72 heures)
Si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes, vous devez notifier la CNIL via notifications.cnil.fr dans les 72 heures suivant la découverte. Passé ce délai, vous devez justifier le retard.
Étape 3 — Informer les patients concernés (si risque élevé)
Si la violation est susceptible d’engendrer un risque élevé pour les droits des personnes (vol d’identité, préjudice médical…), vous devez contacter directement les patients concernés.
Étape 4 — Remédier et améliorer
Mettez en place les mesures correctives et mettez à jour votre registre des violations.
Attention : même si vous confiez l’hébergement à un sous-traitant certifié HDS (comme Belenos), c’est vous, en tant que responsable de traitement, qui portez la responsabilité de la notification à la CNIL. Belenos s’engage contractuellement à vous alerter sans délai en cas d’incident sur son infrastructure.
10. Plan d’action : 5 étapes pour se mettre en conformité
Étape 1 — Cartographiez vos traitements de données
Listez tous les traitements en cours dans votre cabinet (rendez-vous, dossiers, facturation, télémédecine, ressources humaines…) et constituez votre registre RGPD. Utilisez le modèle simplifié de la CNIL comme base.
Étape 2 — Faites le ménage dans vos données
Identifiez les données dont la durée de conservation légale est dépassée et supprimez-les. Vérifiez que votre logiciel médical permet de paramétrer des alertes de purge automatique.
Étape 3 — Informez vos patients et respectez leurs droits
Affichez une notice d’information en salle d’attente, ajoutez des mentions légales sur votre site et vos formulaires, et formalisez votre procédure de réponse aux demandes de droits.
Étape 4 — Vérifiez et signez les contrats avec vos prestataires
Assurez-vous que chaque prestataire traitant des données de santé est certifié HDS et dispose d’un DPA conforme. Si ce n’est pas le cas, changez de prestataire ou demandez la mise en conformité.
Étape 5 — Sécurisez vos accès et formez votre équipe
Activez l’authentification à deux facteurs sur tous vos outils, chiffrez vos appareils professionnels, et organisez une session de sensibilisation avec votre personnel administratif et médical.
11. Sanctions et risques en cas de non-conformité
La CNIL dispose de pouvoirs de contrôle étendus et peut infliger des sanctions directement exécutoires depuis la réforme de 2019. Les professionnels de santé ne sont pas exemptés.
| Type de manquement | Sanction maximale |
|---|---|
| Manquements graves (violation de données, absence de mesures de sécurité…) | 20 millions d’euros ou 4 % du CA mondial annuel |
| Manquements moins graves (registre absent, DPA manquant…) | 10 millions d’euros ou 2 % du CA mondial annuel |
| Non-respect de la certification HDS | Sanctions pénales + fermeture administrative possible |
| Dépassement du délai de 72 h pour notification d’une violation | Mise en demeure + amende administrative |
Les violations les plus fréquentes dans les cabinets médicaux
- Envoi d’e-mails non chiffrés contenant des données médicales
- Compte partagé entre plusieurs collaborateurs (absence de traçabilité)
- Dossiers patients accessibles sans authentification
- Absence de contrat HDS avec le prestataire informatique
- Données non supprimées au-delà de la durée légale de conservation
- Absence de mention RGPD sur les formulaires de collecte
12. FAQ — RGPD pour les professionnels de santé
Un médecin libéral est-il obligé de respecter le RGPD ?
Oui, tout professionnel de santé qui collecte et traite des données personnelles de patients est soumis au RGPD, quelle que soit la taille de son cabinet. Vous êtes responsable de traitement et devez tenir un registre, informer vos patients et sécuriser les données.
Combien de temps conserver un dossier médical en France ?
Les dossiers médicaux doivent être conservés pendant 20 ans à compter de la date de la dernière consultation (Art. R1112-7 CSP pour les établissements de santé). Pour les médecins libéraux, le CNOM recommande de conserver les dossiers toute la vie du patient avec un minimum de 20 ans.
Qu’est-ce qu’un hébergeur HDS et pourquoi est-ce obligatoire ?
Un hébergeur HDS (Hébergeur de Données de Santé) est certifié pour stocker des données de santé à caractère personnel. Cette certification est obligatoire en France depuis la loi du 26 janvier 2016 (Art. L.1111-8 CSP). Utiliser un hébergeur non certifié expose le responsable de traitement à des sanctions pénales et administratives.
Dois-je déclarer mes traitements à la CNIL ?
Non. Depuis le 25 mai 2018, la déclaration préalable à la CNIL n’est plus obligatoire. Elle a été remplacée par le registre interne des activités de traitement (Art. 30 RGPD). Vous restez cependant soumis aux contrôles de la CNIL à tout moment.
Mon logiciel de prise de rendez-vous doit-il être conforme RGPD ?
Oui. Un logiciel de prise de rendez-vous médicaux collecte des données de santé (motif de consultation, spécialité…) et doit être hébergé sur une infrastructure certifiée HDS. Le prestataire doit vous fournir un DPA signé. Belenos répond à l’ensemble de ces exigences nativement.
Un remplaçant a-t-il accès aux données patients ? Comment le cadrer ?
Oui, un remplaçant peut accéder aux données nécessaires à l’exercice de ses soins. Vous devez lui créer un accès nominatif distinct (jamais partager le vôtre), lui faire signer un engagement de confidentialité, et désactiver son accès dès la fin du remplacement.
La télémédecine est-elle soumise aux mêmes règles RGPD ?
Oui. Les données issues d’une téléconsultation sont assimilées au dossier médical. Elles doivent être hébergées sur une infrastructure HDS, conservées 20 ans, et votre plateforme de télémédecine doit disposer d’un DPA conforme RGPD.
Déléguez votre secrétariat en toute conformité Ne prenez aucun risque avec les données de vos patients. |
Sources
- CNIL : Le RGPD appliqué au secteur de la santé
- CNOM : Comment les médecins appliquent le RGPD au quotidien
- Agence du Numérique en Santé : Certification HDS
- Ministère de la Santé : Mémento RGPD
- Règlement (UE) 2016/679 du Parlement européen et du Conseil — RGPD
- ENISA Threat Landscape for Health Sector — 2023
- EDPB Annual Report 2023
