RGPD et cabinet médical : guide pratique du praticien

Un cabinet médical manipule chaque jour des données parmi les plus sensibles du RGPD : diagnostics, antécédents, traitements, données génétiques, parfois éléments de vie privée ou psychiatrique. Dans les audits que je mène auprès de professionnels de santé, je constate systématiquement les mêmes lacunes : registre absent ou incomplet, hébergement non certifié HDS, durées de conservation floues, sous-traitance non encadrée. La CNIL a déjà prononcé plusieurs sanctions lourdes contre des structures de santé — et ses contrôles 2024-2026 confirment que le secteur est une cible prioritaire. Voici ce qu’il faut mettre en place.

Ce qui rend le cabinet médical particulier

Trois spécificités justifient un régime RGPD renforcé pour la médecine libérale.

La nature des données. Presque tout ce qu’un médecin traite relève de l’Art. 9(1) du RGPD : données concernant la santé, données génétiques parfois, données biométriques, données sur la vie sexuelle. Ce sont des données sensibles au sens RGPD, interdites de traitement par principe, sauf à démontrer une exception de l’Art. 9(2). Le niveau de protection exigé est donc maximal.

La superposition du secret médical. L’article L. 1110-4 du Code de la santé publique impose un secret absolu, plus large que le secret professionnel classique : il couvre tout ce qui est venu à la connaissance du professionnel de santé. Le secret médical et le RGPD se complètent : le premier protège la relation soignant-patient contre la divulgation, le second encadre la collecte, l’usage et la conservation. Respecter l’un ne dispense pas de respecter l’autre.

Le volume et la régularité. Même un cabinet individuel traite des données de santé « à grande échelle » au sens des lignes directrices du CEPD (Guidelines WP 243 rev.01). Cela déclenche plusieurs obligations que beaucoup de praticiens ignorent encore, à commencer par la désignation d’un DPO.

Le statut RGPD du praticien : responsable de traitement

Le praticien en exercice libéral est responsable de traitement au sens de l’Art. 4(7) du RGPD. Il détermine les finalités (soigner, facturer, gérer le cabinet) et les moyens (dossier patient papier ou électronique, logiciel métier, télétransmission). En SELARL ou SCP, c’est la structure juridique qui est responsable de traitement, les associés étant ses représentants légaux.

Ce statut n’est pas anodin. Le cabinet répond directement devant la CNIL et les patients des éventuels manquements. Il doit en particulier :

• Délivrer l’information prévue à l’Art. 13 du RGPD (souvent via une affichette en salle d’attente + une notice remise au patient).
• Tenir le registre des activités de traitement (Art. 30).
• Garantir les droits des patients (accès, rectification, limitation, opposition dans certaines conditions).
• Notifier à la CNIL toute violation de données dans les 72 heures quand elle présente un risque pour les droits des patients.

En revanche, vis-à-vis du logiciel métier, de l’hébergeur du dossier patient, du prestataire de télétransmission SESAM-Vitale ou du secrétariat téléphonique externalisé, le cabinet est responsable de traitement et ces prestataires sont ses sous-traitants. Un contrat conforme à l’Art. 28 du RGPD est obligatoire avec chacun d’eux.

Les bases légales à mobiliser

La base légale d’un traitement dans un cabinet médical se construit à deux étages : il faut une base de l’Art. 6 et une exception de l’Art. 9 pour les données de santé.

Pour les soins et la tenue du dossier médical, la combinaison habituelle est Art. 6(1)(b) (exécution du contrat de soins avec le patient) ou Art. 6(1)© (obligation légale de tenir un dossier médical), couplée à l’Art. 9(2)(h) : traitement nécessaire aux finalités de médecine préventive, de diagnostic médical, de prise en charge sanitaire ou sociale. C’est le fondement central de l’activité.

Pour la facturation et la comptabilité, on utilise Art. 6(1)© (obligations fiscales et de conservation comptable). Si les données de santé doivent apparaître dans la facturation (acte, cotation), Art. 9(2)(h) ou Art. 9(2)(b) (droit de la sécurité sociale) s’ajoutent.

Pour les études internes, la statistique ou l’amélioration de la qualité, Art. 9(2)(j) ou Art. 9(2)(i) peuvent s’appliquer, sous conditions strictes. Un traitement de recherche en santé nécessite en général une autorisation CNIL préalable ou l’application d’une méthodologie de référence (MR-001, MR-003, MR-004).

Pour la communication du cabinet (newsletter, site web, prospection confrères), on reste dans Art. 6(1)(a) (consentement) ou Art. 6(1)(f) (intérêt légitime) — sans traiter de données de santé.

L’hébergement : HDS obligatoire pour le dossier patient

C’est le point le plus mal compris. Dès qu’un prestataire externe héberge des données de santé pour le compte d’un professionnel de santé (y compris par simple stockage), il doit être certifié « Hébergeur de Données de Santé » (HDS) au titre de l’article L. 1111-8 du Code de la santé publique.

Cela concerne en pratique :

• Le logiciel de gestion de cabinet et de dossier patient quand il est en mode SaaS.
• L’hébergeur du serveur de sauvegarde si les données y transitent.
• Les solutions de téléconsultation.
• Le cloud utilisé pour stocker des comptes-rendus, imageries, lettres de confrères.
• Les solutions de dictée numérique intégrant une intelligence artificielle quand elles traitent un contenu médical.

Stocker ses dossiers sur un Google Drive ou un Dropbox standard, ou utiliser une messagerie grand public pour échanger des documents médicaux identifiants, est une violation caractérisée de l’obligation HDS — et ce indépendamment du RGPD. Pour sortir de cette zone grise, il faut soit passer à un éditeur métier dont l’hébergement est HDS, soit utiliser une messagerie sécurisée de santé (MSSanté).

L’hébergement chez un acteur soumis à une législation extra-européenne (Cloud Act américain notamment) reste possible mais impose une analyse des transferts hors UE et, généralement, des mesures supplémentaires. Une solution française ou européenne reste plus simple à sécuriser juridiquement. Pour les structures sensibles à la souveraineté, la qualification SecNumCloud est la référence.

Durées de conservation : la règle des 20 ans

Les durées de conservation du dossier médical sont fixées principalement par le Code de la santé publique, pas par le RGPD. La règle de base (article R. 1112-7 pour les établissements, pratique transposée en ville) : 20 ans à compter du dernier passage du patient dans le cabinet, étendu à 28 ans pour les mineurs et à 30 ans pour les soins en lien avec une transfusion.

Cela dit, le cabinet traite bien d’autres données. Le tableau des durées de conservation à construire pour un cabinet type inclut :

• Dossier médical : 20 ans après le dernier passage (28 ans pour mineurs).
• Facturation et feuilles de soins électroniques : 10 ans (obligations comptables et contrôle CPAM).
• Données de prospection non-patient : 3 ans à compter du dernier contact.
• Vidéosurveillance des locaux (si présente) : 30 jours maximum sauf incident.
• Données RH et paie (si salariés) : 5 ans (bulletins) / selon les durées légales RH.

Le cabinet doit documenter la politique d’archivage intermédiaire (dossiers non actifs isolés, accès restreint) et la politique de destruction (broyage sécurisé pour le papier, effacement certifié pour le numérique).

Le DPO : souvent obligatoire

La désignation d’un DPO est rendue obligatoire par l’Art. 37(1)© quand le traitement à grande échelle de données sensibles constitue le coeur de l’activité. La CNIL a clarifié sa position : un cabinet médical individuel qui traite régulièrement des données de patients doit désigner un DPO, sauf exception dûment justifiée. Pour les structures pluridisciplinaires, les MSP, les centres de santé, la question ne se pose plus — le DPO est systématiquement requis.

Le DPO peut être interne (un associé, un collaborateur formé) ou externe (mutualisé entre plusieurs cabinets, ou délégué à un prestataire). Les Unions régionales des professionnels de santé (URPS) et certains ordres proposent des DPO mutualisés à tarif accessible. Pour bien cerner les hypothèses d’obligation, consultez le guide complet sur les cas où le DPO est obligatoire.

Le DPO a trois missions centrales : informer et conseiller, contrôler la conformité, coopérer avec la CNIL. Il doit être déclaré en ligne auprès de la CNIL et ses coordonnées doivent apparaître sur les supports d’information du patient.

Les droits du patient : particularités

Les patients disposent de tous les droits RGPD, avec quelques particularités de régime pour la santé.

Le droit d’accès (Art. 15 RGPD) se combine avec le droit d’accès au dossier médical prévu à l’article L. 1111-7 du CSP. Le délai de droit commun (1 mois RGPD) est plus court que le délai santé (8 jours ou 2 mois si le dossier a plus de 5 ans), mais c’est généralement le délai RGPD qu’il faut appliquer en pratique car il est plus protecteur. La communication peut se faire directement au patient, par l’intermédiaire d’un médecin désigné, ou à ses ayants droit dans les conditions de l’article L. 1110-4 CSP.

Le droit à l’effacement (Art. 17) est largement neutralisé par l’obligation légale de conservation des données de santé. On ne peut pas effacer un dossier médical pendant la durée légale de conservation.

Le droit d’opposition (Art. 21) est possible pour certains traitements (études, statistiques, communication du cabinet) mais pas pour la tenue du dossier médical dans le cadre du soin.

Le droit à la portabilité (Art. 20) ne s’applique pas aux dossiers tenus pour motif d’intérêt public ou mission de service public, mais s’applique généralement en médecine libérale au titre du contrat de soins.

Sous-traitance : le gros point aveugle

Un cabinet moderne s’appuie sur une dizaine de sous-traitants au sens RGPD : éditeur du logiciel métier, hébergeur HDS, prestataire de télétransmission, secrétariat téléphonique, service de télémédecine, éventuellement un prestataire de dictée numérique ou d’intelligence artificielle d’aide au diagnostic.

Chacun de ces prestataires doit signer un contrat conforme à l’Art. 28(3) avec des clauses précises : objet du traitement, durée, nature des opérations, catégories de données, obligations de sécurité, interdiction de sous-sous-traitance sans autorisation, obligation d’assister le cabinet dans ses obligations de sécurité et de notification. Dans mon expérience d’audit, c’est le chapitre où je trouve systématiquement des manquements — soit l’absence de contrat, soit un contrat insuffisant, soit l’ignorance de l’identité réelle de l’hébergeur final.

Autre point critique : la localisation des données. Si un sous-traitant héberge ou accède aux données depuis un pays hors UE, il faut analyser le mécanisme de transfert (Clauses Contractuelles Types, Décision d’adéquation, mesures supplémentaires). L’analyse des transferts est rarement faite sérieusement dans les cabinets. Elle devrait l’être pour chaque solution, et documentée.

Sécurité : le minimum technique

Les mesures de sécurité exigées par l’Art. 32 du RGPD s’apprécient au regard des risques et de la nature des données. Pour un cabinet médical, le référentiel implicite est élevé. À minima :

• Authentification forte (CPS ou équivalent MFA) pour accéder au logiciel métier et aux messageries santé.
• Postes de travail à jour, antivirus actif, pare-feu, chiffrement des disques (BitLocker, FileVault activés).
• Sauvegardes régulières, chiffrées, hors site, testées au moins une fois par an.
• Gestion des comptes : pas de compte partagé, suppression des accès au départ d’un collaborateur.
• Verrouillage automatique de session après 10-15 minutes.
• Politique de mot de passe (minimum 12 caractères, complexe).
• Mise en conformité de la messagerie (MSSanté ou messagerie chiffrée pour les échanges médicaux).
• Plan de réaction en cas d’incident, y compris ransomware — les cabinets médicaux sont des cibles privilégiées.

L’analyse d’impact (AIPD) est obligatoire pour tout nouveau système traitant massivement des données de santé. La CNIL considère que la mise en oeuvre d’un nouveau dossier patient informatisé, d’une solution de télémédecine, ou d’un outil d’intelligence artificielle relève de l’AIPD obligatoire.

Les sanctions récentes dans le secteur santé

Plusieurs délibérations récentes de la CNIL donnent la mesure des enjeux. En 2024, la CNIL a prononcé des amendes de plusieurs centaines de milliers d’euros contre des structures de santé pour défaut de sécurisation (mots de passe faibles, absence de chiffrement, pas de détection d’intrusion). Des mises en demeure publiques ont aussi visé des laboratoires et plateformes de prise de rendez-vous pour défaut d’information et gestion insuffisante des sous-traitants.

Ce que ces décisions montrent, c’est que la CNIL ne sanctionne pas en priorité le cabinet isolé : elle cible les acteurs à fort impact (éditeurs de logiciels, plateformes, laboratoires, hôpitaux). Mais la jurisprudence produite s’impose à tous. Le cabinet qui aurait un incident de sécurité significatif et ne pourrait démontrer sa conformité s’expose à une sanction sévère.

Ce qu’il faut retenir

• Le cabinet médical est responsable de traitement et doit se conformer pleinement au RGPD, en plus du secret médical.
• Presque toutes les données du cabinet relèvent de l’Art. 9 (données de santé) : régime renforcé, base légale Art. 9(2)(h) dans la plupart des cas.
• L’hébergement des données patient (logiciel métier SaaS, cloud, sauvegardes) doit être chez un prestataire certifié HDS.
• Le DPO est en pratique obligatoire pour les cabinets traitant régulièrement des patients (solution mutualisée possible).
• Les durées de conservation du dossier médical sont de 20 ans après le dernier passage (28 ans pour les mineurs).
• La sous-traitance (éditeur, hébergeur, télétransmission, IA, secrétariat) impose des contrats Art. 28 précis et une cartographie à jour.

FAQ

Un médecin libéral doit-il vraiment désigner un DPO ?

Oui, dans la très grande majorité des cas. La CNIL considère que le traitement régulier de données de santé par un professionnel de santé en exercice libéral déclenche l’obligation de l’Art. 37(1)©. Des solutions mutualisées existent via les URPS ou des prestataires spécialisés pour en limiter le coût.

Peut-on utiliser Gmail ou WhatsApp pour échanger avec un confrère sur un patient ?

Non. Ces outils ne sont pas conformes pour échanger des données de santé identifiantes : absence de chiffrement adéquat, hébergement non HDS, localisation des données hors UE. Il faut utiliser MSSanté (messagerie sécurisée de santé) ou une messagerie chiffrée dont l’hébergement est HDS.

Le patient peut-il exiger la suppression de son dossier ?

Non, tant que la durée légale de conservation (20 ans après le dernier passage) n’est pas atteinte. Le droit à l’effacement de l’Art. 17 du RGPD est neutralisé par l’obligation légale de conservation du dossier médical. Le patient peut en revanche demander la rectification d’une donnée erronée.

Quelle est la première chose à faire pour mettre un cabinet en conformité ?

Commencer par trois actions : désigner un DPO (interne ou mutualisé), tenir le registre des activités de traitement, vérifier que le logiciel métier et l’hébergement du dossier patient sont certifiés HDS. Ces trois briques couvrent 70 % du risque de contrôle et permettent ensuite de structurer le reste (contrats sous-traitants, durées, sécurité, information des patients).