Un cabinet médical conforme au RGPD traite les données de santé sur la base de l’exception « soins » de l’article 9-2-h, protège le secret médical (article L1110-4 du Code de la santé publique), n’externalise l’hébergement que chez un hébergeur certifié HDS, encadre chaque logiciel métier par un contrat de sous-traitance, et applique des durées de conservation strictes au dossier patient. Les données de santé sont une catégorie particulière : leur traitement est interdit par principe (article 9-1), sauf exception — ici, la prise en charge par un professionnel soumis au secret. Ajoutez une sécurité renforcée (article 32) et, pour les traitements sensibles à grande échelle, une analyse d’impact (AIPD), et vous tenez le socle.
Le secteur de la santé concentre les fuites les plus graves et les sanctions les plus lourdes en valeur de risque. Dedalus, Doctissimo : dès que des données de santé fuitent ou sont collectées sans base, la CNIL frappe fort. Voici le cadre opérationnel pour un cabinet ou une profession libérale de santé.
Obligations RGPD spécifiques au cabinet médical
Données de santé : une catégorie particulière (article 9)
Les données de santé relèvent de l’article 9 : leur traitement est interdit par principe. Le cabinet s’appuie sur l’exception de l’article 9-2-h — traitement nécessaire aux fins de médecine préventive, de diagnostic, de soins ou de gestion des systèmes de santé, par un professionnel soumis au secret. Cette base à l’article 9 se combine toujours avec une base à l’article 6 (le plus souvent l’obligation légale ou l’exécution d’une mission de soins). Pour le régime complet, voir nos articles sur les données sensibles au sens de l’article 9 et sur les données médicales.
Secret médical
Le RGPD ne remplace pas le secret médical : il s’y ajoute. L’article L1110-4 du Code de la santé publique impose la confidentialité de toute information concernant une personne prise en charge. Concrètement, cela cloisonne les accès : seuls les professionnels participant à la prise en charge accèdent au dossier, selon des habilitations tracées. Une secrétaire, un remplaçant ou un logiciel n’accèdent qu’à ce qui est nécessaire à leur rôle.
Hébergement des données de santé : la certification HDS
Dès que l’hébergement des données de santé à caractère personnel est externalisé (cloud, éditeur, data center tiers), l’hébergeur doit être certifié HDS (Hébergeur de Données de Santé). Ce n’est pas une option : c’est une obligation légale. Vérifiez que votre logiciel métier, votre solution de télétransmission ou votre plateforme de téléconsultation s’appuie sur un hébergement certifié. Détails dans notre guide de la certification HDS.
Logiciels métier : des sous-traitants (article 28)
L’éditeur de votre logiciel de gestion de cabinet, la plateforme de prise de rendez-vous, l’outil de télétransmission : ce sont des sous-traitants au sens de l’article 28. Chacun doit être lié par un contrat de sous-traitance (DPA) précisant finalités, sécurité, sous-traitance ultérieure et localisation des données. C’est un point que le dossier Dedalus rend brûlant : un sous-traitant qui outrepasse ses instructions engage sa propre responsabilité — mais le cabinet reste responsable du choix et du contrôle de ses prestataires. Le même raisonnement vaut pour le logiciel de gestion d’officine en pharmacie.
Dossier patient, Mon espace santé et télétransmission
Le dossier patient centralise antécédents, diagnostics, prescriptions, résultats. Son alimentation, son partage éventuel via Mon espace santé / le DMP et la télétransmission aux caisses relèvent d’obligations légales encadrées. La sécurité doit être à la hauteur : chiffrement, authentification forte, journalisation des accès (article 32). Le référentiel PGSSI-S fixe les bonnes pratiques — voir notre guide PGSSI-S.
Sécurité renforcée et AIPD
L’article 32 impose des mesures proportionnées au risque, et le risque est ici élevé par nature. Une AIPD est le plus souvent requise : le traitement à grande échelle de données sensibles figure parmi les cas où l’analyse d’impact est obligatoire. Même un cabinet individuel manipule des données à haut risque ; formalisez l’analyse et tracez les mesures de sécurité dans votre registre des traitements.
Durées de conservation
| Donnée / traitement | Durée en base active | Archivage / justification |
|---|---|---|
| Dossier médical (patient majeur) | 20 ans après le dernier acte | Recommandation ; réglementaire à l’hôpital |
| Patient mineur | Jusqu’à son 28e anniversaire | Protège le mineur devenu majeur |
| En cas de décès du patient | 10 ans à compter du décès | Continuité et contentieux éventuel |
| Pièces comptables | 10 ans | Obligations comptables et fiscales |
Ces durées encadrent la conservation active ; au-delà, on supprime ou on anonymise. Pour le cadre transversal, voir la durée de conservation des données. L’archivage des données de santé suit des règles strictes : accès restreint, hébergement sécurisé, traçabilité.
Bases légales par traitement
| Traitement | Base légale (art. 6 / art. 9) | Commentaire |
|---|---|---|
| Soins et prise en charge | Art. 9-2-h + art. 6-1 (mission de soins) | Exception « soins » par un professionnel soumis au secret |
| Télétransmission, obligations légales | Obligation légale (art. 6-1-c) + art. 9-2-h | Imposé par le cadre de l’assurance maladie |
| Gestion administrative du cabinet | Contrat / intérêt légitime (art. 6-1-b / 6-1-f) | Rendez-vous, facturation, relances |
| Comptabilité | Obligation légale (art. 6-1-c) | Conservation légale des pièces |
Le réflexe clé : pour toute donnée de santé, une base à l’article 9 et une base à l’article 6. L’une ne dispense pas de l’autre. Pour le cadre général, voir notre article sur la base juridique.
Sanctions CNIL réelles du secteur santé
Dedalus Biologie — 1 500 000 € (délibération du 15 avril 2022). Cet éditeur de logiciel de santé — donc un sous-traitant — est à l’origine d’une fuite de données de santé de près de 500 000 patients (NIR, pathologies : VIH, cancers, grossesses). Lors d’une opération de migration, la société a extrait plus de données que demandé, outrepassant ainsi les instructions du responsable de traitement (article 29). Enseignement : le sous-traitant qui déborde de son mandat engage sa propre responsabilité, et le cabinet doit choisir et contrôler des prestataires sérieux. Voir la décision CNIL Dedalus.
Doctissimo — 380 000 € (délibération du 11 mai 2023, dont 280 000 € au titre du RGPD et 100 000 € au titre des cookies). Le site collectait des données de santé via des tests en ligne sans consentement explicite (exigé par l’article 9), avec des durées de conservation excessives et des cookies déposés sans consentement. Enseignement : hors relation de soins, la collecte de données de santé exige un consentement explicite ; l’exception « soins » de l’article 9-2-h ne couvre pas un service en ligne grand public. Voir la décision CNIL Doctissimo.
Ces deux dossiers cadrent les deux risques majeurs du secteur : la sécurité / le contrôle des sous-traitants (Dedalus) et la base légale de la collecte (Doctissimo). Un cabinet expose les mêmes flancs à plus petite échelle.
Erreurs courantes
- Externaliser l’hébergement chez un prestataire non certifié HDS : dès que des données de santé sont hébergées par un tiers, la certification HDS est obligatoire.
- Utiliser un logiciel métier sans DPA : l’éditeur est un sous-traitant (article 28), un contrat écrit est impératif — le dossier Dedalus montre le coût d’un sous-traitant mal encadré.
- Oublier de combiner article 9 et article 6 : une base à l’article 9 (exception soins) ne suffit pas seule ; il faut aussi une base à l’article 6.
- Ne pas réaliser d’AIPD alors que le traitement de données de santé à grande échelle l’impose le plus souvent.
- Laisser des accès trop larges au dossier patient : secrétariat, remplaçants et prestataires ne doivent voir que le strict nécessaire (secret médical, article L1110-4 CSP).
- Conserver les dossiers au-delà des durées : 20 ans après le dernier acte pour un majeur, jusqu’au 28e anniversaire pour un mineur — au-delà, suppression ou anonymisation.
- Négliger la notification en cas de fuite : une violation touchant des données de santé impose une réaction rapide et souvent une notification à la CNIL et aux personnes.
FAQ
Faut-il le consentement du patient pour traiter ses données de santé ?
Non, pas dans le cadre des soins. Le cabinet s’appuie sur l’exception de l’article 9-2-h (prise en charge par un professionnel soumis au secret), combinée à une base de l’article 6. Le consentement explicite redevient nécessaire hors relation de soins — par exemple pour un service en ligne ou une finalité de recherche non couverte par une autre exception. C’est précisément ce que Doctissimo n’avait pas.
Mon logiciel de cabinet doit-il être hébergé chez un hébergeur HDS ?
Oui, dès lors que les données de santé sont hébergées par un tiers (cloud de l’éditeur, data center externe). La certification HDS est alors obligatoire. Demandez à votre éditeur son attestation de certification ou celle de son hébergeur, et vérifiez la localisation des données. C’est un point de contrôle simple et incontournable.
Une AIPD est-elle obligatoire pour un cabinet médical ?
Le plus souvent, oui. Le traitement à grande échelle de données sensibles figure parmi les critères qui déclenchent l’obligation d’analyse d’impact. Même un cabinet individuel manipule des données à haut risque justifiant une analyse formalisée. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, permet de produire cette analyse et d’en conserver la preuve exigée par le principe d’accountability.
Combien de temps conserver un dossier médical ?
La recommandation est de 20 ans à compter du dernier acte pour un patient majeur (durée réglementaire à l’hôpital). Pour un mineur, la conservation court jusqu’à son 28e anniversaire ; en cas de décès, 10 ans à compter du décès. Au terme de ces durées, le dossier est supprimé ou archivé selon des règles strictes d’accès.
Conclusion
Un cabinet médical manipule les données les plus sensibles qui soient, et le RGPD s’y superpose au secret médical sans l’effacer. Le socle est clair : base à l’article 9-2-h combinée à l’article 6, hébergement certifié HDS pour toute externalisation, DPA avec chaque logiciel métier, cloisonnement strict des accès, durées de conservation appliquées et AIPD pour les traitements à risque. Dedalus (1,5 M€) et Doctissimo (380 000 €) rappellent les deux points de rupture : un sous-traitant mal contrôlé et une collecte sans base valable. Documentez le tout dans un registre à jour et une analyse d’impact — c’est la meilleure assurance le jour d’un contrôle ou d’une violation.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial