Les cabinets médicaux et dentaires traitent des données de santé, catégorie particulièrement sensible sous le RGPD. Voici les obligations concrètes et comment s'y conformer sans y passer des heures.
Pourquoi le RGPD est particulièrement important pour les cabinets de santé ?
Les données de santé sont classées par le RGPD comme données sensibles de catégorie particulière (article 9). Leur traitement est soumis à des obligations renforcées par rapport aux données personnelles ordinaires.
Un cabinet médical ou dentaire traite quotidiennement des données de santé : dossiers patients, antécédents médicaux, prescriptions, résultats d'examens, radiographies… Chaque traitement de ces données engage la responsabilité du cabinet en tant que responsable de traitement.
Les bases légales pour traiter des données de santé
Le traitement de données de santé n'est licite que si l'une des bases légales de l'article 9§2 du RGPD est applicable. Pour un cabinet médical, la principale base est :
- Nécessité pour les soins de santé (article 9§2 h) : le traitement est nécessaire à la prise en charge médicale du patient
- Consentement explicite du patient pour les traitements qui ne relèvent pas directement des soins
Les obligations concrètes
1. Tenir un registre des traitements
Tout responsable de traitement doit tenir un registre des activités de traitement (article 30 RGPD). Pour un cabinet, ce registre liste :
- Les types de données traitées (identité, dossier médical, imagerie…)
- Les finalités de chaque traitement
- Les destinataires des données
- Les durées de conservation
- Les mesures de sécurité en place
2. Informer les patients
Les patients doivent être informés de la collecte de leurs données dès leur première consultation. Cette information doit mentionner :
- L'identité du responsable de traitement
- Les finalités du traitement
- La durée de conservation
- Les droits des patients (accès, rectification, opposition, portabilité)
- La possibilité de saisir la CNIL
3. Sécuriser les données
Les données de santé doivent être sécurisées de manière adaptée aux risques :
- Chiffrement des données stockées et transmises
- Contrôle d'accès strict (mot de passe robuste, authentification à deux facteurs)
- Sauvegardes régulières et testées
- Hébergeur agréé HDS (Hébergeur de Données de Santé) obligatoire pour les données de santé externalisées
4. Gérer les droits des patients
Les patients peuvent exercer leurs droits RGPD à tout moment. Le cabinet doit être en mesure de :
- Permettre l'accès au dossier médical
- Rectifier des données inexactes
- Effacer des données dans les cas prévus par la loi (avec réserves pour les données de santé soumises à durées légales de conservation)
- Répondre dans un délai d'un mois maximum
5. Nommer un DPO si nécessaire
La nomination d'un Délégué à la Protection des Données (DPO) est obligatoire pour les organismes qui traitent à grande échelle des données de santé. Pour un cabinet individuel, cette obligation ne s'applique généralement pas, mais désigner un référent RGPD interne reste une bonne pratique.
6. Gérer les sous-traitants
Tout sous-traitant qui traite des données pour le compte du cabinet (logiciel de gestion, prestataire cloud, laboratoire d'imagerie) doit être lié par un contrat de sous-traitance RGPD conforme.
Durées de conservation des données de santé
| Type de données | Durée de conservation |
|---|---|
| Dossier médical adulte | 20 ans à compter du dernier acte médical |
| Dossier mineur | Jusqu'aux 28 ans du patient |
| Données de facturation | 10 ans (comptabilité) |
| Consentements aux soins | Durée du dossier médical |
Les sanctions de la CNIL
La CNIL peut infliger des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les infractions les plus graves. Pour les petits cabinets, les sanctions sont proportionnées, mais les mises en demeure publiques peuvent nuire à la réputation.
Questions fréquentes sur le RGPD en cabinet médical
Faut-il le consentement du patient pour lui envoyer des rappels de rendez-vous ? Un rappel de rendez-vous relève de la nécessité contractuelle (article 6§1 b RGPD). Le consentement explicite n'est pas obligatoire, mais le patient doit avoir été informé de cette pratique.
Mon logiciel de cabinet est-il automatiquement conforme RGPD ? Non. Même si votre logiciel est certifié HDS, c'est vous, en tant que responsable de traitement, qui êtes responsable de la conformité globale. Le logiciel est un outil, pas une garantie de conformité.
Comment gérer une demande d'accès au dossier médical sous le RGPD ? La demande d'accès peut se faire par le droit RGPD ou par le droit spécifique à l'accès au dossier médical (article L. 1111-7 du CSP). Les deux droits coexistent. Le délai de réponse est de 8 jours pour le dossier médical (ou 2 mois si le dossier date de plus de 5 ans).