Tous les articles
Santé

RGPD et données de santé : conformité pratique pour un cabinet

Comment un cabinet médical se met en conformité RGPD sur les données de santé : registre, consentement, hébergement HDS, droits patient.

7 min de lecture

Le RGPD encadre le traitement de toutes les données personnelles, mais impose des règles renforcées pour les données de santé, classées sensibles à l'article 9. Pour un cabinet médical, la mise en conformité est autant réglementaire qu'organisationnelle.

1. Registre des traitements

Obligatoire dès un praticien. Il liste chaque traitement (dossier patient, agenda, facturation, télétransmission, comptabilité), les données concernées, la finalité, la durée de conservation et les destinataires.

2. Base légale du traitement

Pour un cabinet médical, la base légale est généralement l'exécution d'une mission d'intérêt public en santé (art. 9-2-h RGPD) ou le consentement explicite pour les traitements hors soins. Le consentement au soin ne se confond pas avec le consentement RGPD.

3. Hébergement des données de santé (HDS)

Les données de santé hébergées par un tiers doivent l'être chez un HDS certifié. Un hébergement local (au cabinet) reste possible mais impose au cabinet des mesures de sécurité équivalentes : chiffrement, sauvegardes, contrôle d'accès, journalisation.

4. Droits des patients

  • Droit d'accès à son dossier médical
  • Droit de rectification
  • Droit à la portabilité (transmission à un autre praticien)
  • Droit à l'effacement (limité par les obligations de conservation médicale)
  • Information claire dans les documents d'accueil du cabinet

5. Sécurité minimale

  • Postes chiffrés (FileVault sur Mac, BitLocker sur PC)
  • Mots de passe forts + MFA sur les outils sensibles
  • Sauvegardes chiffrées, testées, hors site
  • Antivirus / EDR à jour
  • Charte informatique signée par le personnel
  • Contrats DPA avec chaque sous-traitant (éditeur, hébergeur, prestataire IT)

6. Violation de données : procédure

En cas de fuite ou d'accès non autorisé, notification à la CNIL sous 72 heures, et information des patients si le risque est élevé. Un modèle de procédure documenté fait gagner un temps précieux le jour J.

La conformité RGPD n'est pas un projet ponctuel mais une pratique : registre à jour, procédures connues, sensibilisation régulière.

Questions fréquentes

Faut-il désigner un DPO (Délégué à la Protection des Données) ?+

Obligatoire pour les cabinets traitant à grande échelle des données de santé. Un DPO mutualisé (externe) est une option pertinente pour les cabinets de taille moyenne.

Combien de temps conserve-t-on un dossier médical ?+

20 ans à compter de la dernière consultation pour un adulte, avec des règles spécifiques pour les mineurs et les décès. Ces obligations priment sur le droit à l'effacement.

Que faire du dossier d'un patient qui change de médecin ?+

Le dossier est transmis au nouveau praticien à la demande du patient (droit à la portabilité). L'original ou une copie complète est conservé par le cabinet initial selon les règles de conservation.

Un projet sur ce sujet ?

Nos experts vous répondent sous 24h avec des recommandations concrètes.

À lire aussi

Parlons de votre projet.

Une équipe proche, joignable et réactive.

Téléphone
04 77 91 15 20
E-mail
contact@acf.fr
À votre proximité
Intervention sur site & à distance
Horaires
Lun – Ven · 8h30 – 18h00
Assistance à distance