RGPD et données de santé — obligations pour les cabinets médicaux
Les données de santé sont considérées comme des données sensibles au sens du RGPD et bénéficient d'un régime de protection renforcé. Tout professionnel de santé traitant ces données est responsable de traitement et doit respecter des obligations spécifiques de sécurité, de confidentialité et de transparence vis-à-vis des patients.
Obligations du responsable de traitement
Le professionnel de santé doit : tenir un registre des activités de traitement, informer les patients sur l'utilisation de leurs données (notice d'information), s'assurer que les outils utilisés sont conformes (HDS pour l'hébergement, chiffrement des échanges), former le personnel à la confidentialité et signaler tout incident à la CNIL dans les 72 heures.
Droits des patients sur leurs données
Les patients bénéficient des droits RGPD : droit d'accès (copie des données), droit de rectification, droit à l'effacement (limité en santé par les obligations de conservation), droit à la portabilité (export des données dans un format lisible), droit d'opposition au traitement à des fins de prospection. Ces droits doivent être exercés via une procédure définie.
Questions fréquentes
Un cabinet médical a-t-il besoin d'un DPO ?
La désignation d'un DPO (Délégué à la Protection des Données) n'est obligatoire que pour les établissements de santé traitant des données à grande échelle. Pour un cabinet de groupe ou libéral, la désignation est facultative mais fortement recommandée. Les URPS et ordres professionnels proposent souvent des ressources mutualisées.
Peut-on envoyer des informations médicales par e-mail classique ?
Non. Les échanges d'informations médicales doivent utiliser des canaux sécurisés et chiffrés : messagerie sécurisée de santé (MSS), messageries certifiées (Apicrypt, Mailiz). Un e-mail classique (Gmail, Outlook grand public) n'est pas conforme pour l'envoi de données de santé.
Quelles sanctions en cas de non-conformité RGPD en santé ?
La CNIL peut prononcer des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En pratique, pour les petites structures, les sanctions les plus courantes sont la mise en demeure, l'injonction de conformité et des amendes proportionnées. Le risque pénal existe aussi pour les violations graves.
