Le RGPD n'est pas un sujet pour grandes entreprises uniquement. Tout cabinet médical libéral, même unipersonnel, est responsable de traitement au sens du règlement européen — avec les mêmes obligations qu'un hôpital, à l'échelle de votre activité. La CNIL contrôle de plus en plus les TPE et professions libérales, et plusieurs cabinets ont été sanctionnés en 2024-2025 pour des manquements basiques. Voici la check-list 2026 en 10 points pour mettre votre cabinet en conformité — sans devenir juriste pour autant.
Pourquoi vous êtes "responsable de traitement"
L'article 4 du RGPD définit le responsable de traitement comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles. En tant que praticien libéral, vous décidez :
- Quelles données patient vous collectez (nom, antécédents, antécédents familiaux, photos, etc.)
- Comment vous les stockez (logiciel, papier, cloud)
- À qui vous les transmettez (correspondants, secrétariat, comptable, autorités)
- Combien de temps vous les conservez
Cette responsabilité existe dès le premier patient enregistré. Elle n'est pas optionnelle, et le statut "petit cabinet" ne dispense d'aucune obligation. Les données de santé relèvent en plus de l'article 9 du RGPD (catégories particulières), avec des contraintes renforcées : base légale spécifique, sécurité accrue, hébergement sécurisé conforme RGPD.
Les 10 points de la check-list
Établir le registre des traitements (Article 30)
C'est le document fondateur. Il liste tous les traitements de données effectués dans votre cabinet : gestion des dossiers patients, prise de rendez-vous, facturation, communication, vidéosurveillance éventuelle.
Pour chaque traitement, le registre indique : finalité, catégories de données, durée de conservation, destinataires, mesures de sécurité. La CNIL fournit un modèle gratuit adapté aux TPE et professions libérales. Compter 1-2 heures pour le compléter la première fois.
Rédiger les mentions d'information aux patients
L'article 13 du RGPD impose d'informer chaque patient, dès la collecte, de l'identité du responsable, des finalités, de la base légale, des destinataires, de la durée de conservation et de ses droits.
En pratique : un document A4 remis (ou affiché en salle d'attente) à la première consultation, complété d'une mention dans les emails et formulaires en ligne. Ne pas oublier l'identifiant CNIL si vous en disposez.
Choisir la bonne base légale
Tous vos traitements doivent reposer sur une base légale RGPD parmi six possibles. Pour un cabinet médical, les plus pertinentes sont :
- Mission de soins (article 9.2.h) — pour la majorité des traitements liés à la prise en charge
- Obligation légale (article 6.1.c) — pour la facturation, l'archivage légal
- Consentement explicite (article 9.2.a) — pour la communication marketing, photos avant/après en publication, newsletter
L'erreur classique : tout fonder sur le consentement. Le consentement est révocable à tout moment, ce qui rendrait votre exercice instable. Réservez-le aux traitements vraiment optionnels (marketing, témoignages publics).
Définir la durée de conservation
Pour un cabinet libéral, la règle générale est 10 ans à compter du dernier passage du patient. Au-delà, suppression ou anonymisation obligatoire — sauf exceptions légales (litige en cours, exigence ordinale spécifique, certains actes hospitaliers à 20 ans).
Documentez votre politique d'archivage et de purge. Conserver "au cas où" trop longtemps expose à une sanction CNIL pour conservation excessive.
Vérifier l'hébergement sécurisé conforme RGPD
Toute donnée de santé qui sort de vos locaux (cloud, SaaS, sauvegarde externe) doit être hébergée chez un hébergement européen sécurisé certifié. C'est une exigence française stricte, contrôlée par l'Agence du Numérique en Santé.
Concrètement : Google Drive, Dropbox standard, OneDrive personnel ne sont pas HDS. Pour stocker des dossiers patients en cloud, il faut un service explicitement certifié. Vérifiez la certification sécurisé de votre logiciel de gestion, de votre prestataire de sauvegarde et de tout outil tiers qui voit passer une donnée patient.
Contractualiser avec les sous-traitants (Article 28)
Tout prestataire qui traite des données pour vous (logiciel SaaS, hébergeur, comptable, signature électronique, plateforme email, prestataire IT) est un sous-traitant RGPD. Vous devez signer avec lui un contrat conforme à l'article 28 (souvent appelé DPA — Data Processing Agreement).
Les SaaS sérieux fournissent leur DPA en ligne, signable d'un clic. Si un prestataire refuse ou ne sait pas de quoi vous parlez, c'est un signal d'alerte : changez-en.
Organiser les droits des patients
Le RGPD donne 6 droits à vos patients : accès, rectification, effacement (sous conditions), limitation, portabilité, opposition. Vous avez un mois maximum pour répondre à une demande, gratuitement.
Mettez en place une procédure simple : adresse email dédiée (ex : [email protected]), modèle de réponse, registre des demandes traitées. Au-delà de la conformité, c'est un signal de confiance fort pour vos patients.
Sécuriser les accès informatiques
L'article 32 du RGPD impose des mesures de sécurité "appropriées" au risque. Pour un cabinet, cela signifie au minimum :
- Mots de passe forts (12 caractères minimum, mixés)
- Authentification multi-facteurs (MFA) sur tous les outils sensibles
- Chiffrement des disques durs (BitLocker sur Windows, FileVault sur Mac)
- Verrouillage automatique des sessions (5 minutes d'inactivité)
- Sauvegarde régulière, chiffrée, sur support sécurisé si externe
- Mise à jour des logiciels, antivirus à jour
Si vous travaillez avec un secrétariat externalisé ou des collaborateurs, prévoyez aussi une politique d'habilitation : qui voit quoi, qui modifie quoi.
Préparer le plan de notification de violation
Une violation de données (vol d'ordinateur, intrusion, perte de clé USB, email envoyé au mauvais destinataire) doit être notifiée à la CNIL dans les 72 heures suivant la découverte (article 33 RGPD). Si la violation présente un risque élevé pour les patients, ils doivent aussi être informés (article 34).
Préparez à l'avance : qui appeler en cas d'incident, comment évaluer la gravité, quel modèle de notification utiliser. La CNIL met à disposition un téléservice de notification en ligne.
Réaliser une AIPD si nécessaire
L'Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA) est obligatoire pour les traitements à risque élevé (article 35 RGPD). Elle est notamment requise dès qu'on traite des données de santé "à grande échelle".
Pour un cabinet libéral standard, elle n'est généralement pas obligatoire. Mais elle le devient si vous mettez en place un nouveau traitement innovant : télémédecine ouverte, intelligence artificielle de diagnostic, base de données partagée entre plusieurs praticiens. La CNIL fournit un logiciel gratuit PIA pour conduire l'analyse.
L'hébergement sécurisé conforme RGPD : ce qui change tout
Sur les 10 points, c'est probablement celui qui passe le plus souvent à la trappe — alors qu'il est sans doute le plus exposé en cas de contrôle. La règle est simple : aucun outil non sécurisé ne doit voir passer de donnée patient identifiante.
Cas typiques de non-conformité que nous voyons régulièrement :
- Dossier patient archivé sur Google Drive personnel
- Photos avant/après envoyées en pièce jointe sur Gmail standard
- Sauvegarde locale du logiciel cabinet exportée sur Dropbox personnel
- Tableur Excel partagé entre praticien et secrétariat via OneDrive non HDS
- Logiciel de prise de RDV non à la conformité française des données de santé
La solution : choisir des outils explicitement français sécurisé ou HDS-certifiés. Pour le partage ponctuel d'un fichier patient (par exemple à un correspondant), privilégier une plateforme sécurisée chiffrée plutôt qu'un email standard.
"La conformité RGPD n'est pas un projet à livrer une fois. C'est un système qui vit, qui s'audite chaque année, et qui se renforce à chaque nouvel outil ajouté au cabinet." — Comité conseil métier MyJanalya
Sanctions CNIL : exemples chiffrés
La CNIL distingue plusieurs niveaux de sanctions :
| Niveau | Sanction | Cas typique |
|---|---|---|
| 1 — Mise en demeure | Pas d'amende, obligation de mise en conformité sous délai | Absence de mention d'information, registre incomplet |
| 2 — Amende administrative | 3 000 à 50 000 € pour TPE/cabinet libéral | Stockage non sécurisé, sous-traitant non encadré |
| 3 — Sanction publique | 5 000 € à plusieurs centaines de milliers € | Violation grave de données, refus de coopérer |
| 4 — Sanction maximale | 20 M€ ou 4% du CA mondial | Théorique pour un cabinet, mais possible sur le papier |
Au-delà de l'amende, la CNIL publie de plus en plus souvent ses décisions : votre nom et celui de votre cabinet peuvent apparaître publiquement, ce qui est plus dommageable que l'amende elle-même.
FAQ — les questions que vous nous posez le plus
Le RGPD s'applique-t-il aux cabinets médicaux libéraux ?
Oui, intégralement. Tout cabinet libéral qui traite des données de patients (nom, coordonnées, informations de santé) est responsable de traitement au sens du RGPD article 4. Les données de santé relèvent en plus de l'article 9 (catégories particulières) avec des obligations renforcées.
Faut-il un DPO pour un cabinet médical libéral ?
Pas obligatoirement pour un cabinet unipersonnel ou une petite structure. Le DPO est obligatoire pour les organismes traitant des données de santé "à grande échelle". Pour un cabinet libéral standard, vous êtes votre propre référent RGPD avec une politique formalisée.
Combien de temps conserver les données patient ?
10 ans à compter du dernier passage du patient pour un cabinet libéral. Au-delà, suppression ou anonymisation obligatoire (sauf exception légale). Conserver "au cas où" expose à une sanction CNIL pour conservation excessive.
Qu'est-ce qu'un hébergement sécurisé conforme RGPD et est-il obligatoire ?
L'hébergement européen sécurisé est une certification française imposée à tout prestataire qui héberge des données de santé. Elle est obligatoire dès lors que vos données sortent de vos locaux (cloud, SaaS, sauvegarde externe). Google Drive, Dropbox standard ne sont pas HDS.
Que faire en cas de violation de données patient ?
Notification CNIL obligatoire dans les 72 heures suivant la découverte (article 33 RGPD). Si la violation présente un risque élevé pour les patients, ils doivent aussi être informés (article 34). L'absence de notification est sanctionnée jusqu'à 10 millions d'euros.
Les sanctions RGPD touchent-elles vraiment les petits cabinets ?
Oui. La CNIL contrôle aussi les TPE/PME et professions libérales. En 2024-2025, plusieurs cabinets médicaux ont été sanctionnés (5 000 à 50 000 €) pour absence de registre, défaut d'information, ou stockage non sécurisé.
Un logiciel SaaS médical garantit-il automatiquement la conformité RGPD ?
Non. Le SaaS apporte la couche technique (hébergement sécurisé conforme RGPD, sécurité, traçabilité), mais la conformité globale reste votre responsabilité : registre des traitements, mentions d'information, gestion des droits patients, contrats sous-traitants. Le bon SaaS facilite, ne dispense pas.