RGPD et données médicales : guide complet 2026

Les données de santé sont soumises aux réglementations les plus strictes du RGPD. Pour les médecins et professionnels de santé, comprendre et respecter ces obligations n’est pas optionnel : c’est une responsabilité légale et déontologique envers leurs patients.

Le problème : des données ultra-protégées par la loi

Imaginez qu’un fichier contenant les diagnostics de vos patients soit accessible en ligne. Antécédents médicaux, pathologies chroniques, traitements psychiatriques… Les conséquences seraient catastrophiques, tant pour les patients que pour votre responsabilité professionnelle.

C’est précisément pour éviter ces scénarios que le RGPD accorde une protection renforcée aux données de santé. Mais que dit exactement la loi ? Et surtout, comment s’assurer d’être en conformité au quotidien ?

Ce que dit le RGPD sur les données médicales

Données sensibles : une catégorie à part

L’article 9 du RGPD classe les données de santé dans la catégorie des “données sensibles”. Cela signifie qu’elles bénéficient d’un niveau de protection supérieur aux données personnelles classiques.

Sont considérées comme données de santé :

• Informations médicales : diagnostics, résultats d’examens, prescriptions
• Données biométriques : empreintes digitales, images médicales, ADN
• Antécédents médicaux : pathologies passées, interventions chirurgicales
• Données de suivi : constantes vitales, surveillance de maladies chroniques
• Informations relatives au mode de vie : si elles révèlent l’état de santé (consommation d’alcool, activité physique…)

Principe d’interdiction par défaut

Le RGPD interdit par principe le traitement de données de santé. Des exceptions existent (consentement explicite, nécessité pour les soins, intérêt public), mais le principe reste : ces données sont tellement sensibles qu’elles ne peuvent être traitées qu’à des conditions très strictes.

Les 6 principes fondamentaux du RGPD appliqués à la santé

Le RGPD impose 6 principes que tout médecin doit respecter :

1. Licéité : traiter les données uniquement pour des finalités légitimes (soins, suivi médical)
2. Minimisation : ne collecter que les données strictement nécessaires
3. Exactitude : maintenir les données à jour et corriger les erreurs
4. Limitation de conservation : ne pas conserver les données au-delà de leur utilité
5. Intégrité et confidentialité : protéger contre l’accès non autorisé
6. Transparence : informer les patients de l’usage de leurs données

Les obligations spécifiques pour les médecins

1. Information des patients

Vous devez informer vos patients de manière claire et accessible :

• Qui traite leurs données : votre identité, celle de votre délégué à la protection des données (DPO) si applicable
• Pourquoi : finalités du traitement (soins, suivi, facturation…)
• Combien de temps : durée de conservation des données
• Avec qui : destinataires des données (laboratoires, hôpitaux, assurances…)
• Leurs droits : accès, rectification, effacement, limitation…

Cette information doit être fournie au moment de la collecte, généralement via une notice affichée en salle d’attente et/ou un document remis lors de la première consultation.

2. Sécurisation des données

Le RGPD impose des mesures de sécurité adaptées au risque. Pour les données de santé, le risque étant maximal, la sécurité doit être renforcée :

• Chiffrement : données chiffrées au repos et en transit
• Contrôle d’accès : authentification forte, limitation des accès
• Traçabilité : logs d’accès aux dossiers patients
• Sauvegarde : copies de sécurité régulières et testées
• Sécurité physique : protection des ordinateurs, serveurs, dossiers papier

Cas pratique

Laissez-vous votre ordinateur déverrouillé pendant une pause ? Utilisez-vous un mot de passe robuste ? Vos emails médicaux sont-ils chiffrés ? Ces questions simples révèlent souvent des failles de sécurité.

3. Tenue d’un registre des traitements

Chaque médecin doit tenir un registre des activités de traitement. Ce document recense :

• Les traitements de données effectués (dossiers patients, facturation, agendas…)
• Les finalités de chaque traitement
• Les catégories de données traitées
• Les destinataires des données
• Les durées de conservation
• Les mesures de sécurité mises en place

La CNIL propose des modèles de registre adaptés aux cabinets médicaux.

4. Sous-traitants et partenaires

Si vous utilisez des services externes (logiciels médicaux, plateformes de téléconsultation, services de transcription…), vous restez responsable de la conformité.

Vous devez :

• Vérifier la conformité de vos sous-traitants
• Signer des contrats précisant les obligations de chacun
• S’assurer de la localisation des données (idéalement UE)
• Vérifier les certifications (notamment HDS pour l’hébergement)

5. Notification des violations de données

En cas de fuite ou violation de données (piratage, vol d’ordinateur, envoi d’email à un mauvais destinataire…), vous devez :

• Notifier la CNIL sous 72h si le risque pour les patients est élevé
• Informer les patients concernés si le risque est très élevé
• Documenter la violation dans un registre interne

Hébergement HDS : ce qu’il faut savoir

Qu’est-ce que la certification HDS ?

La certification Hébergeur de Données de Santé (HDS) est obligatoire en France pour tout hébergement de données de santé. Elle garantit :

• Sécurité physique : datacenters sécurisés, accès contrôlés, vidéosurveillance
• Sécurité logique : chiffrement, pare-feux, détection d’intrusion
• Gestion des accès : authentification forte, traçabilité
• Disponibilité : redondance, plans de reprise d’activité
• Réversibilité : possibilité de récupérer facilement ses données

Qui délivre la certification HDS ?

La certification HDS est délivrée par des organismes accrédités par le COFRAC (Comité français d’accréditation), après un audit approfondi. Elle est valable 3 ans.

Les principaux organismes certificateurs : BSI, AFNOR Certification, LSTI.

Vérifier la certification HDS d’un prestataire

Avant de choisir un logiciel médical ou un service de transcription, vérifiez :

1. Le certificat HDS : demandez-le et vérifiez sa validité
2. La localisation : où sont physiquement situés les serveurs ?
3. Les sous-traitants : l’hébergeur utilise-t-il des sous-traitants non-HDS ?

Attention aux fausses certifications

Certains prestataires annoncent “compatible HDS” ou “en cours de certification”. Seule la mention “certifié HDS” avec un certificat valide garantit la conformité. Méfiez-vous des formulations floues.

Checklist conformité RGPD pour médecins

Utilisez cette checklist pour vérifier votre conformité :

Information et droits des patients

• Notice d’information RGPD affichée en salle d’attente
• Document d’information remis lors de la première consultation
• Processus en place pour gérer les demandes d’accès aux données
• Processus pour rectifier ou effacer des données sur demande

Sécurisation

• Tous les postes informatiques protégés par mot de passe fort
• Antivirus et pare-feu à jour sur tous les ordinateurs
• Données médicales chiffrées (disque dur, emails, transferts)
• Sauvegardes régulières et testées
• Accès aux dossiers patients limité aux personnes autorisées

Documentation

• Registre des traitements tenu à jour
• Contrats de sous-traitance signés avec les prestataires
• Registre des violations de données (même si aucune à ce jour)
• Procédure de notification CNIL en cas de violation

Prestataires et outils

• Logiciel médical hébergé chez un prestataire certifié HDS
• Services de transcription/dictée conformes RGPD
• Emails médicaux sécurisés (idéalement messagerie santé sécurisée)
• Plateforme de téléconsultation certifiée HDS
• Aucun stockage de données médicales sur services grand public (Dropbox, Google Drive…)

Organisation

• Personnel formé aux bonnes pratiques RGPD
• Délégué à la protection des données (DPO) désigné si nécessaire
• Audits de conformité réguliers
• Plan de réponse en cas de violation de données

Comment Doclify aide à la conformité RGPD

En tant que solution de transcription médicale, Doclify a été conçue dès le départ pour répondre aux exigences les plus strictes du RGPD.

Hébergement 100% français certifié HDS

Toutes vos dictées et transcriptions sont hébergées en France, chez des hébergeurs certifiés HDS. Aucune donnée ne transite par des serveurs étrangers.

Traitement IA local

Nos modèles d’IA (Whisper pour la transcription, Llama pour les résumés) tournent sur nos propres serveurs français. Contrairement à de nombreux services qui utilisent les API OpenAI, Google ou Microsoft, vos données restent à 100% en France.

Chiffrement de bout en bout

• En transit : toutes les communications sont chiffrées en HTTPS/TLS
• Au repos : vos transcriptions sont chiffrées dans notre base de données
• Sauvegardes : les sauvegardes sont également chiffrées

Conformité contractuelle

Nous signons avec chaque client un contrat de sous-traitance RGPD (article 28) qui précise :

• Nos obligations en tant que sous-traitant
• Les mesures de sécurité mises en place
• Les procédures en cas de violation de données
• Les conditions d’audit et de contrôle

Transparence totale

Nous documentons publiquement :

• Notre infrastructure et son hébergement
• Les certifications de nos hébergeurs
• Nos sous-traitants éventuels
• Notre politique de confidentialité

Vous savez exactement ce qui arrive à vos données.

Notre engagement

Nous nous engageons contractuellement à ne jamais transférer vos données hors de l’Union Européenne, à ne jamais utiliser d’API de fournisseurs non-conformes, et à vous notifier immédiatement en cas de violation de données.

Les sanctions en cas de non-conformité

Le non-respect du RGPD n’est pas à prendre à la légère. Les sanctions peuvent être lourdes :

Sanctions administratives

La CNIL peut prononcer :

• Avertissement ou mise en demeure
• Limitation temporaire ou définitive du traitement
• Amendes administratives : jusqu’à 20 millions d’€ ou 4% du chiffre d’affaires annuel mondial

Pour les médecins libéraux, les amendes sont généralement proportionnées à la taille de l’activité, mais peuvent atteindre plusieurs dizaines de milliers d’euros.

Sanctions pénales

En cas de violation du secret médical, les sanctions pénales s’ajoutent :

• 1 an d’emprisonnement et 15 000€ d’amende (article 226-13 du Code pénal)
• Aggravation si la violation a causé un préjudice

Sanctions ordinales

Le Conseil de l’Ordre peut également sanctionner :

• Avertissement
• Blâme
• Interdiction temporaire ou définitive d’exercer

Responsabilité civile

Les patients peuvent demander réparation du préjudice subi en cas de violation de leurs données.

Conclusion : la conformité comme avantage compétitif

La conformité RGPD peut sembler contraignante, mais elle est aussi un atout différenciant. À l’heure où les patients sont de plus en plus sensibles à la protection de leurs données, afficher une conformité exemplaire renforce la confiance.

Les 3 actions à mener dès aujourd’hui :

1. Auditer vos pratiques avec la checklist ci-dessus
2. Vérifier vos prestataires : logiciels, hébergeurs, services de transcription
3. Former votre équipe aux bonnes pratiques RGPD

La protection des données de santé n’est pas qu’une obligation légale : c’est le prolongement naturel du secret médical à l’ère numérique. En 2025, un médecin qui protège les données de ses patients est un médecin qui respecte son serment d’Hippocrate.

Besoin d’une solution de transcription 100% conforme RGPD ?

Doclify transforme vos dictées en comptes-rendus structurés, avec un hébergement HDS en France et un traitement IA local. Aucune donnée ne quitte le territoire européen.

Essayer gratuitement pendant 14 jours