Dossier patient numérique RGPD : ce que doit faire un praticien bien-être en 2026

Le dossier patient numérique est devenu la norme pour les praticiens santé/bien-être. Mais qui dit numérique dit RGPD et recommandations CNIL renforcées. Voici un guide complet en 2026 pour mettre en conformité votre cabinet.

Le RGPD s'applique-t-il à mon activité ?

Oui, dès lors que vous collectez et traitez des données identifiantes de personnes physiques. Le Règlement (UE) 2016/679 (RGPD) du 27 avril 2016, applicable depuis le 25 mai 2018, s'impose à tout professionnel libéral, quelle que soit la taille de l'activité.

Les données de santé sont qualifiées de « catégories particulières » par l'article 9 du RGPD : leur traitement est en principe interdit, sauf exceptions. Pour un praticien, la base légale habituelle est :

• Article 9.2.h : nécessité aux fins de la médecine préventive ou de la médecine du travail, du diagnostic médical, de la prise en charge sanitaire ou sociale.
• Article 9.2.a : consentement explicite du patient, particulièrement pour les pratiques non médicales (sophrologie, naturopathie, etc.).

Le registre des activités de traitement

L'article 30 du RGPD impose un registre des activités de traitement. La CNIL met à disposition un modèle simplifié pour les TPE et professions libérales (téléchargeable sur cnil.fr).

Pour un cabinet de praticien, le registre comporte au minimum les traitements suivants :

• Gestion du dossier patient (identité, contact, motif, antécédents, notes de séance).
• Prise et gestion de rendez-vous (agenda).
• Facturation et comptabilité (factures émises, paiements, relances).
• Communication avec les patients (rappels SMS/email, suivis).
• Site web et formulaires de contact (si applicable).
• Vidéo-surveillance du cabinet (si applicable).

Information et consentement du patient

L'information préalable

Avant tout enregistrement de données, le patient doit recevoir une information claire (article 13 RGPD). En pratique, deux supports complémentaires :

• Affichage en salle d'attente / au cabinet : mention courte sur la collecte de données.
• Document remis ou disponible en ligne : politique de confidentialité détaillée (identité du responsable, finalités, durées, droits, contact CNIL).

Le consentement

Pour les traitements basés sur le consentement (notamment les rappels SMS/email, la communication marketing, la diffusion d'avis nominatifs), le consentement doit être : libre, spécifique, éclairé, univoque, et révocable à tout moment. Garder une trace écrite (case cochée datée, formulaire signé, e-mail de confirmation).

Conservation des données : combien de temps ?

Les durées dépendent de la nature des données et du fondement du traitement. Référentiels CNIL pour le secteur santé/bien-être :

• Dossier patient : 20 ans à compter de la dernière consultation (alignement sur les recommandations applicables aux établissements de santé, article R1112-7 CSP).
• Patient mineur : 20 ans à compter de la majorité (donc jusqu'à 38 ans).
• Décès du patient : 10 ans à compter du décès.
• Données comptables (factures) : 10 ans (Code de commerce article L123-22).
• Cookies du site web : 13 mois maximum (recommandation CNIL).

Les droits du patient

Le RGPD reconnaît plusieurs droits que tout patient peut exercer auprès du praticien :

• Droit d'accès (article 15) : obtenir une copie de ses données dans un délai d'1 mois.
• Droit de rectification (article 16) : faire corriger une information inexacte.
• Droit à l'effacement / « droit à l'oubli » (article 17) : sauf obligation légale de conservation (les 20 ans s'appliquent).
• Droit à la limitation du traitement (article 18) : suspendre temporairement.
• Droit à la portabilité (article 20) : recevoir ses données dans un format structuré et lisible (PDF, JSON, CSV).
• Droit d'opposition (article 21) : refuser certains traitements (notamment marketing).
• Droit de retrait du consentement à tout moment.

Une demande doit recevoir une réponse motivée dans le délai d'un mois (extensible à 3 mois pour les demandes complexes, sur information préalable). Toute demande non traitée peut conduire à un signalement à la CNIL.

Sécurité du dossier numérique

L'article 32 du RGPD impose des mesures techniques et organisationnelles adaptées. Pour un cabinet :

• Mot de passe fort (12 caractères minimum, mélange casse/chiffres/symboles).
• Verrouillage automatique de l'écran (5-10 min d'inactivité).
• Antivirus à jour, OS et logiciels patchés.
• Sauvegardes régulières chiffrées et stockées séparément (idéalement hors ligne).
• Authentification à deux facteurs (2FA) sur le logiciel patient et sur la messagerie.
• Chiffrement des données au repos (full disk encryption sur l'ordinateur).
• Séparation stricte usage perso / usage pro de l'ordinateur.

Hébergement HDS si externalisé

Si vous utilisez un logiciel SaaS (cloud) pour gérer vos dossiers patients, l'hébergeur doit être certifié HDS (Hébergeur de Données de Santé) conformément à l'article L1111-8 du Code de la santé publique.

Cette obligation est claire pour les professionnels de santé inscrits au CSP (médecins, kinés, infirmiers). Pour les praticiens non médicaux (sophrologues, naturopathes, hypnothérapeutes), la doctrine CNIL recommande fortement l'alignement sur HDS dès que des données sensibles sont concernées.

Que faire en cas de violation de données ?

Une violation = perte, vol, divulgation non autorisée, modification accidentelle de données. Procédure obligatoire (article 33 RGPD) :

1. 1Documenter immédiatement l'incident (date, nature, données concernées, personnes touchées).
2. 2Évaluer la gravité (risque pour les droits et libertés des personnes).
3. 3Si risque non négligeable : notifier la CNIL dans un délai maximum de 72 heures.
4. 4Si risque élevé : informer également les patients concernés (article 34 RGPD).
5. 5Mettre en œuvre les mesures correctives (changement de mots de passe, renforcement sécurité).
6. 6Conserver le registre des violations même si la CNIL n'est pas notifiée.

Sanctions encourues

Le RGPD prévoit deux paliers de sanctions administratives :

• Jusqu'à 10 millions € ou 2 % du chiffre d'affaires mondial annuel (le plus élevé) pour les manquements à certaines obligations (registre, sécurité).
• Jusqu'à 20 millions € ou 4 % du chiffre d'affaires mondial annuel pour les manquements graves (consentement, droits des personnes).

En pratique, les sanctions appliquées par la CNIL aux TPE et professions libérales sont souvent des avertissements ou des amendes proportionnées au CA (de quelques centaines à quelques milliers d'euros), assorties de mises en demeure.

Le DPO : obligatoire ou pas ?

La désignation d'un Délégué à la Protection des Données (DPO) est obligatoire pour les organismes publics et pour les responsables de traitement dont l'activité de base implique un suivi régulier et systématique à grande échelle, ou un traitement à grande échelle de données sensibles. Pour un praticien individuel, ce n'est généralement pas obligatoire, mais on peut désigner un référent informatique et libertés en interne.

Checklist de mise en conformité

1. 1Établir le registre des traitements (modèle CNIL).
2. 2Rédiger une politique de confidentialité accessible (site web ou affichage).
3. 3Mettre à jour les formulaires de collecte (mention RGPD claire).
4. 4Vérifier que les outils utilisés (logiciel patient, agenda, comptabilité) sont conformes.
5. 5Documenter les durées de conservation et la procédure de purge.
6. 6Sécuriser les postes et activer la 2FA partout où c'est possible.
7. 7Préparer une procédure de réponse aux demandes (accès, effacement).
8. 8Préparer un plan de réponse aux violations (qui prévenir, dans quel ordre, dans quel délai).
9. 9Former les éventuels collaborateurs (secrétaire, stagiaire).

FAQ

Une fiche papier scannée doit-elle suivre le même cadre ?

Oui dès qu'elle est numérisée et stockée. Les obligations RGPD s'appliquent au format numérique comme au format papier (avec quelques nuances).

Puis-je envoyer une fiche patient par e-mail au médecin du patient ?

Avec accord écrit du patient et idéalement par messagerie sécurisée santé (MSSanté). L'envoi par e-mail standard non chiffré est déconseillé. Privilégier un partage via un espace patient sécurisé.

Mon agenda Google est-il conforme RGPD ?

Google Workspace propose des accords de protection des données (DPA), mais pour des données de santé, la prudence impose un agenda intégré à un logiciel HDS. À défaut, ne mentionner que des informations minimales (initiales du patient) dans Google Calendar.

Cet article est informatif. Pour un audit de conformité approfondi, consulter un DPO externe ou les fiches pratiques CNIL dédiées au secteur santé.