En bref : Les données de santé sont les données personnelles les plus protégées par le RGPD. En tant que professionnel de santé collectant des questionnaires patients, vous êtes soumis à des obligations spécifiques : hébergement HDS, consentement explicite, chiffrement, et droits des patients. Le non-respect peut entraîner des amendes jusqu'à 4% du CA annuel mondial.
Pourquoi les données de santé sont-elles si sensibles ?
Le RGPD (Règlement Général sur la Protection des Données) classe les données de santé dans la catégorie "données sensibles" — la plus protégée. Cette classification impose des obligations renforcées par rapport aux données personnelles ordinaires.
Les données de santé comprennent : les diagnostics, antécédents médicaux, résultats d'analyses, prescriptions, mais aussi les réponses à un questionnaire de santé comme Mon Bilan Prévention. Dès lors que vous collectez des informations sur les habitudes de vie, l'alimentation, les addictions ou les antécédents familiaux d'un patient, vous traitez des données de santé.
Les principales obligations RGPD pour les professionnels de santé
1. La base légale du traitement
Tout traitement de données doit reposer sur une base légale. Pour les données de santé dans le cadre de Mon Bilan Prévention, la base légale est double :
- Le consentement explicite du patient : le patient doit consentir spécifiquement à la collecte et au traitement de ses données de santé pour ce bilan. Ce consentement doit être libre, éclairé, spécifique et univoque — une simple case "j'accepte" pré-cochée ne suffit pas.
- L'intérêt public : dans certains cas, la santé publique peut constituer une base légale complémentaire, mais elle ne dispense pas du recueil du consentement.
2. L'information des patients
Avant tout recueil de données, vous devez informer le patient de manière claire et accessible :
- Qui collecte ses données (identité du responsable de traitement)
- Pourquoi (finalité : réalisation du bilan de prévention)
- Combien de temps ses données sont conservées
- Qui peut avoir accès à ses données
- Quels sont ses droits (accès, rectification, effacement, portabilité...)
- Comment exercer ces droits
3. L'hébergement certifié HDS
C'est l'obligation la plus souvent méconnue. Toute donnée de santé stockée numériquement en France doit être hébergée sur une infrastructure certifiée HDS (Hébergeur de Données de Santé). Cette certification est délivrée par l'ANS (Agence du Numérique en Santé) après audit approfondi.
Concrètement : vous ne pouvez pas stocker des questionnaires patients sur Google Drive, Dropbox, ou un serveur non certifié. Même un serveur personnel bien sécurisé ne suffit pas — il faut la certification HDS.
Bon à savoir : Utiliser une solution SaaS comme Objectif Santé+ vous dispense de gérer vous-même la certification HDS — c'est notre infrastructure qui est certifiée. Vous n'avez aucune démarche technique à entreprendre.
4. La sécurité des données
Le RGPD impose de prendre des mesures techniques et organisationnelles appropriées pour protéger les données. Pour des données de santé, le niveau attendu est élevé :
- Chiffrement des données au repos : les données stockées doivent être chiffrées
- Chiffrement en transit : HTTPS obligatoire pour toute transmission
- Gestion des accès : seules les personnes habilitées peuvent accéder aux données patients
- Journalisation : tout accès aux données doit être loggé
- Plan de reprise : sauvegarde et plan de continuité en cas d'incident
5. Les droits des patients
Vos patients ont des droits sur leurs données que vous devez être en mesure d'exercer :
| Droit | Ce que ça implique pour vous | Délai de réponse |
|---|---|---|
| Droit d'accès | Fournir une copie de toutes les données détenues | 1 mois |
| Droit de rectification | Corriger les données inexactes | 1 mois |
| Droit à l'effacement | Supprimer toutes les données du patient | 1 mois |
| Droit à la portabilité | Fournir les données dans un format réutilisable | 1 mois |
| Droit d'opposition | Cesser tout traitement non essentiel | Immédiat |
6. Le DPO (Délégué à la Protection des Données)
La désignation d'un DPO est obligatoire pour les organismes traitant des données de santé à grande échelle. Pour un cabinet individuel réalisant quelques bilans par mois, la désignation n'est pas toujours obligatoire — mais elle est fortement recommandée.
Si vous utilisez une solution SaaS comme Objectif Santé+, vérifiez que le prestataire a désigné un DPO et peut vous fournir ses coordonnées. Le nôtre est joignable à dpo@objectifsante.net.
Les risques du non-respect
Les sanctions pour violation du RGPD peuvent être lourdes :
- Amende administrative : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial
- Mise en demeure de la CNIL : obligation de cesser le traitement dans un délai donné
- Action en justice des patients : possibilité de recours civil pour dommages et intérêts
- Atteinte à la réputation : les violations de données sont publiques et peuvent impacter votre patientèle
Bonne pratique : Choisissez une solution numérique qui prend en charge par défaut toutes vos obligations RGPD. Cela vous permet de vous concentrer sur votre cœur de métier sans risque juridique. Objectif Santé+ a été conçu dès le départ pour respecter les normes les plus strictes en matière de protection des données de santé.
Check-list de conformité RGPD pour Mon Bilan Prévention
Utilisez cette liste pour évaluer votre niveau de conformité :
- ☐ Les données patients sont hébergées sur une infrastructure certifiée HDS
- ☐ Le consentement du patient est recueilli de manière explicite avant tout recueil de données
- ☐ Une politique de confidentialité claire est disponible et portée à la connaissance des patients
- ☐ Les données sont chiffrées au repos et en transit
- ☐ Un registre des traitements est tenu à jour
- ☐ Les accès aux données sont journalisés
- ☐ Une procédure pour exercer les droits des patients est en place
- ☐ Une durée de conservation des données est définie (ex : suppression automatique après X mois)
- ☐ Un DPO est désigné ou une personne référente RGPD est identifiée
- ☐ Une procédure de notification de violation de données est établie (72h pour notifier la CNIL)