RGPD au cabinet : les 5 obligations qu'on oublie tout le temps

Le RGPD inspire au praticien un mélange de respect et de lassitude : on sait que c'est important, on sait que c'est sérieux, et on espère vaguement qu'« être prudent » suffit. La vérité, c'est qu'on peut être un professionnel scrupuleux du secret et passer à côté d'obligations concrètes, simplement parce que personne ne les a jamais énoncées clairement.

En construisant un outil qui manipule de la donnée de santé, j'ai dû les regarder en face une par une. Voici les cinq qui reviennent le plus souvent dans l'angle mort, sans jargon, et à vérifier auprès d'un DPO ou de la CNIL pour votre situation précise.

1. Le registre des traitements, oui, même seul dans votre cabinet

C'est l'oubli le plus fréquent. Beaucoup pensent que le registre des activités de traitement est réservé aux grandes structures. Faux : dès lors que vous traitez des données de santé, donc dès le premier patient, vous êtes concerné.

Pas de panique : pour un cabinet, ce registre est un document simple. Il liste ce que vous traitez (dossiers patients, agenda, facturation), pourquoi, où c'est stocké, combien de temps, et qui y a accès. La CNIL met à disposition des modèles. L'important n'est pas la perfection formelle, c'est d'en avoir un, à jour, prêt à montrer.

2. La durée de conservation, et la purge qui va avec

Conserver, ce n'est pas garder pour toujours. Le RGPD impose une durée de conservation définie et justifiée, après quoi la donnée doit être supprimée ou archivée selon des règles précises. Pour les dossiers de santé, des durées légales s'appliquent ; au-delà, on ne garde pas « au cas où ».

L'erreur classique n'est pas de mal fixer la durée, c'est de ne jamais purger. Des dossiers de patients vus une fois, il y a dix ans, qui dorment dans un disque dur : c'est une donnée de santé qui traîne sans raison, donc un risque. Prévoyez un rendez-vous annuel avec vous-même pour faire le ménage.

En matière de données de santé, la donnée la plus sûre est celle que vous ne conservez plus quand vous n'en avez plus le droit ni le besoin.

3. Le droit d'accès du patient à son dossier

Un patient peut demander à accéder aux informations que vous détenez sur lui (article 15 du RGPD, et droit d'accès au dossier médical). Beaucoup de praticiens découvrent cette obligation le jour où la demande arrive, et improvisent.

Mieux vaut savoir à l'avance ce que vous communiqueriez, sous quelle forme et dans quel délai. Cela suppose, en amont, des écrits clairs et structurés : un dossier lisible n'est pas seulement un confort de travail, c'est ce qui rend ce droit applicable sereinement le jour venu.

4. La sous-traitance : vos prestataires vous engagent

Voilà l'angle mort le plus coûteux. Chaque outil qui touche vos données (logiciel de dossier, agenda en ligne, hébergement, assistant de rédaction) est un sous-traitant au sens du RGPD (article 28). Et vous, en tant que responsable de traitement, vous répondez de leur conformité.

Concrètement : chaque prestataire doit être lié par un contrat de sous-traitance, et héberger les données de santé dans un cadre conforme (en France, chez un hébergeur certifié HDS). Choisir un outil grand public non prévu pour la santé, c'est faire entrer un sous-traitant non conforme dans votre chaîne, et c'est vous qui en portez la responsabilité. C'est précisément le point que nous traitons dans l'article sur l'IA et le secret professionnel.

5. La sécurité concrète, celle du quotidien

Le RGPD demande des mesures de sécurité « appropriées » (article 32). Derrière ce mot abstrait, des gestes très concrets, souvent négligés par fatigue plus que par négligence :

• •un poste de travail verrouillé et protégé par un mot de passe solide ;
• •des sauvegardes, chiffrées, pour ne pas tout perdre ni tout exposer en cas de vol ou de panne ;
• •une vigilance sur les échanges : un compte rendu envoyé par mail non sécurisé, c'est une donnée de santé en clair sur Internet ;
• •des accès limités aux seules personnes qui en ont besoin.

Rien d'héroïque, mais l'accumulation de ces petits gestes fait toute la différence le jour d'un incident.

Ce qu'il faut retenir

Le RGPD du praticien ne se résume pas au consentement du patient. Il tient dans une hygiène : savoir ce qu'on traite (le registre), ne garder que ce qu'on doit (la conservation), pouvoir le restituer (le droit d'accès), maîtriser sa chaîne de prestataires (la sous-traitance), et protéger le tout (la sécurité). Aucune de ces obligations n'est insurmontable ; ensemble, elles font la différence entre une pratique exposée et une pratique sereine.

Le détail complet, pour les psychologues notamment, est dans notre guide RGPD du cabinet. Et si vous voulez qu'un outil porte une partie de cette charge (hébergement HDS, anonymisation, sous-traitance encadrée), c'est exactement ce que nous avons construit : vous pouvez en faire l'essai.