RGPD, sécurité et hébergement de données de santé

RGPD et site médical en 2026 : ce que chaque cabinet doit mettre en place pour être en conformité

By No Comments15 min read

Pourquoi le RGPD est un enjeu particulièrement critique pour les sites médicaux

Le Règlement Général sur la Protection des Données (RGPD) s’applique à toutes les organisations qui traitent des données personnelles de résidents européens. Mais dans le secteur de la santé, les obligations vont encore plus loin : les données de santé font partie des catégories de données dites “sensibles”, soumises à un régime de protection renforcé.

Un cabinet médical, une clinique, un centre de soins ou un établissement spécialisé qui exploite un site internet collecte, parfois sans s’en rendre compte, des données à caractère personnel : nom et prénom via un formulaire de prise de rendez-vous, adresse e-mail, numéro de téléphone, motif de consultation, et parfois des informations de santé directes. Chacune de ces collectes engage votre responsabilité juridique.

En 2025, la CNIL (Commission Nationale de l’Informatique et des Libertés) maintient une vigilance accrue sur le secteur de la santé. Les contrôles se multiplient, les sanctions peuvent atteindre plusieurs millions d’euros pour les structures les plus importantes, et même les petits cabinets s’exposent à des mises en demeure publiques particulièrement préjudiciables à leur image.

La bonne nouvelle : se mettre en conformité est accessible, structuré et, avec le bon accompagnement, rapide. C’est précisément ce qu’ADCOM+, agence de communication digitale spécialisée dans la santé depuis plus de 15 ans, vous aide à mettre en place.

Les mentions légales et la politique de confidentialité : la base indispensable

Tout site internet exploité par un professionnel de santé ou un établissement doit afficher des mentions légales complètes et accessibles depuis chaque page. Mais au-delà de cette obligation issue de la loi pour la Confiance dans l’Économie Numérique, le RGPD impose une politique de confidentialité distincte, détaillée et rédigée en langage clair.

Ce que doit contenir votre politique de confidentialité :

  • L’identité et les coordonnées du responsable du traitement (le cabinet, la clinique, le médecin)
  • Les finalités précises de chaque collecte de données (prise de rendez-vous, newsletter, contact, statistiques de visite)
  • La base légale de chaque traitement (consentement, intérêt légitime, exécution d’un contrat, obligation légale)
  • La durée de conservation des données
  • Les droits des personnes concernées : accès, rectification, effacement, portabilité, opposition
  • Les coordonnées du Délégué à la Protection des Données (DPO) si applicable
  • Les éventuels transferts de données hors Union Européenne

Un point souvent négligé dans les cabinets médicaux : si votre site utilise Google Analytics, des outils de prise de rendez-vous en ligne (Doctolib, Maiia, Veasy…) ou un système de chat, chacun de ces prestataires tiers doit être mentionné comme sous-traitant dans votre politique de confidentialité.

Un texte copié d’un autre site ne suffit pas. La politique de confidentialité doit être adaptée à vos traitements réels, votre structure et vos outils. ADCOM+ rédige et intègre ces documents sur mesure pour chaque site médical qu’elle accompagne.

La gestion des cookies : une obligation souvent mal appliquée

La gestion des cookies est l’un des points où les sites médicaux sont le plus fréquemment en défaut. La CNIL a durci ses exigences : le simple affichage d’une bannière “Ce site utilise des cookies” ne suffit plus. Les règles sont claires depuis 2022 et restent applicables en 2025.

Ce que la réglementation impose concrètement :

  • Le consentement de l’utilisateur doit être recueilli avant le dépôt de tout cookie non strictement nécessaire au fonctionnement du site (analytics, publicité, réseaux sociaux)
  • Le refus doit être aussi simple à exprimer que l’acceptation : un bouton “Refuser” aussi visible que le bouton “Accepter”
  • L’utilisateur doit pouvoir retirer son consentement à tout moment, aussi facilement qu’il l’a donné
  • La bannière de consentement doit lister les finalités des cookies de manière compréhensible

Les cookies qui ne nécessitent pas de consentement sont uniquement ceux strictement nécessaires au bon fonctionnement technique du site : session de connexion, panier de commande, préférences de langue. Tous les autres – y compris Google Analytics dans sa configuration standard – nécessitent un consentement préalable.

Les solutions conformes : un gestionnaire de consentement aux cookies (CMP) comme Axeptio, Cookiebot ou TarteAuCitron, correctement paramétré et intégré à votre site, permet de répondre aux exigences de la CNIL. Attention : l’outil seul ne suffit pas, il doit être configuré en cohérence avec les cookies réellement déposés sur votre site.

ADCOM+ audite et configure les gestionnaires de consentement aux cookies pour les sites médicaux de ses clients. Un réglage incorrect expose votre cabinet à des sanctions CNIL : ne laissez pas ce point au hasard. Contactez notre équipe basée à Palavas-les-Flots pour un diagnostic offert.

Formulaires de contact et prise de rendez-vous en ligne : les règles à respecter

Chaque formulaire présent sur votre site médical est un point de collecte de données personnelles. Il engage votre responsabilité de responsable du traitement. Voici ce que le RGPD impose pour chacun d’eux.

Pour un formulaire de contact simple :

  • Indiquer clairement pourquoi vous collectez les données (finalité) et qui en est responsable
  • Ne demander que les informations strictement nécessaires au traitement de la demande (principe de minimisation des données)
  • Informer l’utilisateur de ses droits et lui fournir un lien vers votre politique de confidentialité
  • Ne pas pré-cocher des cases d’abonnement à une newsletter ou à des communications marketing

Pour un formulaire de prise de rendez-vous :

La prise de rendez-vous en ligne implique souvent la saisie du motif de consultation, ce qui constitue une donnée de santé au sens du RGPD. Dans ce cas, les obligations sont renforcées :

  • La base légale du traitement doit être explicitement le consentement explicite de la personne, ou l’exécution d’un contrat de soin
  • Les données ne peuvent être conservées au-delà de la durée nécessaire à la prise en charge
  • La transmission de ces données doit se faire via une connexion sécurisée (HTTPS obligatoire) et, idéalement, vers un hébergeur certifié HDS

Un point souvent ignoré : si votre formulaire de contact envoie les données vers une boîte Gmail ou une messagerie non sécurisée, vous n’êtes pas en conformité pour les données de santé. Les courriels contenant des informations médicales doivent transiter par des messageries sécurisées (MSS, messageries certifiées).

L'hébergement HDS : une obligation pour les données de santé

L’article L.1111-8 du Code de la santé publique impose que toute donnée de santé à caractère personnel hébergée pour le compte de professionnels ou d’établissements de santé le soit auprès d’un hébergeur certifié ou agréé Hébergeur de Données de Santé (HDS).

Qu’est-ce que la certification HDS ?

C’est une certification délivrée par un organisme accrédité, attestant que l’hébergeur respecte des normes strictes en matière de sécurité physique des serveurs, de sécurité informatique, de gestion des accès et de continuité de service. Elle est obligatoire dès lors que votre site web stocke, même temporairement, des données de santé.

Concrètement, quand cela s’applique-t-il à votre site ?

  • Votre site embarque un module de prise de rendez-vous qui stocke les motifs de consultation
  • Votre site dispose d’un espace patient avec accès à des comptes-rendus ou ordonnances
  • Votre formulaire de contact recueille des informations sur l’état de santé des visiteurs

Si votre site est purement vitrine (présentation du cabinet, équipe, localisation, sans collecte de données de santé), l’obligation HDS ne s’applique pas. Mais dès qu’un module fonctionnel impliquant des données médicales est présent, l’hébergeur doit être certifié HDS.

Les principaux hébergeurs HDS accessibles aux cabinets médicaux en France incluent OVHcloud (offre HDS), Scaleway, Microsoft Azure (région France) ou des hébergeurs spécialisés santé. Un hébergeur généraliste non certifié, aussi fiable soit-il techniquement, n’est pas conforme pour ces usages.

Le registre des traitements et le DPO : ce qui s'applique à votre structure

Le RGPD impose à tout responsable du traitement de tenir un registre des activités de traitement. Ce document interne recense, pour chaque traitement de données mis en oeuvre, la finalité, les catégories de données traitées, les personnes ayant accès, les durées de conservation et les mesures de sécurité appliquées.

Pour un cabinet médical ou dentaire, ce registre doit couvrir :

  • La gestion des dossiers patients (logiciel métier)
  • La prise de rendez-vous (en ligne ou par téléphone)
  • La comptabilité et la facturation
  • Le site internet et les formulaires associés
  • Les communications par e-mail ou SMS aux patients

Ce registre n’a pas à être publié, mais il doit pouvoir être présenté à la CNIL en cas de contrôle.

La désignation d’un DPO (Délégué à la Protection des Données) :

La désignation d’un DPO est obligatoire pour les établissements de santé publics et pour les structures qui traitent des données de santé à grande échelle (hôpitaux, cliniques, réseaux de soins). Pour un cabinet médical ou dentaire de taille modeste, elle n’est pas formellement obligatoire, mais elle reste fortement recommandée. Le DPO peut être un salarié interne ou un prestataire externe spécialisé. Son rôle est de conseiller, de contrôler et d’être l’interlocuteur de la CNIL.

La checklist RGPD site médical en 2025 : votre point de départ

Pour vous aider à faire le point rapidement, voici les éléments essentiels à vérifier sur votre site médical :

  • Mentions légales complètes accessibles depuis toutes les pages, avec identité du responsable du site et coordonnées de l’hébergeur
  • Politique de confidentialité rédigée sur mesure, listant tous les traitements de données effectués via le site
  • Bannière de cookies conforme CNIL avec bouton “Refuser” aussi visible que “Accepter”, et possibilité de retirer le consentement
  • Gestionnaire de consentement (CMP) correctement paramétré et synchronisé avec les cookies réellement déposés
  • Formulaires de contact conformes : collecte minimale, information sur les droits, lien vers la politique de confidentialité
  • Hébergeur certifié HDS si le site collecte ou stocke des données de santé
  • Connexion HTTPS active sur l’ensemble du site
  • Registre des traitements tenu à jour en interne
  • Contrats de sous-traitance signés avec chaque prestataire tiers qui accède à des données personnelles (agence web, outil de prise de rendez-vous, solution d’emailing)

ADCOM+ accompagne les cabinets et établissements de santé d’Occitanie pour auditer leur site existant point par point, identifier les non-conformités et les corriger de manière concrète. C’est notre spécialité depuis plus de 15 ans : nous connaissons les exigences du secteur, la réglementation de la communication santé et les attentes de la CNIL.

Votre site médical est-il vraiment conforme au RGPD ? ADCOM+, agence digitale santé basée à Palavas-les-Flots, réalise un audit complet de votre site et vous accompagne dans la mise en conformité : politique de confidentialité, cookies, hébergement HDS, formulaires. Contactez-nous pour en discuter.

Questions fréquentes : RGPD et site médical

Un cabinet médical libéral est-il concerné par le RGPD ?

Oui, sans exception. Tout professionnel de santé libéral qui collecte des données personnelles de ses patients (dossiers médicaux, coordonnées, données de facturation) est responsable du traitement au sens du RGPD. Le fait d’exercer en cabinet individuel ou de n’avoir qu’un petit site vitrine ne dispense pas des obligations de base : politique de confidentialité, gestion des cookies, registre des traitements. La taille de la structure n’exonère pas de la conformité, elle peut simplement simplifier certaines obligations (comme la désignation d’un DPO).

Mon site utilise Doctolib pour la prise de rendez-vous : est-ce suffisant pour être conforme ?

Doctolib est une plateforme certifiée HDS et dispose de sa propre politique de protection des données. En intégrant un widget Doctolib sur votre site, vous déléguez la collecte et le stockage des données de rendez-vous à Doctolib, qui en est responsable pour cette partie. Cela simplifie votre mise en conformité sur ce point précis. Cependant, cela ne vous dispense pas des autres obligations : votre site doit toujours avoir des mentions légales complètes, une politique de confidentialité qui mentionne Doctolib comme sous-traitant, et une gestion conforme des cookies pour les autres traceurs présents sur le site (analytics, réseaux sociaux, etc.).

Quels sont les risques concrets en cas de non-conformité RGPD pour un cabinet de santé ?

Les risques sont de plusieurs natures. Sur le plan juridique, la CNIL peut prononcer une mise en demeure, une sanction administrative et une amende (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les grandes structures, des montants proportionnels pour les petites). Sur le plan de la réputation, les mises en demeure publiques de la CNIL sont publiées et indexées par les moteurs de recherche, ce qui peut gravement nuire à l’image d’un cabinet. Sur le plan civil, des patients lésés peuvent saisir la CNIL ou les tribunaux. La mise en conformité est donc aussi une protection pour votre activité et la confiance de vos patients.

Mon site médical doit-il obligatoirement être en HTTPS ?

Oui. Le HTTPS (protocole sécurisé avec certificat SSL/TLS) est indispensable sur tout site médical, et plus généralement sur tout site qui collecte des données personnelles. Sans HTTPS, les échanges entre le navigateur de l’utilisateur et votre serveur sont transmis en clair et potentiellement interceptables. La CNIL considère l’absence de HTTPS comme un manquement à l’obligation de sécurité des données. De plus, Google pénalise les sites non sécurisés dans son classement, et les navigateurs affichent des avertissements aux visiteurs, ce qui dégrade la confiance. En 2025, un site sans HTTPS est à la fois non conforme et préjudiciable au référencement.

Combien de temps faut-il pour mettre un site médical en conformité RGPD ?

Tout dépend de l’état de départ et des fonctionnalités du site. Pour un site vitrine simple avec un formulaire de contact et Google Analytics, la mise en conformité (politique de confidentialité, bannière cookies conforme, ajustements des formulaires) peut être réalisée en quelques jours de travail. Pour un site plus complexe avec espace patient, prise de rendez-vous intégrée ou plusieurs modules tiers, l’audit préalable et les corrections peuvent prendre deux à quatre semaines. Chez ADCOM+, nous commençons par un audit complet pour identifier les points prioritaires, puis nous établissons un plan d’action clair et réaliste adapté à votre structure et à votre budget.

Google Analytics est-il utilisable sur un site médical en France ?

Google Analytics peut être utilisé sur un site médical, mais uniquement avec le consentement préalable des visiteurs, recueilli via une bannière de cookies conforme. Sans consentement, le dépôt de cookies Analytics est illégal. Par ailleurs, Google Analytics (dans sa version standard) transfère des données vers des serveurs américains, ce qui pose des questions de conformité supplémentaires depuis les arrêts invalidant le Privacy Shield. Des alternatives plus respectueuses de la vie privée et hébergées en Europe existent, comme Matomo (auto-hébergé) ou Plausible Analytics, qui peuvent être utilisées en mode exempté de consentement si correctement configurés selon les critères de la CNIL.

Ce qu'il faut retenir sur le RGPD et votre site médical en 2025

La conformité RGPD d’un site médical n’est pas une formalité administrative à cocher une fois pour toutes : c’est un engagement continu envers vos patients, et une protection réelle pour votre cabinet.

Les cinq piliers à mettre en place sont clairs : une politique de confidentialité rédigée sur mesure, une gestion des cookies conforme aux exigences de la CNIL, des formulaires de collecte minimaux et transparents, un hébergement certifié HDS si des données de santé sont traitées, et un registre des traitements tenu à jour. Chacun de ces points peut être audité, corrigé et documenté.

Ne partez pas du principe que votre site actuel est conforme parce qu’il a été créé par un professionnel. Les règles ont évolué, les exigences se sont durcies, et beaucoup de sites médicaux en Occitanie présentent encore des manquements identifiables en quelques minutes d’audit.

Chez ADCOM+, c’est exactement ce que nous faisons : un regard expert, une connaissance précise des contraintes du secteur de la santé, et des solutions concrètes adaptées à votre structure et à vos moyens. N’attendez pas un contrôle CNIL pour agir.

Cet article est rédigé par l’équipe d’ADCOM+, agence de communication digitale spécialisée dans le secteur de la santé, basée à Palavas-les-Flots (Occitanie). Il est fourni à titre informatif et ne constitue pas un conseil juridique. Pour toute question spécifique, rapprochez-vous d’un juriste spécialisé en droit des données personnelles.

Leave a Reply