RGPD et données patient : ce que les médecins doivent savoir en 2026

Les données de santé sont parmi les plus sensibles qui soient. Pour les médecins et professionnels de santé, le RGPD s'ajoute au secret médical pour créer un cadre légal exigeant. En 2026, avec la multiplication des outils numériques, il est essentiel de comprendre vos obligations.

Le RGPD s'applique-t-il aux médecins libéraux ?

Oui, sans exception. Dès lors que vous traitez des données personnelles de patients — ne serait-ce que leur nom, prénom et motif de consultation — vous êtes soumis au RGPD. En tant que médecin libéral, vous êtes qualifié de responsable de traitement au sens du règlement.

Les données de santé bénéficient d'une protection renforcée (article 9 du RGPD). Leur traitement est en principe interdit, sauf exceptions — dont les soins médicaux constituent la principale.

Quelles données patient sont concernées ?

Dans votre pratique quotidienne, vous traitez de nombreuses catégories de données :

Données directement identifiantes

• Nom, prénom, date de naissance
• Adresse, numéro de téléphone, email
• Numéro de sécurité sociale

Données de santé (catégorie spéciale)

• Motif de consultation et antécédents médicaux
• Traitements prescrits
• Résultats d'examens
• Notes de consultation

Important : même les données de rendez-vous (heure, durée, motif) entrent dans cette catégorie si elles permettent d'identifier un patient et de déduire des informations sur sa santé.

Les 5 obligations RGPD essentielles pour les médecins

1. Tenir un registre des activités de traitement

Vous devez maintenir un registre listant tous vos traitements de données : logiciel de gestion cabinet, Doctolib, messagerie sécurisée de santé (MSS), etc. Ce registre doit mentionner les finalités, les catégories de données et les mesures de sécurité.

La CNIL met à disposition un modèle de registre simplifié pour les cabinets médicaux.

2. Informer les patients de leurs droits

Vos patients ont des droits sur leurs données : accès, rectification, effacement (dans certains cas), portabilité. Vous devez les en informer via une politique de confidentialité accessible — un document affiché en salle d'attente suffit généralement.

3. Sécuriser les données

La sécurité des données de santé est une obligation légale. Concrètement :

• Mots de passe forts et uniques pour chaque outil
• Chiffrement des données en transit (HTTPS) et au repos
• Accès limité aux seules personnes autorisées
• Sauvegardes régulières et chiffrées
• Mise à jour régulière des logiciels

4. Encadrer les sous-traitants

Tous les prestataires qui traitent des données patient en votre nom sont vos sous-traitants au sens RGPD : Doctolib, votre logiciel de cabinet, votre service de messagerie, etc. Vous devez vous assurer qu'ils sont conformes RGPD et signer avec eux un contrat de traitement de données (DPA).

Doctolib, par exemple, fournit une DPA standard à ses clients. Docal.io également.

5. Gérer les violations de données

En cas de violation de données (piratage, perte d'un ordinateur non chiffré, etc.), vous avez 72 heures pour notifier la CNIL et, si la violation est grave, les patients concernés. Un plan de réponse aux incidents est recommandé.

RGPD et agenda numérique : points de vigilance

Peut-on utiliser Google Calendar pour les rendez-vous patients ?

C'est une question délicate. Google Calendar n'est pas certifié HDS (Hébergeur de Données de Santé) en France. En théorie, y stocker des données de santé directement identifiables (nom + motif de consultation) pourrait poser un problème de conformité.

La solution pratique : utiliser le mode anonymisé. Si vos rendez-vous apparaissent comme "Rendez-vous Doctolib" sans nom ni motif, Google Calendar ne contient plus de données de santé. C'est le mode que nous recommandons et celui activé par défaut dans Docal.io.

Partager son agenda avec l'assistant(e) : quelles précautions ?

Si vous partagez votre agenda (Google Calendar ou Doctolib) avec un(e) assistant(e), assurez-vous :

• Que la personne est liée par la confidentialité (clause dans le contrat de travail)
• Que seules les informations nécessaires sont visibles (principe de minimisation)
• D'utiliser le mode anonymisé si l'agenda est partagé avec des personnes extérieures au cabinet

Durée de conservation des données de rendez-vous

Les données de rendez-vous doivent être conservées le temps nécessaire à leur finalité. Pour un cabinet médical, la durée de conservation du dossier patient est généralement de 20 ans après le dernier acte médical. Les simples données d'agenda (sans contenu médical) peuvent avoir une durée plus courte.

Le rôle de la messagerie sécurisée de santé (MSS)

Pour les échanges de données de santé entre professionnels (comptes-rendus, ordonnances...), le RGPD et les recommandations de l'ANS (Agence du Numérique en Santé) imposent l'utilisation d'une messagerie sécurisée de santé. L'email classique (Gmail, Outlook) n'est pas suffisamment sécurisé pour ces échanges.

Les outils MSS agréés incluent MSSanté, Apicrypt, Medimail, etc.

Ressources pour se mettre en conformité

• CNIL : Guide spécifique pour les professionnels de santé libéraux (cnil.fr)
• ANS : Référentiel de sécurité des systèmes d'information de santé
• Ordre des médecins : Recommandations sur le numérique en santé
• Mon Espace Santé : Plateforme nationale intégrant la messagerie sécurisée

Conclusion

La conformité RGPD pour un médecin libéral n'est pas insurmontable, mais elle demande une organisation rigoureuse. L'enjeu est double : protéger vos patients et vous protéger vous-même d'une éventuelle mise en cause.

Pour les outils de synchronisation d'agenda, choisissez des solutions qui intègrent dès la conception la protection des données de santé — comme le mode anonymisé de Docal.io, conçu spécifiquement pour les professionnels de santé.