RGPD et données de santé : les obligations concrètes pour les petites structures en 2026
Beaucoup de dirigeants de petites structures de santé (cabinet médical, cabinet dentaire, maison de santé pluriprofessionnelle, petit EHPAD) pensent que la protection des données de santé ne concerne que les grands établissements dotés d'un service informatique dédié. C'est une erreur : dès qu'une structure traite des données de patients, quelle que soit sa taille, elle est responsable de traitement au sens du RGPD. L'actualité le rappelle avec force : un décret du 24 mars 2026 impose, à compter du 26 septembre 2026, que l'hébergement des données de santé se fasse exclusivement dans l'Union européenne ou l'Espace économique européen, avec une transparence renforcée sur les transferts. Ce guide fait le point sur les obligations réelles, cette nouveauté 2026 et les sanctions encourues, sources à l'appui.
En bref
- Toute structure de santé traitant des données de patients est responsable de traitement au sens du RGPD, quelle que soit sa taille.
- Les données de santé sont des données sensibles (article 9 du RGPD), qui imposent une sécurité et une vigilance renforcées.
- Un décret du 24 mars 2026 impose, à compter du 26 septembre 2026, la localisation exclusive dans l'UE ou l'EEE des données de santé hébergées, avec une transparence obligatoire sur les transferts.
- Les sanctions de la CNIL vont de quelques milliers d'euros pour un manquement isolé d'un professionnel libéral à plusieurs millions d'euros pour des manquements graves à grande échelle.
Pourquoi les données de santé sont un cas à part dans le RGPD
Le Règlement général sur la protection des données classe les données de santé parmi les catégories dites "sensibles", au même titre que l'origine raciale ou les convictions religieuses. Comme le rappelle la CNIL, leur traitement est par principe interdit, sauf exceptions précisément énumérées : soins et diagnostic par un professionnel de santé, sauvegarde des intérêts vitaux de la personne, intérêt public de santé publique, ou consentement explicite de la personne concernée. Un dossier patient informatisé, une ordonnance, un résultat d'analyse ou un simple compte rendu de consultation entrent tous dans ce périmètre, dès le moment où ils permettent d'identifier une personne.
Cette qualification n'est pas qu'une nuance juridique : elle impose des mesures de sécurité renforcées au titre de l'article 32 du RGPD, proportionnées au risque que ferait courir une violation de ces données à la vie privée des patients.
Qui est responsable, et quelles formalités sont réellement dues
Depuis l'entrée en application du RGPD en mai 2018, la plupart des formalités préalables auprès de la CNIL ont disparu au profit d'un principe de responsabilisation ("accountability") : c'est à la structure elle-même de documenter et de prouver sa conformité, plutôt que de la déclarer a priori. Comme le précise la CNIL dans sa fiche sur les formalités applicables aux traitements de données de santé, les traitements courants réalisés par un professionnel de santé à des fins de diagnostic, de soins ou de gestion de sa patientèle sont exemptés de formalité préalable, y compris pour un professionnel libéral ou une petite structure.
Cette exemption ne dispense pas de l'essentiel : tenir un registre des activités de traitement (même simplifié), documenter les mesures de sécurité mises en œuvre, et informer les patients de leurs droits. Une analyse d'impact relative à la protection des données (AIPD) peut également être exigée lorsque le traitement présente un risque élevé pour les personnes concernées.
Combien de temps conserver les dossiers patients
Pour les établissements de santé, l'article R.1112-7 du Code de la santé publique fixe une durée de conservation du dossier médical de vingt ans à compter de la dernière consultation ou du dernier séjour du patient dans l'établissement. Cette durée est prolongée jusqu'au vingt-huitième anniversaire de la personne lorsqu'elle est mineure, et ramenée à dix ans à compter du décès si celui-ci survient moins de dix ans après le dernier séjour. Les dossiers relatifs à des actes transfusionnels doivent, eux, être conservés trente ans. Ces délais sont par ailleurs suspendus en cas de contentieux relatif à la responsabilité de l'établissement ou des professionnels intervenus.
Pour un professionnel libéral en cabinet, ce texte ne s'applique pas au même titre, faute d'établissement au sens juridique du terme. La CNIL et l'Ordre des médecins recommandent néanmoins, dans leur guide pratique commun sur la protection des données personnelles, de s'appuyer sur des durées comparables, cohérentes avec les délais de prescription civile applicables en matière de responsabilité médicale. Dans tous les cas, une durée de conservation doit être définie, documentée, et respectée : un dossier conservé indéfiniment sans justification est, en soi, un manquement au RGPD.
| Situation | Durée | Point de départ | Référence |
|---|---|---|---|
| Dossier médical, établissement de santé | 20 ans | Dernier séjour ou dernière consultation externe | Art. R.1112-7 CSP |
| Dossier médical, patient mineur | Jusqu'au 28e anniversaire | Si ce délai dépasse les 20 ans | Art. R.1112-7 CSP |
| Dossier médical, décès du patient | 10 ans | Décès, si survenu moins de 10 ans après le dernier séjour | Art. R.1112-7 CSP |
| Actes transfusionnels | 30 ans | Réalisation de l'acte | Art. R.1112-7 CSP |
| Professionnel libéral (cabinet) | Pas de durée légale identique ; alignement recommandé sur des durées comparables | Dernière consultation | Recommandation CNIL / CNOM |
L'hébergement des données de santé : la certification HDS
Dès qu'un prestataire externe héberge des données de santé pour le compte d'un tiers, à savoir un logiciel métier en ligne, un service de sauvegarde à distance ou une plateforme qualité, l'article L.1111-8 du Code de la santé publique impose à ce prestataire de détenir la certification d'hébergeur de données de santé (HDS). Comme le précise l'Agence du Numérique en Santé (ANS), cette certification s'appuie sur un référentiel aligné sur la norme ISO 27001, délivré par des organismes accrédités par le COFRAC à l'issue d'un audit documentaire puis d'un audit sur site. Elle est valable trois ans, sous réserve d'audits de surveillance annuels. Une exception existe pour les établissements de santé qui gèrent leurs propres systèmes d'information en interne, sans recourir à un hébergeur tiers : ils ne sont, dans ce cas précis, pas soumis à cette certification, mais restent pleinement responsables de la sécurité de leurs données.
Pour une petite structure sans service informatique, le réflexe à adopter est simple : avant de confier des données de patients identifiantes à un prestataire numérique, vérifier qu'il détient bien une certification HDS en cours de validité, et non une simple mention commerciale de conformité.
Nouveauté 2026 : localisation et transparence des hébergeurs
Le décret n°2026-209 du 24 mars 2026, publié au Journal officiel le 26 mars 2026, modifie les articles R.1111-9 à R.1111-11 du Code de la santé publique relatifs à l'hébergement des données de santé à caractère personnel. Il crée un nouvel article R.1111-9-1 qui pose un principe de territorialisation du stockage : celui-ci devra être réalisé exclusivement sur le territoire d'un État membre de l'Union européenne ou d'un État partie à l'Espace économique européen, sauf garanties spécifiques encadrant tout transfert vers un pays tiers. Le texte renforce également les clauses contractuelles que l'hébergeur doit inclure : information sur les transferts ou accès à distance depuis des pays tiers, sur les législations extra-européennes susceptibles de s'appliquer, et sur les mesures prises pour limiter les risques associés, avec, nouveauté marquante, l'obligation de publier et tenir à jour une cartographie de ces transferts et de ces risques.
Point important pour anticiper : si le décret est entré en vigueur dès le 27 mars 2026 pour ses dispositions générales, l'obligation de territorialisation du stockage ainsi que le renforcement des clauses contractuelles et de la cartographie ne s'appliqueront, eux, qu'à compter du 26 septembre 2026, six mois après la publication. Pour une petite structure, la conséquence pratique est directe : ce délai est le moment pour interroger ses prestataires numériques sur leur mise en conformité, et vérifier contractuellement que les données resteront bien localisées dans l'UE ou l'EEE à cette échéance.
Sécurité et notification des violations de données
L'article 32 du RGPD impose de mettre en œuvre des mesures techniques et organisationnelles adaptées au risque : contrôle des accès, mots de passe robustes ou authentification à plusieurs facteurs, chiffrement, journalisation des actions effectuées sur les données. En cas de violation (perte, vol, accès non autorisé), la CNIL rappelle sur sa page dédiée aux violations de données personnelles que le responsable de traitement dispose de 72 heures pour notifier l'incident, dès lors qu'il présente un risque pour les droits et libertés des personnes concernées. Si ce risque est élevé, les patients concernés doivent, en plus, en être informés directement. Une notification incomplète dans les délais reste préférable à une notification tardive mais complète : elle peut toujours être complétée ultérieurement.
Sanctions : ce que risque une petite structure
Le RGPD prévoit, à son article 83, des sanctions administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les manquements aux obligations générales, et jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les manquements les plus graves, le montant le plus élevé étant retenu. Dans les faits, comme le montre la page des sanctions prononcées par la CNIL, l'autorité applique ces textes de façon proportionnée à la taille de la structure et à la gravité du manquement : les amendes visant des professionnels de santé libéraux pour un défaut de sécurité isolé ou l'absence de registre se chiffrent le plus souvent en quelques milliers d'euros, tandis que les manquements les plus graves, touchant un grand nombre de patients ou impliquant une négligence caractérisée, peuvent atteindre plusieurs centaines de milliers, voire plusieurs millions d'euros. Le montant importe cependant moins que le principe : une structure contrôlée et incapable de présenter un registre à jour ou une mesure de sécurité de base s'expose, quelle que soit sa taille.
Checklist pratique pour une petite structure sans DPO dédié
- Tenir un registre des traitements à jour, même simplifié : quelles données, pour quelle finalité, conservées combien de temps. Une gestion documentaire centralisée évite qu'il ne finisse oublié dans un tiroir.
- Informer les patients de leurs droits (accès, rectification, opposition), par exemple dans le livret d'accueil ou sur un affichage visible.
- Sécuriser les accès : mots de passe robustes, authentification à plusieurs facteurs, verrouillage automatique des postes inutilisés.
- Vérifier la certification HDS de tout prestataire hébergeant des données de santé identifiantes pour votre compte, et anticiper dès maintenant sa cartographie des transferts attendue pour le 26 septembre 2026.
- Définir une procédure interne de gestion des violations de données : qui constate, qui alerte, sous quel délai, sur le même principe qu'un circuit de déclaration d'événement indésirable.
- Sensibiliser toute l'équipe à ne jamais consigner de données identifiantes de patients dans des champs de texte libre ou des outils non prévus à cet effet.
- Documenter les durées de conservation définies pour chaque type de dossier, et purger les dossiers échus.
Questions fréquentes
Un cabinet médical ou une petite structure de santé doit-il désigner un délégué à la protection des données (DPO) ?
Pas systématiquement. La désignation d'un DPO n'est obligatoire que pour les traitements de données de santé réalisés à grande échelle, c'est-à-dire, selon la CNIL, lorsque plusieurs professionnels partagent un système d'information mutualisé suivant plus de 10 000 patients par an. En dessous de ce cas de figure, la désignation reste possible à titre volontaire mais n'est pas une obligation légale.
Faut-il recueillir le consentement du patient pour traiter ses données de santé ?
Pas pour les soins courants. Le traitement des données nécessaires au diagnostic, aux soins et à la gestion administrative du patient repose sur une base légale propre aux professionnels de santé, sans qu'un consentement explicite distinct soit requis à chaque acte. Le consentement explicite reste en revanche nécessaire pour des finalités qui sortent du soin, comme la recherche ou certaines communications commerciales.
Mon logiciel qualité ou mon prestataire informatique doit-il être certifié HDS ?
Oui, dès lors qu'il héberge pour votre compte des données de santé à caractère personnel identifiantes. L'obligation de certification HDS, prévue à l'article L.1111-8 du Code de la santé publique, s'applique à tout hébergeur tiers de ces données. Un établissement qui conserve ses dossiers exclusivement sur ses propres serveurs internes n'est pas soumis à cette certification, mais reste responsable de leur sécurité. À titre d'exemple, OxcaSanté n'est pas conçu pour héberger des dossiers patients ni des données de santé identifiantes à grande échelle : c'est un outil de pilotage de la démarche qualité (déclarations, documentation, satisfaction), qui rappelle au contraire à ses utilisateurs de ne jamais y saisir ce type de données. Il n'est donc pas concerné par cette certification.
Comment un outil qualité peut vous accompagner
Un registre des traitements à jour et une procédure de gestion des violations n'ont de valeur que s'ils sont réellement tenus au fil de l'eau, plutôt que produits une seule fois puis oubliés. C'est également vrai pour la traçabilité des actions effectuées sur les données de vos équipes et de vos usagers. OxcaSanté a été conçu en tenant compte de ces exigences : la plateforme conserve un historique des actions effectuées par les utilisateurs, intègre une authentification renforcée avec alerte à chaque connexion, et rappelle aux équipes de ne jamais saisir de données identifiantes de patients dans les champs de texte libre. Précision importante : OxcaSanté n'héberge pas de dossiers patients ni de données de santé identifiantes à grande échelle, et n'est donc pas un hébergeur de données de santé au sens de l'article L.1111-8 ni concerné par la certification HDS ; c'est un outil de pilotage de votre démarche qualité. Découvrez comment OxcaSanté accompagne les cabinets, MSP, EHPAD et petites structures dans leur démarche qualité au quotidien.
Pour aller plus loin sur les obligations qui s'appliquent aux petites structures sans certification HAS, consultez notre guide sur les obligations qualité des cabinets médicaux, dentaires et maisons de santé.
Sources
- CNIL – Le RGPD appliqué au secteur de la santé
- CNIL – Quelles formalités pour les traitements de données de santé
- CNIL – Guide pratique CNOM-CNIL sur la protection des données personnelles
- Légifrance – Article R.1112-7 du Code de la santé publique
- Agence du Numérique en Santé – Certification HDS (hébergeur de données de santé)
- Légifrance – Décret n°2026-209 du 24 mars 2026 relatif à l'hébergement de données de santé à caractère personnel
- CNIL – Violations de données personnelles : les règles à suivre
- CNIL – Les sanctions prononcées par la CNIL
- CNIL – Professionnels de santé : la désignation d'un délégué à la protection des données
Structurez votre conformité RGPD sans y consacrer une équipe entière
OxcaSanté centralise votre documentation qualité et trace les actions de votre équipe, pensé pour les cabinets, MSP, EHPAD et petites structures sans service qualité dédié. Dès 39€/an/licence.
Réserver une démo