contact@rgpd-sante.com | Lu–Ve : 9h–18h
Accueil Obligations RGPD des établissements de santé

— Cliniques, centres de radiologie, établissements spécialisés —

Conformité RGPD d'un établissement de santé :
ce que la loi impose

Les établissements de santé privés traitent en permanence des données de santé à grande échelle. Ce guide recense les obligations concrètes qui s'appliquent à votre structure — DPO obligatoire, registre de traitement, AIPD, sécurité HDS et encadrement des sous-traitants.

Données de santé DPO obligatoire Art. 9 RGPD Code de la santé publique

Spécificité ES — DPO

La désignation d'un DPO est obligatoire

Contrairement à d'autres acteurs de santé pour lesquels la désignation d'un DPO est fortement recommandée, elle est ici strictement obligatoire. Un établissement de santé traite par nature des données de santé à grande échelle — ce seul critère suffit à déclencher l'obligation légale prévue par l'article 37 du RGPD.

Pourquoi le DPO est obligatoire — et ce que ça implique concrètement

L'article 37 du RGPD impose la désignation d'un Délégué à la Protection des Données (DPO) dès lors qu'un organisme effectue un traitement à grande échelle de données de catégorie particulière au sens de l'article 9. Les données de santé en font partie. Un établissement de santé — clinique, centre de radiologie, établissement psychiatrique, SSR — y est soumis dès lors qu'il traite des dossiers patients, des données d'imagerie ou des actes médicaux, ce qui est systématiquement le cas.

Désignation formelle obligatoire — le DPO doit être désigné par acte formel de la direction, ses coordonnées publiées en interne et déclarées auprès de la CNIL via le téléservice dédié.
Indépendance garantie — le DPO ne peut recevoir d'instructions dans l'exercice de ses missions, ni être sanctionné pour les avoir remplies. Cette indépendance doit être garantie contractuellement (DPO externalisé) ou statutairement (DPO interne).
Missions définies par le RGPD — information et conseil, contrôle du respect du règlement, coopération avec la CNIL, point de contact pour les personnes concernées et l'autorité de contrôle.
Ressources suffisantes — l'établissement doit lui fournir les ressources nécessaires à l'exercice de ses missions : temps dédié, accès aux données et aux systèmes, formation continue.
L'absence de DPO déclaré à la CNIL constitue un manquement directement sanctionnable. En cas de contrôle ou de violation de données, l'absence de DPO aggrave systématiquement l'appréciation de la faute par l'autorité de contrôle.

Obligation 2 — Registre

Le registre des activités de traitement

Le registre est la colonne vertébrale de votre conformité RGPD. Il recense l'ensemble des traitements réalisés au sein de l'établissement, leurs bases légales, leurs destinataires et leurs durées de conservation. Dans un établissement de santé, le nombre et la complexité des traitements rendent ce registre particulièrement dense.

01

Dossiers patients

Dossier Patient Informatisé (DPI) et dossiers papier

La tenue du dossier patient constitue le traitement central de l'établissement. Il concentre les données médicales, chirurgicales, biologiques et administratives de chaque patient, sous format numérique et/ou papier.

  • Base légale : obligation légale (art. R. 1112-2 CSP) et mission de soin
  • Durée de conservation : 20 ans à compter du dernier séjour
  • Accès strict aux professionnels de santé habilités
  • Traçabilité des accès obligatoire (art. L. 1110-4 CSP)
Obligatoire — Art. 30 RGPD + art. R. 1112-2 CSP
02

Imagerie médicale

PACS et données d'imagerie

Les données d'imagerie médicale (radiographie, IRM, scanner, échographie…) constituent des données biométriques et de santé à très haute sensibilité. Leur traitement sur un PACS (Picture Archiving and Communication System) doit être documenté et hébergé par un prestataire certifié HDS.

  • Hébergement sur solution certifiée HDS obligatoire
  • Durée de conservation : 10 ans minimum (imagerie diagnostique)
  • Accès limité aux radiologues et prescripteurs habilités
  • Partage avec des tiers soumis à encadrement contractuel
Obligatoire — Art. L. 1111-8 CSP (hébergement HDS)
03

Admissions et sorties

Gestion des admissions et sorties

Le processus d'admission collecte des données d'identité, administratives, de couverture sociale et médicales. La sortie implique des courriers, des comptes-rendus et des transmissions aux professionnels de ville.

  • Données d'identité, numéro de sécurité sociale, droits AMO/AMC
  • Consentement aux soins et notice d'information
  • Lettre de liaison à la sortie (transmission au médecin traitant)
  • Gestion des personnes de confiance et des directives anticipées
04

Bloc opératoire

Bloc opératoire et actes médicaux

La planification et la réalisation des interventions génèrent des données médicales très sensibles : compte-rendus opératoires, protocoles anesthésiques, bilans préopératoires. Ces données doivent être intégrées au dossier patient et conservées selon les règles légales.

  • Compte-rendu opératoire et protocoles d'anesthésie
  • Bilan préopératoire et consultation anesthésique
  • Gestion du programme opératoire (données de planification)
  • Traçabilité des dispositifs médicaux implantables
05

Facturation

Facturation et remboursements

La facturation des actes et la télétransmission vers l'Assurance Maladie (flux SESAM-Vitale, RSF) impliquent le traitement de données de santé à des fins administratives. Ces flux doivent être encadrés et documentés dans le registre.

  • Télétransmission SESAM-Vitale et flux AMO/AMC
  • Résumés de Sortie Standardisés (RSS/RSF) vers l'ATIH
  • Gestion des impayés et du recouvrement
  • Conservation des données de facturation : 10 ans
06

Ressources humaines

Gestion RH : salariés, praticiens, stagiaires

L'établissement est aussi employeur. La gestion des ressources humaines — paie, dossiers du personnel, absences, formations, praticiens libéraux, stagiaires — génère ses propres traitements à documenter dans le registre.

  • Gestion de la paie et des déclarations sociales
  • Dossiers individuels du personnel soignant et administratif
  • Contrats et conventions avec les praticiens libéraux
  • Gestion des stagiaires et des intérimaires
  • Contrôles d'accès et badges nominatifs
07

Sous-traitants

Sous-traitants et prestataires externes

Chaque prestataire qui accède aux données de l'établissement ou les traite pour son compte doit faire l'objet d'un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD. Cette obligation couvre une large palette de prestataires dans un établissement de santé.

  • Éditeur du DPI et prestataires de maintenance informatique
  • Hébergeur certifié HDS (cloud, serveurs)
  • Laboratoires d'analyses médicales externes
  • Sociétés de stérilisation et prestataires biomédicaux
Obligatoire — Article 28 du RGPD
08

Information des patients

Information des patients et gestion du consentement

Chaque patient doit être informé des traitements de données le concernant lors de son admission. Les formulaires de consentement, les notices d'information et les modalités d'exercice des droits doivent être formalisés et actualisés.

  • Notice d'information remise à l'admission (art. 13 RGPD)
  • Formulaires de consentement spécifiques (imagerie, recherche…)
  • Procédure interne de gestion des droits des patients
  • Politique de confidentialité du site internet
Obligatoire — Articles 13 et 14 du RGPD

Obligation 3 — Analyse d'impact

L'AIPD : quasi-systématique en établissement de santé

Dans un établissement de santé, la quasi-totalité des traitements principaux remplissent au moins deux critères déclencheurs de l'AIPD définis par les guidelines de la CNIL (traitement à grande échelle de données de santé, personnes vulnérables, suivi systématique, données biométriques…). L'AIPD n'est pas une option — c'est une obligation structurelle pour ces acteurs.

!

Traitements déclenchants — Établissements de santé

Quand l'AIPD est obligatoire

Les guidelines de la CNIL retiennent 9 critères. Lorsqu'un traitement remplit au moins 2 de ces critères, l'AIPD est obligatoire. Dans un établissement de santé, les traitements ci-dessous les cumulent quasi-systématiquement — notamment le traitement à grande échelle de données de santé, la présence de personnes vulnérables et le suivi systématique des patients.

DPI à grande échelle Le dossier patient informatisé couvre l'intégralité des données médicales de milliers de patients — traitement à grande échelle de données sensibles.
Imagerie médicale Les données d'imagerie constituent des données biométriques au sens du RGPD — un critère déclencheur à lui seul, combiné à la grande échelle.
Surveillance et monitoring La surveillance continue des patients (monitoring, télésuivi post-opératoire) constitue un suivi systématique à grande échelle de personnes vulnérables.
Partage avec des tiers Transmission de données aux assureurs, mutuelles, médecins référents ou à d'autres établissements — croisement de données, destinataires multiples.
Dossier Médical Partagé (DMP) L'alimentation et la consultation du DMP impliquent un accès à des données de santé historiques et un partage avec de multiples professionnels.
Recherche médicale Toute recherche médicale ou épidémiologique impliquant des données patients requiert une AIPD et, selon les cas, une autorisation CNIL spécifique.

Obligation 4 — Sécurité des données

Sécuriser les données de santé au quotidien

La sécurité des données en établissement de santé ne se limite pas aux outils techniques. Elle exige une gestion rigoureuse des habilitations par rôle, la traçabilité des accès au DPI imposée par le Code de la santé publique, des outils hébergés dans des environnements certifiés HDS, et une sensibilisation régulière de l'ensemble du personnel soignant et administratif.

01

Habilitations par rôle

Gérer les droits d'accès selon les fonctions

Chaque catégorie de personnel accède uniquement aux données nécessaires à l'exercice de ses fonctions. Cette granularité est obligatoire dans un établissement où coexistent des profils très différents.

  • Médecins : accès complet au DPI des patients dont ils ont la charge
  • Infirmiers et aides-soignants : accès aux prescriptions et transmissions ciblées
  • Secrétaires médicales : accès administratif, sans accès aux données médicales
  • Direction : accès aux données agrégées, non nominatives sauf nécessité
  • Revue régulière des habilitations (départs, changements de poste)
02

Traçabilité DPI

Traçabilité des accès au dossier patient

L'article L. 1110-4 du Code de la santé publique impose que chaque accès au dossier patient soit tracé. Cette traçabilité n'est pas une bonne pratique — c'est une obligation légale directement opposable en cas de plainte ou de contrôle.

  • Journal d'accès horodaté (qui, quand, quel dossier)
  • Durée de conservation des logs conforme à la réglementation
  • Alertes en cas d'accès anormaux ou non justifiés
  • Procédure de signalement interne des accès suspects
Obligatoire — Article L. 1110-4 du Code de la santé publique
03

Outils HDS

Des outils certifiés pour chaque usage critique

Tout outil qui héberge ou traite des données de santé doit être certifié Hébergeur de Données de Santé (HDS) en vertu de l'article L. 1111-8 du Code de la santé publique. Cette obligation couvre l'ensemble de la chaîne numérique de l'établissement.

  • DPI (Dossier Patient Informatisé) : hébergement HDS obligatoire
  • PACS d'imagerie médicale : hébergement HDS obligatoire
  • Messagerie sécurisée de santé (MSSanté ou équivalent certifié)
  • Interdiction des outils non certifiés (Drive grand public, messageries personnelles)
  • Documentation de l'architecture technique et des flux de données
Obligatoire — Article L. 1111-8 du Code de la santé publique
04

Sensibilisation

Former l'ensemble du personnel soignant et administratif

La faille humaine est la première cause de violation de données en établissement de santé. La sensibilisation doit couvrir l'ensemble des profils : soignants, administratifs, direction, mais aussi les prestataires et stagiaires qui accèdent aux locaux ou aux systèmes.

  • Sensibilisation initiale à la prise de poste ou de fonction
  • Charte informatique signée par chaque collaborateur
  • Procédure claire de signalement des incidents et violations de données
  • Bonnes pratiques : mots de passe, verrouillage des postes, messagerie
  • Rappels réguliers et mises à jour en cas d'évolution réglementaire

Obligation 5 — Sous-traitants & partenaires

Encadrer chaque partenaire qui touche à vos données

Un établissement de santé travaille avec un écosystème étendu de prestataires et partenaires qui accèdent, traitent ou hébergent des données de santé. Chacun doit faire l'objet d'un contrat de sous-traitance conforme à l'article 28 du RGPD, avec vérification de la certification HDS lorsque des données de santé sont en jeu.

01

Hébergeur HDS

Hébergeur de données de santé (certification HDS obligatoire)

Tout prestataire qui héberge des données de santé pour le compte de l'établissement doit être titulaire de la certification HDS délivrée par un organisme accrédité. Cette vérification doit être documentée et mise à jour régulièrement.

  • Vérification de la certification HDS (site ANS ou certificat fourni)
  • Contrat de sous-traitance couvrant les clauses art. 28 RGPD
  • Périmètre de la certification vérifié (hébergement infrastructure + applicatif)
Obligatoire — Art. L. 1111-8 CSP
02

Maintenance

Prestataires de maintenance (DPI, équipements médicaux connectés)

Les techniciens de maintenance du DPI, les prestataires biomédicaux et les sociétés qui interviennent sur les équipements médicaux connectés peuvent accéder à des données de santé lors de leurs interventions. Cet accès doit être encadré contractuellement et tracé.

  • DPA signé avant tout accès aux systèmes contenant des données de santé
  • Traçabilité des interventions (date, périmètre, technicien intervenant)
  • Accès restreint au strict nécessaire pour l'intervention
Obligatoire — Article 28 du RGPD
03

Laboratoires

Laboratoires d'analyses médicales

Les échanges avec les laboratoires d'analyses (résultats biologiques, prescriptions) constituent des transferts de données de santé. Lorsque le laboratoire est extérieur à l'établissement, la relation doit être formalisée.

  • Convention ou DPA selon la nature du partenariat (co-RT ou sous-traitant)
  • Transmission des résultats via des canaux sécurisés (MSSanté, messagerie certifiée)
  • Durée de conservation des résultats biologiques définie
04

Télémédecine

Sociétés de télémédecine

Les plateformes de téléconsultation ou de télésuivi utilisées par l'établissement (ou ses praticiens) pour des actes liés à des patients hébergés traitent des données de santé. Leur certification HDS et leur conformité RGPD doivent être vérifiées avant tout déploiement.

  • Vérification de la certification HDS de la plateforme
  • Contrat de sous-traitance ou convention de responsabilité conjointe
  • Information des patients sur l'utilisation de la plateforme
05

Assurances & mutuelles

Assurances et mutuelles

La transmission de données à des fins de remboursement (AMC, assurances complémentaires) ou dans le cadre de prises en charge spécifiques doit être encadrée. Ces transmissions ne peuvent s'opérer que sur base légale valide et dans les limites strictement nécessaires.

  • Transmission limitée aux données strictement nécessaires au remboursement
  • Clauses contractuelles de protection des données dans les conventions
  • Information des patients sur les destinataires de leurs données
Obligatoire — Articles 26 et 28 du RGPD selon le cas

Obligation 6 — Rôle du DPO en établissement

Le DPO en établissement de santé : rôle et implications pratiques

Au-delà de l'obligation de désignation, le DPO joue un rôle structurant dans la vie quotidienne de l'établissement. Sa déclaration à la CNIL, son positionnement et ses missions doivent être formalisés et compris de tous les services.

01

Déclaration CNIL

Déclarer le DPO auprès de la CNIL

La désignation du DPO doit faire l'objet d'une déclaration formelle auprès de la CNIL via le téléservice dédié. Les coordonnées du DPO doivent être publiées sur le site de l'établissement et communiquées aux patients.

  • Déclaration en ligne sur le portail de la CNIL (espace professionnel)
  • Mise à jour obligatoire en cas de changement de DPO
  • Coordonnées publiées sur le site internet de l'établissement
  • Mention dans la notice d'information remise aux patients
02

Missions quotidiennes

Missions du DPO au sein de l'établissement

En établissement de santé, les missions du DPO sont denses et continues. Elles couvrent l'ensemble du cycle de vie des données, de la conception des nouveaux projets au traitement des demandes des patients.

  • Tenue et mise à jour du registre des activités de traitement
  • Réalisation et mise à jour des AIPD
  • Traitement des demandes d'exercice des droits (accès, rectification, suppression)
  • Gestion des violations de données (notification CNIL sous 72 h si nécessaire)
  • Sensibilisation et formation du personnel
  • Revue des contrats de sous-traitance et des partenariats
03

DPO externalisé vs interne

DPO externalisé ou DPO interne : les bons critères

Le RGPD autorise explicitement le recours à un DPO externalisé via contrat de service. Cette option est souvent la plus adaptée pour les établissements qui ne disposent pas en interne des compétences juridiques et techniques requises.

  • DPO externalisé : expertise immédiate, indépendance garantie, veille réglementaire continue
  • DPO interne : disponibilité sur site, connaissance des process métier, mais risque de conflit d'intérêts si mal positionné
  • Dans tous les cas : acte formel de désignation, fiche de mission, ressources dédiées
  • Interlocuteur unique identifié pour les services, la direction et la CNIL

— Passer à l'action —

Votre établissement est-il en conformité ?

DPO obligatoire, registre complet, AIPD, sécurité HDS : le cabinet RGPD Santé accompagne les établissements de santé privés de A à Z pour mettre en place une conformité solide, documentée et durable.

Découvrir nos prestations → Prendre rendez-vous