contact@rgpd-sante.com | Lu–Ve : 9h–18h
Accueil Prestations Information des personnes

— Articles 13 & 14 du RGPD —

Informer les personnes concernées :
une obligation permanente

Chaque fois que vous collectez ou utilisez des données personnelles, vous devez en informer les personnes concernées. Cette obligation s'applique à tous — patients, professionnels membres, salariés, visiteurs du site. Et en santé, elle prend des formes multiples.

Obligatoire Art. 13 & 14 RGPD Patients, salariés, membres Multiple supports

L'obligation légale

Qui doit être informé — et à quel moment

Les articles 13 et 14 du RGPD imposent d'informer toute personne dont vous traitez les données, au moment de la collecte (Art. 13) ou dans un délai raisonnable si les données n'ont pas été collectées directement auprès d'elle (Art. 14). L'obligation est préalable et continue : elle ne se remplit pas une fois pour toutes.

Art. 13 RGPD

Données collectées directement auprès de la personne

Lorsque la personne fournit elle-même ses données (formulaire, accueil, prise en charge…), l'information doit être délivrée au moment de la collecte. Il ne peut pas y avoir de délai.

  • Patient accueilli en consultation
  • Salarié lors de son embauche
  • Visiteur remplissant un formulaire de contact
  • Professionnel de santé adhérant à votre structure
Information au moment de la collecte — Art. 13 RGPD

Art. 14 RGPD

Données obtenues indirectement

Lorsque les données ne viennent pas directement de la personne (transmission entre professionnels, achat de fichier, signalement…), l'information doit être délivrée dans un délai raisonnable — au plus tard un mois.

  • Données transmises par un professionnel partenaire
  • Dossier patient reçu d'un autre établissement
  • Coordonnées de proches ou de tiers
Délai max. 1 mois — Art. 14 RGPD

Conséquences

Que risque-t-on en cas de manquement à l'information ?

L'absence d'information — ou une information incomplète — constitue une violation directe du RGPD, sanctionnable lors d'un contrôle CNIL ou d'une plainte d'une personne concernée.

  • Amende jusqu'à 20 M€ ou 4 % du CA mondial
  • Injonction de mise en conformité
  • Exercice de droits facilité pour la personne non informée
Sanction directe — Art. 83.5 RGPD

Contenu obligatoire

Les informations que vous devez obligatoirement communiquer

Quel que soit le support retenu, l'information des personnes doit comporter un ensemble de mentions définies par les articles 13 et 14 du RGPD. Une information incomplète ne vaut pas information.

01

Identité et coordonnées du responsable de traitement

La personne doit savoir qui traite ses données. Si un DPO a été désigné et déclaré à la CNIL, ses coordonnées sont également obligatoires.

02

Les finalités et la base légale du traitement

Pourquoi traitez-vous ses données ? Sur quelle base légale (consentement, obligation légale, mission d'intérêt public…) ? Les deux doivent être explicitement mentionnés.

03

Les destinataires des données

Qui reçoit les données ? Professionnels partenaires, hébergeurs, organismes administratifs, sous-traitants… Tous doivent être identifiés, au moins par catégorie.

04

Les durées de conservation

Combien de temps les données seront-elles conservées ? Si la durée exacte n'est pas définie, les critères retenus pour la déterminer doivent être précisés.

05

Les droits des personnes

La personne doit être informée qu'elle peut accéder à ses données, les rectifier, demander leur effacement ou leur portabilité, s'opposer à leur traitement, et déposer une plainte auprès de la CNIL.

06

Les transferts hors UE (si applicable)

Si des données sont transférées vers un pays hors de l'Union européenne, la personne doit en être informée et les garanties mises en place doivent être mentionnées.

En santé, l'information doit également mentionner le droit d'accès au dossier médical (Art. L. 1111-7 CSP) et, le cas échéant, les modalités spécifiques de consentement prévues par la réglementation sanitaire. L'articulation entre le droit général RGPD et le droit sectoriel de la santé requiert une expertise spécifique.

Les supports adaptés

Les différents supports selon votre public

En santé, les publics concernés sont multiples — et chacun justifie un support spécifique. Une même notice générique ne suffit pas à couvrir l'ensemble des obligations. Les supports doivent être accessibles, lisibles et adaptés au contexte de leur remise.

Patients

Affiche d'information ou notice patient

Remise au moment de la prise en charge ou affichée en salle d'attente. Doit être rédigée en langage accessible, sans jargon juridique.

Visiteurs du site web

Politique de confidentialité & mentions légales

Page dédiée accessible depuis toutes les pages du site. Couvre les cookies, les formulaires de contact, les abonnements newsletter.

Salariés & intervenants

Notice d'information RH

Remise lors de l'embauche ou de la signature du contrat. Couvre la gestion du personnel, la vidéosurveillance, les outils informatiques professionnels.

Professionnels membres

Notice d'information adhérents

Pour les CPTS, MSP et réseaux : information des professionnels de santé membres sur la gestion de leur adhésion et de leurs données professionnelles.

Partenaires & prestataires

Clause d'information dans les contrats

Toute convention de partenariat ou contrat de sous-traitance doit intégrer les mentions RGPD obligatoires pour les personnes dont les données transitent dans la relation.

Communications électroniques

Mentions dans les emails & formulaires en ligne

Chaque formulaire en ligne et chaque email de collecte doit comporter un lien vers la politique de confidentialité et la base légale du traitement associé.

Pour une information vraiment conforme

Pourquoi rédiger ces supports sans expertise est risqué

Une notice d'information copiée d'un modèle générique ou rédigée sans analyse préalable de vos traitements n'est pas une information conforme. Elle peut même aggraver votre situation juridique en mentionnant des bases légales incorrectes ou des durées de conservation erronées.

Ce qu'une information conforme requiert

Produire des supports d'information valides suppose de connaître précisément vos traitements, leurs bases légales et leurs destinataires — ce qui renvoie directement à votre registre. Un DPO construit les deux en cohérence.

Partir du registre des activités de traitement — On ne peut pas informer correctement sans savoir ce qu'on traite. Chaque support d'information doit refléter les finalités, bases légales et durées déjà documentées dans le registre. Un DPO construit les deux en cohérence, pas en silos.
Choisir la bonne base légale pour chaque traitement — Mentionner "votre consentement" comme base légale pour des données de santé traitées dans le cadre d'un soin est juridiquement incorrect — la base légale est l'Art. 9(2)(h) RGPD. Une erreur de base légale dans la notice invalide l'information et expose à sanction.
Adapter le niveau de langue à chaque public — Le RGPD exige une information "concise, transparente, compréhensible et aisément accessible" (Art. 12 RGPD). Un document trop juridique adressé à des patients ne remplit pas cette exigence. Un DPO sait adapter le fond et la forme sans sacrifier la précision.
Mettre à jour les supports à chaque évolution — Un nouveau prestataire, un nouveau logiciel, une nouvelle finalité : chaque changement dans vos traitements entraîne une mise à jour des supports d'information. Sans suivi, vos notices deviennent rapidement obsolètes — et constituent une violation du RGPD.

— Passez à l'action —

Des supports d'information clairs, complets et à jour

RGPD Santé rédige l'ensemble de vos supports d'information — notices patients, politique de confidentialité, mentions RH — en cohérence avec votre registre et vos obligations sectorielles.

Prendre rendez-vous → Voir nos prestations