MedXpert
Accueil
Blog MedXpert/·6 min de lecture

RGPD et HDS au cabinet : la checklist du praticien libéral

Conformité RGPD et hébergement HDS : ce que vous devez vérifier dans votre logiciel pour être en règle et protéger les données de vos patients.

Le praticien libéral est responsable de traitementau sens du RGPD pour les données de ses patients. Votre logiciel cabinet est sous-traitant. Cette répartition implique des obligations précises, et beaucoup de praticiens découvrent qu'ils ne sont pas couverts… le jour d'un incident.

Voici la checklist pour faire le point en 30 minutes.

1. Hébergement HDS : la base

L'HDS (Hébergeur de Données de Santé) est une certification obligatoire en France pour tout outil qui stocke ou traite des données de santé à caractère personnel.

  • Demandez le numéro de certification HDS de votre éditeur (ou de son hébergeur).
  • Vérifiez la localisation géographique de l'hébergement. En France ou en UE, idéalement chez un acteur souverain (OVHcloud, Outscale, Scaleway, etc.).
  • Méfiez-vous de la confusion ISO 27001 ≠ HDS. ISO 27001 est utile mais ne remplace pas HDS pour la santé.

2. Le contrat de sous-traitance (article 28 RGPD)

Avec votre éditeur, vous devez signer un contrat de sous-traitance qui précise :

  • L'objet, la durée, la nature et la finalité du traitement
  • Les catégories de données traitées (santé, identifiants, paiement…)
  • Les obligations de confidentialité, de sécurité, de notification
  • Les sous-sous-traitants éventuels (hébergeur, services tiers)
  • Les modalités de fin de contrat (restitution / suppression des données)

Demandez ce contrat avant de signer. S'il n'y en a pas, vous êtes hors-la-loi.

3. Le registre des traitements

En tant que responsable de traitement, vous devez tenir un registre des traitements. Pour un cabinet libéral, il contient au minimum :

  • Le traitement « Gestion du cabinet et du suivi des patients »
  • La base juridique (intérêt vital, contrat de soins, consentement selon le cas)
  • Les catégories de personnes concernées (patients, professionnels)
  • Les catégories de données (identité, contact, santé, paiement)
  • Les destinataires (vous, votre éditeur, votre comptable, l'Assurance Maladie via FSE)
  • La durée de conservation
  • Les mesures de sécurité (HDS, TLS, sessions sécurisées, MFA…)

La CNIL fournit un modèle simplifié pour les professionnels de santé. Vous pouvez l'adapter.

4. Les droits des patients

Vos patients ont le droit :

  • D'accéder à leurs données (article 15)
  • De les rectifier (article 16)
  • De les faire effacer dans certains cas (article 17)
  • De recevoir une copie portable (article 20)
  • De s'opposer au traitement (article 21)

Concrètement : votre logiciel doit permettre l'export et la suppression d'un dossier patient sur demande. Vérifiez en démo.

5. La durée de conservation

Pour les données de santé, les recommandations CNIL et les usages professionnels imposent généralement :

  • 20 ans après la dernière consultation pour le dossier médical (santé publique)
  • Au-delà, archivage anonymisé ou suppression
  • 10 ans pour les pièces de facturation (obligation fiscale et comptable)

Votre logiciel doit pouvoir archiver sans supprimer, et permettre la suppression au terme.

6. La sécurité technique : les essentiels

  • Chiffrement TLS de toutes les connexions (HTTPS partout, pas de HTTP en clair).
  • Mots de passe forts et hachés (bcrypt / argon2), idéalement MFA.
  • Sessions sécurisées (cookies HttpOnly, expirations, déconnexion automatique).
  • Traçabilité des accès (qui a consulté quel dossier et quand).
  • Sauvegardes quotidiennes chiffrées et géo-redondées.
  • Plan de reprise d'activité documenté.

7. La notification des violations

En cas de fuite ou de violation de données, vous (responsable) avez 72h pour notifier la CNIL et, dans certains cas, informer les patients concernés. Votre éditeur a une obligation d'information à votre égard sans délai.

Vérifiez dans le contrat que l'éditeur s'engage à vous notifier en moins de 24h.

8. La sortie : récupérer ses données

Si vous changez de logiciel un jour, vous devez pouvoir récupérer vos données dans un format réutilisable (JSON, CSV, ou format propriétaire avec convertisseur).

Verrou commercial = drapeau rouge. Une bonne pratique : tester l'export avant de signer.

La checklist en 10 points

  1. Hébergement HDS certifié (numéro fourni)
  2. Hébergement en France ou UE
  3. Contrat de sous-traitance article 28 RGPD signé
  4. Registre des traitements à jour côté praticien
  5. Droits patients implémentés (accès, suppression, portabilité)
  6. Durée de conservation paramétrable (20 ans / 10 ans)
  7. Chiffrement TLS partout, MFA disponible
  8. Traçabilité des accès activée
  9. Notification de violation sous 24h prévue au contrat
  10. Export des données possible et testé

MedXpert et la conformité

Chez MedXpert, nous appliquons cette checklist à nous-mêmes : hébergement HDS en France, conforme RGPD, contrat de sous-traitance prêt à signer, droits patients implémentés, MFA disponible, traçabilité complète, export des données possible à tout moment. Vous trouverez tous les éléments dans nos mentions légales et notre politique de confidentialité — et nous répondons à toute question en moins de 24h.

Par L’équipe MedXpert
Essayer 14 jours gratuitement

Prêt à essayer MedXpert dans votre cabinet ?

14 jours d'essai gratuit, sans carte bancaire. Activation en moins de 2 minutes.

Démarrer mon essai gratuit
Essayer 14 jours gratuitement