Audit RGPD pour cabinets, cliniques et acteurs de santé

Les 5 risques RGPD spécifiques santé

1. Hébergement non HDS. Les données de santé doivent être hébergées chez un prestataire certifié HDS. Un Drive standard ou un VPS non certifié est non conforme.
2. Secret médical et droits d'accès. Tout accès au dossier patient doit être tracé et limité au "besoin d'en connaître". Les contrôles CNIL portent souvent sur les habilitations.
3. Sous-traitants laboratoires, télétransmission, RDV en ligne. Chaque outil doit avoir un DPA HDS-compatible.
4. AIPD obligatoire. Le traitement de données de santé à grande échelle nécessite une analyse d'impact (AIPD), à actualiser régulièrement.
5. Notification de violation à l'ANS. En plus de la CNIL, certains incidents doivent être déclarés à l'Agence du numérique en santé.

Sanctions CNIL secteur santé (sélection)

Checklist conformité santé

• Hébergement HDS certifié pour toute donnée de santé.
• AIPD réalisée et tenue à jour.
• Habilitations strictes, traçabilité des accès, revue trimestrielle.
• DPO désigné, déclaré à la CNIL et impliqué dans les projets.
• Information patients claire (notice d'information), affichée et écrite.
• DPA signés avec laboratoires, plateformes RDV, télétransmission, télémédecine.
• Plan de réponse à incident incluant CNIL + ANS le cas échéant.
• Procédure de droits patients (accès, rectification, effacement avec exceptions).
• Formation annuelle obligatoire de tout personnel ayant accès au dossier patient.
• Chiffrement disque + sauvegardes + transit ; MFA pour accès distants.

Pour aller plus loin

• Calculateur d'amende RGPD CNIL
• Audit RGPD collectivités
• Audit RGPD TPE/PME