Réglementation· 10 min de lecture

HDS et RGPD en santé libérale : ce que chaque praticien doit savoir

Hébergement des données de santé, obligations RGPD, sanctions encourues : le cadre réglementaire applicable aux praticiens libéraux qui utilisent des outils numériques pour gérer leur cabinet.

Depuis l'entrée en vigueur du RGPD en 2018 et le renforcement du cadre HDS (Hébergeur de Données de Santé) en France, les praticiens libéraux qui utilisent des outils numériques pour gérer leur cabinet sont soumis à des obligations précises. Pourtant, une large partie d'entre eux continuent d'utiliser des tableurs, des logiciels non certifiés ou des applications grand public pour stocker des données de santé - sans savoir qu'ils s'exposent à des risques juridiques sérieux.

Cet article fait le point sur ce que dit la loi, qui est concerné, quelles sont les sanctions et comment se mettre en conformité simplement.

Qu'est-ce que la certification HDS ?

La certification HDS (Hébergeur de Données de Santé)est un cadre légal français, défini par l'article L.1111-8 du Code de la santé publique. Elle s'impose à toute personne physique ou morale qui héberge, pour le compte de professionnels de santé, des données de santé à caractère personnel.

Concrètement, si vous utilisez un logiciel de gestion de cabinet qui stocke les données de vos patients (nom, pathologie, notes de séance, ordonnances), le serveur sur lequel ces données sont hébergées doit être exploité par un hébergeur certifié HDS.

La certification est délivrée par un organisme accrédité par la COFRAC (Comité français d'accréditation) selon un référentiel défini par l'ANS (Agence du Numérique en Santé). Elle couvre à la fois l'infrastructure technique et les processus organisationnels de sécurité.

Qui est concerné parmi les praticiens libéraux ?

La réponse courte : tous les professionnels de santé qui utilisent un outil numérique pour stocker des données patients. Cela inclut :

  • Psychologues, psychothérapeutes, psychiatres en libéral
  • Ostéopathes, chiropracteurs
  • Kinésithérapeutes, ergothérapeutes
  • Orthophonistes, orthoptistes
  • Diététiciens, nutritionnistes
  • Médecins, infirmiers libéraux
  • Tout autre professionnel de santé réglementé

Un tableur Excel stocké sur Google Drive ou Dropbox n'est pas conforme: ces services n'ont pas de certification HDS française. Un logiciel de gestion sans certification HDS non plus.

Le RGPD : obligations spécifiques pour les données de santé

Les données de santé sont classées par le RGPD dans la catégorie des données sensibles (article 9), ce qui impose des obligations renforcées par rapport aux données personnelles ordinaires :

Base légale explicite

Le consentement du patient ou l'obligation légale doit être documenté.

Registre des traitements

Vous devez tenir un registre des traitements de données personnelles effectués.

Minimisation des données

Ne collecter que les données strictement nécessaires à la prise en charge.

Droit d'accès et de suppression

Vos patients ont le droit d'accéder à leurs données et d'en demander la suppression.

Notification des violations

Toute violation de données doit être notifiée à la CNIL dans les 72 heures.

DPA avec les sous-traitants

Votre logiciel doit signer un contrat de traitement de données (DPA) avec vous.

Quels risques en cas de non-conformité ?

La non-conformité expose le praticien à plusieurs niveaux de risque :

Amende CNIL

Jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial pour les infractions RGPD les plus graves. La CNIL a sanctionné plusieurs acteurs de santé ces dernières années.

Responsabilité professionnelle

En cas de violation de données patients (fuite, piratage), votre responsabilité civile et pénale peut être engagée, indépendamment des sanctions administratives.

Atteinte à la réputation

Une violation de données de santé peut entraîner une perte de confiance significative de la patientèle et des partenaires (médecins prescripteurs, structures de soins).

Comment se mettre en conformité simplement ?

La bonne nouvelle : se mettre en conformité ne requiert pas d'expertise juridique poussée. Les étapes concrètes pour un praticien libéral :

  1. 1

    Choisir un logiciel avec hébergement HDS certifié

    C'est la condition principale. Vérifiez que l'éditeur peut fournir un certificat HDS en cours de validité. Si ce n'est pas le cas, changez d'outil.

  2. 2

    Signer un DPA avec votre éditeur

    Un Data Processing Agreement (contrat de traitement de données) doit être signé avec tout sous-traitant qui traite des données personnelles pour votre compte. Les bons éditeurs le proposent automatiquement.

  3. 3

    Tenir un registre des traitements

    Un document simple listant les catégories de données collectées, leur finalité, leur durée de conservation et les sous-traitants impliqués. Des modèles gratuits existent sur le site de la CNIL.

  4. 4

    Informer vos patients

    Une mention d'information courte sur vos formulaires ou votre page de prise de rendez-vous suffit pour remplir l'obligation de transparence RGPD.

Questions fréquentes

Qu'est-ce que la certification HDS ?
HDS (Hébergeur de Données de Santé) est une certification française obligatoire pour toute organisation qui héberge des données de santé à caractère personnel pour le compte de professionnels de santé. Elle est délivrée par un organisme accrédité et garantit un niveau de sécurité technique et organisationnel élevé.
Un praticien libéral est-il concerné par le HDS ?
Oui. Dès lors qu'un praticien libéral utilise un logiciel ou un service numérique pour stocker des données de santé de ses patients, ce service doit être hébergé sur une infrastructure certifiée HDS. Cela concerne tous les logiciels de gestion de cabinet, les applications de prise de notes cliniques, les outils de facturation contenant des informations médicales.
Quelles sont les sanctions en cas de non-conformité HDS ?
Les sanctions peuvent être de deux ordres : administratives (amendes CNIL pouvant atteindre 4% du chiffre d'affaires mondial ou 20 millions d'euros pour les infractions RGPD) et civiles/pénales (mise en cause de la responsabilité professionnelle du praticien en cas de violation de données). La CNIL a déjà sanctionné des acteurs de santé.
Comment savoir si mon logiciel actuel est HDS certifié ?
Vous pouvez demander directement à votre éditeur de logiciel un certificat HDS en cours de validité ou consulter la liste des hébergeurs certifiés publiée par l'ANS (Agence du Numérique en Santé) sur esante.gouv.fr. L'absence de réponse claire ou la non-publication du certificat sont des signaux d'alerte.

Filleo : HDS certifié dès le premier abonnement

Passez à un logiciel conforme sans surcoût. Hébergement HDS inclus dans tous les plans, à partir de 15€ TTC/mois.