RGPD dans les cliniques : guide protection des données

·

Si vous gérez une clinique, un centre de santé, un cabinet dentaire, un cabinet de psychologie ou tout autre cabinet médical privé, les données que vous traitez chaque jour — dossiers médicaux, diagnostics, examens d'imagerie, médicaments — sont, en termes juridiques, des données de catégorie particulière. Le Règlement général sur la protection des données (RGPD) les définit à son article 9 comme méritant le niveau de protection le plus élevé possible, et la législation espagnole les renforce par la loi organique 3/2018 (LOPDGDD) et la loi 41/2002 sur l'autonomie du patient. Le résultat pratique : le secteur de la santé est, avec le secteur financier, celui qui cumule les sanctions les plus élevées de l'Agence espagnole de protection des données (AEPD). Connaître les règles n'est pas facultatif ; c'est une condition d'exercice professionnel.

Qu'est-ce qu'une donnée de santé et pourquoi mérite-t-elle une protection renforcée ?

Le RGPD définit les données relatives à la santé comme toute information personnelle révélant l'état physique ou mental passé, présent ou futur d'une personne. Cette définition est intentionnellement large. Elle ne se limite pas au diagnostic médical : elle englobe le simple rendez-vous chez un spécialiste (qui laisse déjà entrevoir un état de santé), les données provenant d'objets connectés et d'applications de bien-être, les résultats d'analyses ou les antécédents pharmacologiques.

Le fondement de la protection renforcée est double. D'un côté, la sensibilité sociale particulière : connaître l'état de santé d'une personne peut affecter son emploi, son assurance-vie ou ses relations. De l'autre, le déséquilibre inhérent entre le professionnel de santé et le patient, qui se trouve dans une situation de vulnérabilité lorsqu'il consulte. La réglementation entend que ce contexte de confiance se traduise également par des garanties juridiques solides.

Cadre réglementaire applicable aux cliniques en Espagne (2025-2026)

Les cliniques privées en Espagne ne sont pas régies par une seule norme, mais par un bloc réglementaire superposé qu'il convient de comprendre dans son ensemble :

Réglementation Champ d'application Point clé pour les cliniques
RGPD (UE) 2016/679 Toute l'UE Cadre général ; interdit le traitement des données de santé sauf exceptions limitativement énumérées (art. 9.2)
LOPDGDD (LO 3/2018) Espagne Développe le RGPD ; définit le DPD obligatoire pour les centres de santé ; élargit les droits des personnes concernées
Loi 41/2002 Espagne Dossier médical, consentement éclairé, accès des patients à leurs données
Loi 14/1986 sur la santé générale Espagne Obligation de secret professionnel et de confidentialité
Résolutions de l'AEPD Espagne Critères d'interprétation et doctrine sanctionnatrice (publiées sur le site de l'AEPD)
ENS (RD 311/2022) — si applicable Espagne Applicable si la clinique fournit des services à l'administration publique ou est connectée au système national de santé

L'essentiel est de comprendre que le RGPD ne remplace pas la loi 41/2002 en ce qui concerne le dossier médical : les deux coexistent et se complètent. Un patient peut exercer son droit d'accès au titre du RGPD tout en invoquant simultanément son droit d'accès au dossier médical. Le centre doit gérer les deux voies.

Les six bases légales de l'article 9.2 les plus utilisées par les cliniques

L'article 9.1 du RGPD interdit le traitement des données de santé. L'article 9.2 prévoit des exceptions limitativement énumérées. Les cliniques privées s'appuient généralement sur les suivantes :

Une erreur fréquente dans les cliniques privées consiste à demander le consentement comme base légale pour le traitement de soins principal, alors que la base correcte est la lettre h). Cela a des conséquences : si le patient « retire » ce consentement mal articulé, la clinique pourrait se retrouver dans l'absurde situation de ne plus pouvoir continuer à dispenser des soins. Le consentement doit être réservé aux traitements accessoires : utilisation d'images à des fins pédagogiques, envoi de newsletters, participation à des études.

Dossier médical et protection des données : les points de friction les plus fréquents

Le dossier médical est le cœur du traitement des données dans une clinique. La loi 41/2002 dispose qu'il doit être conservé pendant au moins cinq ans à compter de la date de sortie de chaque épisode de soins, bien que les communautés autonomes puissent prolonger ce délai (et beaucoup le font jusqu'à dix ou quinze ans). Certaines cliniques, en application mal comprise du principe de minimisation du RGPD, détruisent les dossiers avant l'expiration des délais légaux : c'est une erreur qui peut engager la responsabilité civile et disciplinaire, en plus de violer la législation sur l'autonomie du patient.

Les points de friction les plus courants que nous rencontrons dans les projets de mise en conformité RGPD pour le secteur sanitaire que nous accompagnons chez Summum Consultoria sont :

Le Délégué à la protection des données (DPD) dans les cliniques : quand est-il obligatoire ?

L'article 37 du RGPD dispose que la désignation d'un Délégué à la protection des données (DPD) est obligatoire lorsque le traitement à grande échelle de catégories particulières de données constitue l'activité principale du responsable du traitement. La question est de savoir si une clinique privée de taille moyenne — par exemple, un cabinet dentaire avec quatre fauteuils ou un cabinet de kinésithérapie avec trois professionnels — entre dans cette catégorie.

L'AEPD, dans son guide sur le DPD, indique que le traitement des données de santé des patients en tant qu'activité principale du responsable (c'est-à-dire lorsque sans ce traitement l'activité n'existe pas) implique l'obligation de désigner un DPD, même pour les petites organisations. La LOPDGDD, dans son article 34, précise et élargit cette liste pour l'Espagne : les centres de santé y sont expressément mentionnés.

Ce que beaucoup de cliniques ignorent, c'est que le DPD peut être externe. Il n'est pas nécessaire de recruter une personne à temps plein ; cela peut être un professionnel ou une société spécialisée qui fournit la fonction de DPD en mode externalisé, à condition de respecter les exigences d'indépendance et de qualification de l'article 38 du RGPD. C'est la formule la plus courante dans les cliniques privées de taille petite à moyenne en Espagne.

Notification des violations de données dans un délai de 72 heures

L'article 33 du RGPD dispose que, lorsqu'une violation de la sécurité des données personnelles se produit, le responsable du traitement doit en notifier l'AEPD dans un délai maximum de 72 heures à compter du moment où il en a pris connaissance, sauf s'il est peu probable qu'elle présente un risque pour les droits et libertés des personnes concernées.

Dans le secteur de la santé, pratiquement toute violation affectant des données du dossier médical dépasse ce seuil de risque, de sorte que la notification est presque toujours obligatoire. De plus, si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées (par exemple, une divulgation massive de diagnostics ou de données relatives au VIH), le responsable doit également en informer directement les patients concernés.

La procédure de notification à l'AEPD s'effectue via l'outil GESTIONNAIRE DE VIOLATIONS disponible sur le siège électronique de l'AEPD. La notification initiale de 72 heures ne nécessite pas de disposer de toutes les informations ; l'article 33.4 prévoit qu'elle peut être complétée par étapes. Ce qui n'est pas acceptable, c'est de ne pas notifier parce que « l'on ne sait pas encore exactement ce qui s'est passé ».

Sanctions : ce que l'AEPD a sanctionné dans le secteur de la santé

Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu). En pratique, les amendes infligées aux cliniques privées en Espagne se sont situées dans des fourchettes plus modestes, mais économiquement significatives pour des organisations de taille moyenne :

Au-delà de la sanction financière, les résolutions de l'AEPD sont publiques et apparaissent dans son moteur de recherche de résolutions. Le préjudice réputationnel pour une clinique qui apparaît dans ce moteur de recherche peut largement dépasser le montant de la sanction elle-même.

Le sous-traitant : le maillon le plus souvent négligé

Toute clinique travaille avec des prestataires externes qui accèdent aux données des patients : le fournisseur du logiciel de gestion clinique (SIH, DME), la société externe de radiologie ou de laboratoire, le cabinet comptable qui gère la facturation, la société de maintenance informatique qui dispose d'un accès distant aux serveurs. Chacun d'eux est, en termes du RGPD, un sous-traitant.

L'article 28 du RGPD exige que la relation avec chaque sous-traitant soit formalisée par un contrat de sous-traitance (DPA) précisant notamment : l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, les obligations et les droits du responsable du traitement. En l'absence de ce contrat, tant le responsable que le sous-traitant commettent une infraction.

La pratique habituelle — tolérer que le fournisseur de logiciels impose ses propres conditions sans les examiner — place la clinique dans une position de risque. Chez Summum Consultoria, nous révisons et négocions ces contrats dans le cadre du processus de mise en conformité RGPD sanitaire, car les clauses standard des grands fournisseurs de logiciels cliniques ne satisfont pas toujours à toutes les exigences du RGPD européen.

Liste de vérification de base pour une clinique privée

Sans prétendre à l'exhaustivité — chaque clinique a sa propre situation —, voici les éléments minimaux qu'un centre de santé privé doit avoir en ordre :

Questions fréquentes

Un cabinet de trois dentistes a-t-il besoin d'un DPD ?

Oui, très probablement. La LOPDGDD, dans son article 34, dispose expressément que les centres de santé sont tenus de désigner un DPD, sans fixer de seuil minimal de taille. L'AEPD a confirmé cette interprétation dans plusieurs résolutions et dans son guide pratique sur le DPD. Le DPD peut être externe, ce qui réduit considérablement le coût pour les petites cliniques.

Puis-je envoyer des résultats cliniques par WhatsApp si le patient me le demande ?

Avec prudence. Le fait que le patient le demande n'exempte pas le responsable du traitement de garantir un niveau de sécurité adéquat. WhatsApp utilise un chiffrement de bout en bout, ce qui offre une certaine protection, mais les messages restent stockés sur le téléphone du professionnel et du patient sans contrôle sur les sauvegardes, les accès de tiers ou la perte de l'appareil. La recommandation de l'AEPD est d'utiliser des canaux conçus pour l'environnement sanitaire (portails patients, messagerie sécurisée). Si WhatsApp est utilisé à titre exceptionnel, la demande expresse du patient et les risques assumés doivent être documentés.

Combien de temps dois-je conserver le dossier médical ?

La loi 41/2002 fixe un minimum de cinq ans à compter de la date de sortie de chaque épisode de soins. Toutefois, les communautés autonomes peuvent étendre ce délai par leur propre réglementation : la Catalogne, par exemple, exige quinze ans pour la documentation clinique la plus pertinente (en vertu de la loi 16/2010 modifiant la loi 21/2000), et dans d'autres communautés le délai peut varier selon la spécialité. La réglementation régionale applicable doit toujours être vérifiée. En tout état de cause, détruire les dossiers avant l'expiration du délai applicable peut engager la responsabilité civile envers le patient et la responsabilité disciplinaire du professionnel.

Quelle est la différence entre le consentement sanitaire et le consentement RGPD ?

Ce sont deux notions juridiques distinctes relevant de cadres réglementaires différents. Le consentement sanitaire (régi par la loi 41/2002) est celui que le patient donne pour qu'une intervention médicale lui soit pratiquée : il doit être éclairé, libre, spécifique et documenté. Le consentement RGPD (article 7 du règlement) est la base légale qui légitime un traitement déterminé de données personnelles. Pour le traitement de soins ordinaire, la base légale n'est généralement pas le consentement RGPD, mais la lettre h) de l'article 9.2 (soins de santé). Les mélanger dans un même document sans les distinguer est une erreur fréquente qui crée de la confusion quant à ce que le patient autorise exactement et peut invalider les deux types de consentement.