Si vous gérez une clinique, un centre de santé, un cabinet dentaire, un cabinet de psychologie ou tout autre cabinet médical privé, les données que vous traitez chaque jour — dossiers médicaux, diagnostics, examens d'imagerie, médicaments — sont, en termes juridiques, des données de catégorie particulière. Le Règlement général sur la protection des données (RGPD) les définit à son article 9 comme méritant le niveau de protection le plus élevé possible, et la législation espagnole les renforce par la loi organique 3/2018 (LOPDGDD) et la loi 41/2002 sur l'autonomie du patient. Le résultat pratique : le secteur de la santé est, avec le secteur financier, celui qui cumule les sanctions les plus élevées de l'Agence espagnole de protection des données (AEPD). Connaître les règles n'est pas facultatif ; c'est une condition d'exercice professionnel.
Qu'est-ce qu'une donnée de santé et pourquoi mérite-t-elle une protection renforcée ?
Le RGPD définit les données relatives à la santé comme toute information personnelle révélant l'état physique ou mental passé, présent ou futur d'une personne. Cette définition est intentionnellement large. Elle ne se limite pas au diagnostic médical : elle englobe le simple rendez-vous chez un spécialiste (qui laisse déjà entrevoir un état de santé), les données provenant d'objets connectés et d'applications de bien-être, les résultats d'analyses ou les antécédents pharmacologiques.
Le fondement de la protection renforcée est double. D'un côté, la sensibilité sociale particulière : connaître l'état de santé d'une personne peut affecter son emploi, son assurance-vie ou ses relations. De l'autre, le déséquilibre inhérent entre le professionnel de santé et le patient, qui se trouve dans une situation de vulnérabilité lorsqu'il consulte. La réglementation entend que ce contexte de confiance se traduise également par des garanties juridiques solides.
Cadre réglementaire applicable aux cliniques en Espagne (2025-2026)
Les cliniques privées en Espagne ne sont pas régies par une seule norme, mais par un bloc réglementaire superposé qu'il convient de comprendre dans son ensemble :
| Réglementation | Champ d'application | Point clé pour les cliniques |
|---|---|---|
| RGPD (UE) 2016/679 | Toute l'UE | Cadre général ; interdit le traitement des données de santé sauf exceptions limitativement énumérées (art. 9.2) |
| LOPDGDD (LO 3/2018) | Espagne | Développe le RGPD ; définit le DPD obligatoire pour les centres de santé ; élargit les droits des personnes concernées |
| Loi 41/2002 | Espagne | Dossier médical, consentement éclairé, accès des patients à leurs données |
| Loi 14/1986 sur la santé générale | Espagne | Obligation de secret professionnel et de confidentialité |
| Résolutions de l'AEPD | Espagne | Critères d'interprétation et doctrine sanctionnatrice (publiées sur le site de l'AEPD) |
| ENS (RD 311/2022) — si applicable | Espagne | Applicable si la clinique fournit des services à l'administration publique ou est connectée au système national de santé |
L'essentiel est de comprendre que le RGPD ne remplace pas la loi 41/2002 en ce qui concerne le dossier médical : les deux coexistent et se complètent. Un patient peut exercer son droit d'accès au titre du RGPD tout en invoquant simultanément son droit d'accès au dossier médical. Le centre doit gérer les deux voies.
Les six bases légales de l'article 9.2 les plus utilisées par les cliniques
L'article 9.1 du RGPD interdit le traitement des données de santé. L'article 9.2 prévoit des exceptions limitativement énumérées. Les cliniques privées s'appuient généralement sur les suivantes :
- a) Consentement explicite du patient : la voie la plus directe. Il doit être libre, spécifique, éclairé et non ambigu. Un consentement générique inséré dans les petits caractères du contrat n'est pas suffisant.
- h) Soins de santé et traitement médical : c'est la base principale pour le traitement de soins ordinaire. Elle permet de traiter les données sans demander un consentement répété à chaque fois, à condition qu'il existe une relation de soins et que le traitement soit effectué par un personnel soumis au secret professionnel.
- i) Intérêt public dans le domaine de la santé publique : pertinent pour les cliniques qui collaborent à des programmes de santé publique, de surveillance épidémiologique ou de contrôle des maladies transmissibles.
- j) Recherche scientifique ou statistique : applicable aux essais cliniques et aux études rétrospectives, toujours avec les garanties supplémentaires prévues (anonymisation, comités d'éthique, etc.).
Une erreur fréquente dans les cliniques privées consiste à demander le consentement comme base légale pour le traitement de soins principal, alors que la base correcte est la lettre h). Cela a des conséquences : si le patient « retire » ce consentement mal articulé, la clinique pourrait se retrouver dans l'absurde situation de ne plus pouvoir continuer à dispenser des soins. Le consentement doit être réservé aux traitements accessoires : utilisation d'images à des fins pédagogiques, envoi de newsletters, participation à des études.
Dossier médical et protection des données : les points de friction les plus fréquents
Le dossier médical est le cœur du traitement des données dans une clinique. La loi 41/2002 dispose qu'il doit être conservé pendant au moins cinq ans à compter de la date de sortie de chaque épisode de soins, bien que les communautés autonomes puissent prolonger ce délai (et beaucoup le font jusqu'à dix ou quinze ans). Certaines cliniques, en application mal comprise du principe de minimisation du RGPD, détruisent les dossiers avant l'expiration des délais légaux : c'est une erreur qui peut engager la responsabilité civile et disciplinaire, en plus de violer la législation sur l'autonomie du patient.
Les points de friction les plus courants que nous rencontrons dans les projets de mise en conformité RGPD pour le secteur sanitaire que nous accompagnons chez Summum Consultoria sont :
- Accès indiscriminé au logiciel de gestion clinique par l'ensemble du personnel, sans profils utilisateurs différenciés par fonction.
- Envoi de données par des canaux non chiffrés : radiographies ou rapports par WhatsApp, résultats par e-mail non chiffré.
- Formulaires de consentement éclairé qui mélangent les aspects sanitaires (loi 41/2002) et les aspects de protection des données (RGPD) sans les distinguer clairement.
- Fournisseurs de logiciels cliniques sans contrat de sous-traitance signé, ou avec des contrats de 2018 qui ne couvrent pas les prestations des sous-traitants ultérieurs.
- Absence de registre des activités de traitement (RAT), obligatoire en vertu de l'article 30 du RGPD pour presque toute organisation traitant des données de catégorie particulière.
- Caméras de vidéosurveillance dans les salles d'attente sans la signalétique réglementaire ni le traitement correct des images.
Le Délégué à la protection des données (DPD) dans les cliniques : quand est-il obligatoire ?
L'article 37 du RGPD dispose que la désignation d'un Délégué à la protection des données (DPD) est obligatoire lorsque le traitement à grande échelle de catégories particulières de données constitue l'activité principale du responsable du traitement. La question est de savoir si une clinique privée de taille moyenne — par exemple, un cabinet dentaire avec quatre fauteuils ou un cabinet de kinésithérapie avec trois professionnels — entre dans cette catégorie.
L'AEPD, dans son guide sur le DPD, indique que le traitement des données de santé des patients en tant qu'activité principale du responsable (c'est-à-dire lorsque sans ce traitement l'activité n'existe pas) implique l'obligation de désigner un DPD, même pour les petites organisations. La LOPDGDD, dans son article 34, précise et élargit cette liste pour l'Espagne : les centres de santé y sont expressément mentionnés.
Ce que beaucoup de cliniques ignorent, c'est que le DPD peut être externe. Il n'est pas nécessaire de recruter une personne à temps plein ; cela peut être un professionnel ou une société spécialisée qui fournit la fonction de DPD en mode externalisé, à condition de respecter les exigences d'indépendance et de qualification de l'article 38 du RGPD. C'est la formule la plus courante dans les cliniques privées de taille petite à moyenne en Espagne.
Notification des violations de données dans un délai de 72 heures
L'article 33 du RGPD dispose que, lorsqu'une violation de la sécurité des données personnelles se produit, le responsable du traitement doit en notifier l'AEPD dans un délai maximum de 72 heures à compter du moment où il en a pris connaissance, sauf s'il est peu probable qu'elle présente un risque pour les droits et libertés des personnes concernées.
Dans le secteur de la santé, pratiquement toute violation affectant des données du dossier médical dépasse ce seuil de risque, de sorte que la notification est presque toujours obligatoire. De plus, si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées (par exemple, une divulgation massive de diagnostics ou de données relatives au VIH), le responsable doit également en informer directement les patients concernés.
La procédure de notification à l'AEPD s'effectue via l'outil GESTIONNAIRE DE VIOLATIONS disponible sur le siège électronique de l'AEPD. La notification initiale de 72 heures ne nécessite pas de disposer de toutes les informations ; l'article 33.4 prévoit qu'elle peut être complétée par étapes. Ce qui n'est pas acceptable, c'est de ne pas notifier parce que « l'on ne sait pas encore exactement ce qui s'est passé ».
Sanctions : ce que l'AEPD a sanctionné dans le secteur de la santé
Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu). En pratique, les amendes infligées aux cliniques privées en Espagne se sont situées dans des fourchettes plus modestes, mais économiquement significatives pour des organisations de taille moyenne :
- Accès non autorisé au dossier médical par du personnel sans légitimation : sanctions récurrentes dans la fourchette de 50 000 à 150 000 euros.
- Absence de mesures de sécurité techniques adéquates (logiciels non mis à jour, mots de passe faibles, absence de chiffrement) : amendes de 20 000 à 60 000 euros.
- Cession de données à des tiers sans base légale (assureurs, sociétés de marketing) sans consentement explicite : certaines amendes ont dépassé 200 000 euros.
- Manquement à l'obligation d'information au moment de la collecte (absence de clause RGPD ou clause défectueuse) : sanctions fréquentes de 5 000 à 30 000 euros.
Au-delà de la sanction financière, les résolutions de l'AEPD sont publiques et apparaissent dans son moteur de recherche de résolutions. Le préjudice réputationnel pour une clinique qui apparaît dans ce moteur de recherche peut largement dépasser le montant de la sanction elle-même.
Le sous-traitant : le maillon le plus souvent négligé
Toute clinique travaille avec des prestataires externes qui accèdent aux données des patients : le fournisseur du logiciel de gestion clinique (SIH, DME), la société externe de radiologie ou de laboratoire, le cabinet comptable qui gère la facturation, la société de maintenance informatique qui dispose d'un accès distant aux serveurs. Chacun d'eux est, en termes du RGPD, un sous-traitant.
L'article 28 du RGPD exige que la relation avec chaque sous-traitant soit formalisée par un contrat de sous-traitance (DPA) précisant notamment : l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données et les catégories de personnes concernées, les obligations et les droits du responsable du traitement. En l'absence de ce contrat, tant le responsable que le sous-traitant commettent une infraction.
La pratique habituelle — tolérer que le fournisseur de logiciels impose ses propres conditions sans les examiner — place la clinique dans une position de risque. Chez Summum Consultoria, nous révisons et négocions ces contrats dans le cadre du processus de mise en conformité RGPD sanitaire, car les clauses standard des grands fournisseurs de logiciels cliniques ne satisfont pas toujours à toutes les exigences du RGPD européen.
Liste de vérification de base pour une clinique privée
Sans prétendre à l'exhaustivité — chaque clinique a sa propre situation —, voici les éléments minimaux qu'un centre de santé privé doit avoir en ordre :
- Registre des activités de traitement (RAT) mis à jour et documenté.
- Clauses d'information RGPD intégrées dans les formulaires de collecte de données (admission, rendez-vous, etc.).
- Politique de confidentialité publiée sur le site web et dans les locaux physiques.
- DPD désigné (interne ou externe) et notifié à l'AEPD.
- Contrats de sous-traitance signés avec tous les prestataires concernés.
- Analyse des risques réalisée et, si le traitement l'exige, Analyse d'impact sur la protection des données (AIPD/DPIA) documentée.
- Procédure interne de gestion des violations de données (qui notifie, dans quel délai, comment).
- Procédure de traitement des droits ARCO+ (accès, rectification, effacement, opposition, limitation, portabilité).
- Formation annuelle du personnel sur la protection des données et la confidentialité.
- Contrôles techniques : profils d'accès, chiffrement des appareils mobiles, sauvegardes, correctifs de sécurité.
Questions fréquentes
Un cabinet de trois dentistes a-t-il besoin d'un DPD ?
Oui, très probablement. La LOPDGDD, dans son article 34, dispose expressément que les centres de santé sont tenus de désigner un DPD, sans fixer de seuil minimal de taille. L'AEPD a confirmé cette interprétation dans plusieurs résolutions et dans son guide pratique sur le DPD. Le DPD peut être externe, ce qui réduit considérablement le coût pour les petites cliniques.
Puis-je envoyer des résultats cliniques par WhatsApp si le patient me le demande ?
Avec prudence. Le fait que le patient le demande n'exempte pas le responsable du traitement de garantir un niveau de sécurité adéquat. WhatsApp utilise un chiffrement de bout en bout, ce qui offre une certaine protection, mais les messages restent stockés sur le téléphone du professionnel et du patient sans contrôle sur les sauvegardes, les accès de tiers ou la perte de l'appareil. La recommandation de l'AEPD est d'utiliser des canaux conçus pour l'environnement sanitaire (portails patients, messagerie sécurisée). Si WhatsApp est utilisé à titre exceptionnel, la demande expresse du patient et les risques assumés doivent être documentés.
Combien de temps dois-je conserver le dossier médical ?
La loi 41/2002 fixe un minimum de cinq ans à compter de la date de sortie de chaque épisode de soins. Toutefois, les communautés autonomes peuvent étendre ce délai par leur propre réglementation : la Catalogne, par exemple, exige quinze ans pour la documentation clinique la plus pertinente (en vertu de la loi 16/2010 modifiant la loi 21/2000), et dans d'autres communautés le délai peut varier selon la spécialité. La réglementation régionale applicable doit toujours être vérifiée. En tout état de cause, détruire les dossiers avant l'expiration du délai applicable peut engager la responsabilité civile envers le patient et la responsabilité disciplinaire du professionnel.
Quelle est la différence entre le consentement sanitaire et le consentement RGPD ?
Ce sont deux notions juridiques distinctes relevant de cadres réglementaires différents. Le consentement sanitaire (régi par la loi 41/2002) est celui que le patient donne pour qu'une intervention médicale lui soit pratiquée : il doit être éclairé, libre, spécifique et documenté. Le consentement RGPD (article 7 du règlement) est la base légale qui légitime un traitement déterminé de données personnelles. Pour le traitement de soins ordinaire, la base légale n'est généralement pas le consentement RGPD, mais la lettre h) de l'article 9.2 (soins de santé). Les mélanger dans un même document sans les distinguer est une erreur fréquente qui crée de la confusion quant à ce que le patient autorise exactement et peut invalider les deux types de consentement.