OsteoPulse
Retour au blog
Juridique6 min de lecture

RGPD et données de santé : les obligations de l'ostéopathe en cabinet

Comprendre vos obligations RGPD en tant qu'ostéopathe : registre des traitements, consentement, hébergement, durée de conservation, droits des patients. Guide concret pour être en conformité.

ÉO
Équipe OsteoPulse
RGPD et données de santé : les obligations de l'ostéopathe en cabinet

En tant qu'ostéopathe, vous traitez des données de santé : antécédents, motifs de consultation, traitements pratiqués, parfois imageries médicales. Ces données sont qualifiées de données sensibles par le RGPD et bénéficient d'une protection renforcée. Voici tout ce que vous devez savoir pour être en conformité.

Pourquoi le RGPD vous concerne directement

Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute personne qui collecte ou traite des données personnelles dans l'Union européenne. En cabinet d'ostéopathie, vous traitez :

  • Identité du patient : nom, prénom, date de naissance, adresse, téléphone, email
  • Profession : pour adapter la prise en charge
  • Données de santé : motif, antécédents, traitements, médecins prescripteurs, examens complémentaires
  • Données financières : factures, mode de paiement

Toutes ces données sont des données personnelles. Les antécédents et motifs de consultation sont en plus des données de santé (catégorie particulière au sens de l'article 9 RGPD), avec un régime renforcé.

Vos 6 obligations principales

1. Tenir un registre des traitements

C'est l'obligation n°1. Le registre liste chaque traitement de données que vous opérez :

  • Gestion des dossiers patients
  • Facturation
  • Prise de rendez-vous
  • Newsletter (si vous en envoyez une)
  • Recrutement (si vous embauchez)

Pour chaque traitement : finalité, catégories de données, durée de conservation, destinataires, mesures de sécurité.

La CNIL met à disposition un modèle gratuit de registre adapté aux petites structures sur cnil.fr. À jour, signé, daté. À conserver en cas de contrôle.

2. Informer vos patients

Vos patients doivent savoir quelles données vous collectez, pourquoi, combien de temps vous les conservez, et quels sont leurs droits.

En pratique : une affiche en salle d'attente + une mention sur votre site internet + une information orale lors de la première consultation. Beaucoup de cabinets utilisent un document de politique de confidentialité remis au patient.

3. Recueillir le consentement (quand applicable)

Pour le soin lui-même, le consentement est implicite dès lors que le patient prend rendez-vous. En revanche, vous devez recueillir un consentement explicite pour :

  • L'envoi d'une newsletter ou de communications marketing
  • La prise de photos (si vous documentez une posture, par exemple)
  • Le partage de données avec des tiers (médecin référent, kiné, mutuelle, collaborateur en cabinet partagé…)

4. Sécuriser les données

Vos données doivent être chiffrées au repos et chiffrées en transit. Concrètement :

  • Pas de fichier patient sur un Excel non protégé sur votre disque dur
  • Pas d'envoi d'antécédents par email non chiffré
  • Utilisation d'un logiciel professionnel qui respecte ces obligations
  • Verrouillage automatique de l'ordinateur après quelques minutes d'inactivité
  • Mots de passe forts, idéalement double authentification

5. Limiter la durée de conservation

Vous ne pouvez pas conserver les données patients indéfiniment. Les durées légales :

| Donnée | Durée de conservation | |--------|----------------------| | Dossier médical | 20 ans à compter de la dernière consultation | | Données comptables (factures) | 10 ans | | Données patient inactif | Effacement après 20 ans d'inactivité |

À l'issue de ces durées, vous devez supprimer ou anonymiser les données. Conservez la preuve de cette suppression.

6. Respecter les droits des patients

Vos patients disposent de droits sur leurs données :

  • Droit d'accès : ils peuvent vous demander une copie de leur dossier (à fournir sous 1 mois)
  • Droit de rectification : correction d'erreurs (nom, adresse…)
  • Droit à l'effacement : suppression de leurs données (sous certaines limites, par ex. obligations comptables)
  • Droit à la portabilité : récupération de leurs données sous format structuré (utile s'ils changent d'ostéopathe)
  • Droit d'opposition : refus de la newsletter, du marketing

Vous devez prévoir un point de contact clair (email, formulaire) pour ces demandes.

L'hébergement des données de santé : un sujet sensible

Les données de santé sont soumises à une obligation supplémentaire : elles doivent être hébergées chez un Hébergeur de Données de Santé certifié HDS (sauf si vous les stockez vous-même localement, hors cloud).

Que dit la loi exactement ?

L'article L.1111-8 du Code de la santé publique impose la certification HDS pour tout hébergeur qui stocke des données de santé à caractère personnel pour le compte de tiers.

Cas pratiques

  • Vous stockez les données dans un Excel sur votre ordinateur : pas d'obligation HDS (vous êtes l'hébergeur et le responsable de traitement)
  • Vous utilisez un logiciel de gestion qui stocke dans le cloud : l'éditeur du logiciel doit utiliser un hébergeur HDS
  • Vous synchronisez vos dossiers sur Google Drive ou Dropbox : ❌ non conforme (ces services ne sont pas HDS)

Beaucoup d'ostéopathes utilisent par commodité Google Drive ou Dropbox pour leurs dossiers. C'est une infraction RGPD : ces services ne sont pas hébergeurs certifiés HDS. Risque : sanctions CNIL pouvant atteindre 4 % du chiffre d'affaires.

Notification d'une violation

Si vous subissez une violation de données (vol d'ordinateur, intrusion, perte d'une clé USB), vous devez :

  1. Notifier la CNIL sous 72 heures si la violation présente un risque pour les patients
  2. Informer les patients concernés si le risque est élevé

Conservez un registre des violations même mineures.

Le DPO : obligatoire ?

Le Délégué à la Protection des Données (DPO) n'est obligatoire que dans certains cas :

  • Activité principale impliquant un suivi à grande échelle des personnes
  • Activité principale = traitement à grande échelle de données sensibles

Un cabinet d'ostéopathie individuel n'est généralement pas obligé de désigner un DPO. Mais c'est recommandé pour les groupements de cabinets ou structures à plusieurs praticiens.

Comment OsteoPulse vous aide

OsteoPulse a été conçu pour faciliter votre conformité RGPD :

  • Hébergement des données patients sécurisé et conforme RGPD (serveurs européens, chiffrement en transit et au repos)
  • Export RGPD d'un dossier patient en un clic (droit d'accès / portabilité)
  • Suppression définitive d'un dossier patient en un clic (droit à l'effacement)
  • Suivi des consentements (newsletter, communications)
  • Journalisation des accès aux dossiers
  • Sauvegardes chiffrées automatiques

Sanctions en cas de manquement

La CNIL peut prononcer :

  • Avertissement ou mise en demeure
  • Amende administrative : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial
  • Publicité de la sanction (effet réputationnel majeur)

En pratique, pour un cabinet individuel, les sanctions sont rares mais existent. Le risque le plus fréquent est l'incident (vol d'ordinateur, ransomware) qui révèle l'absence de mesures de sécurité.

Checklist RGPD pour votre cabinet

  • [ ] Registre des traitements à jour
  • [ ] Affiche d'information RGPD en salle d'attente
  • [ ] Mention politique de confidentialité sur le site web
  • [ ] Consentement explicite pour newsletter / photos
  • [ ] Logiciel professionnel avec chiffrement et hébergement conforme
  • [ ] Mots de passe forts + verrouillage auto de l'ordinateur
  • [ ] Procédure pour les demandes patients (accès, suppression…)
  • [ ] Calendrier de suppression des données après 20 ans
  • [ ] Plan de réaction en cas de violation (qui prévenir, comment)

En résumé

Le RGPD n'est pas un sujet à reporter au "plus tard". Une heure d'organisation initiale + un logiciel professionnel adapté + de bonnes habitudes au quotidien suffisent à être en conformité. La conformité protège vos patients, votre cabinet et votre responsabilité personnelle.

Et au-delà de l'obligation légale, c'est un argument de confiance pour vos patients : montrer que vous prenez au sérieux la protection de leurs données médicales fait partie de la qualité de votre prise en charge.

À lire ensuite

Rétrocession en cabinet partagé : contrats, taux et fiscalité pour ostéopathes
Juridique6 min

Rétrocession en cabinet partagé : contrats, taux et fiscalité pour ostéopathes

Tout savoir sur la collaboration libérale et la rétrocession d'honoraires en cabinet d'ostéopathie : contrat type, taux pratiqués, fiscalité, pièges à éviter.

2 mai 2026Lire
Statut juridique pour ostéopathe : auto-entrepreneur, EI ou SELARL en 2026
Fiscalité6 min

Statut juridique pour ostéopathe : auto-entrepreneur, EI ou SELARL en 2026

Comparatif complet des statuts juridiques pour ostéopathe libéral. Cotisations, fiscalité, plafonds, responsabilité : faites le bon choix pour votre installation en 2026.

16 mai 2026Lire
Comment fixer le tarif d'une consultation d'ostéopathie en 2026 ?
Gestion5 min

Comment fixer le tarif d'une consultation d'ostéopathie en 2026 ?

Méthode complète pour fixer votre tarif d'ostéopathie : moyennes par région, calcul du seuil de rentabilité, positionnement et augmentation. Tous les repères pour bien tarifer.

14 mai 2026Lire