Téléconsultation et données de santé : le RGPD en 2026

La téléconsultation et les applications de santé manipulent des données de santé, classées par le RGPD parmi les catégories particulières (article 9). Leur traitement est en principe interdit, sauf exceptions encadrées. Les obligations sont nettement plus strictes que pour un site classique. Voici l'essentiel pour les praticiens et petites structures.

Pourquoi les données de santé sont à part

L'article 9 du RGPD interdit par défaut le traitement des données de santé. Pour un professionnel de santé, l'exception applicable est généralement la prise en charge médicale (article 9.2.h), qui dispense du consentement spécifique pour le soin lui-même — mais pas des autres obligations (information, sécurité, registre).

Pour une app de santé/bien-être non liée à un parcours de soin, c'est le consentement explicite qui sert le plus souvent de base légale.

L'obligation phare : l'hébergement HDS

En France, héberger des données de santé pour le compte de tiers impose de recourir à un Hébergeur de Données de Santé (HDS) certifié. Concrètement :

• Vérifiez que votre plateforme de téléconsultation ou votre hébergeur est certifié HDS (la liste est publique).
• Les hébergeurs cloud grand public ne sont pas tous HDS : OVHcloud, Scaleway, AWS et Azure proposent des offres HDS spécifiques, à activer explicitement.
• C'est un point que la CNIL contrôle (voir comment réagir à un contrôle CNIL).

Sous-traitants et transferts

Plateforme de téléconsultation, messagerie sécurisée, hébergeur : autant de sous-traitants nécessitant un DPA (cf. sous-traitant et DPA). Pour des données de santé, évitez les transferts hors UE : le Data Privacy Framework existe (cf. transferts hors UE), mais sur des données aussi sensibles, l'hébergement en UE certifié HDS est la voie sûre.

Sécurité renforcée

Le niveau de sécurité doit être proportionné au risque, donc élevé :

• Chiffrement en transit et au repos.
• Authentification forte des praticiens.
• Journalisation des accès aux dossiers.
• Messagerie de santé sécurisée (type MSSanté) plutôt qu'un email standard.

En cas de fuite, la notification de violation à la CNIL sous 72h s'applique, avec un risque élevé pour les personnes — donc souvent information des patients concernés.

Information et droits des patients

• Informez clairement les patients : finalités, durée de conservation, destinataires, hébergeur HDS.
• Respectez les durées de conservation propres au dossier médical (cf. principes de durée de conservation).
• Facilitez l'exercice des droits d'accès et de rectification (cf. demandes d'accès et d'effacement) — le droit à l'effacement est toutefois limité par les obligations légales de conservation du dossier de soin.

Faut-il un DPO ?

Une activité dont l'activité de base implique un traitement à grande échelle de données de santé rend la désignation d'un DPO obligatoire. Pour un praticien isolé, ce n'est généralement pas le cas, mais un point de contact RGPD reste recommandé. Voir DPO externe : obligatoire ou non.

Checklist conformité santé / téléconsultation

• [ ] Hébergement des données de santé certifié HDS
• [ ] Base légale identifiée (prise en charge médicale ou consentement explicite)
• [ ] DPA signé avec chaque sous-traitant (plateforme, hébergeur, messagerie)
• [ ] Pas de transfert hors UE pour les données de santé
• [ ] Chiffrement, authentification forte, journalisation des accès
• [ ] Messagerie de santé sécurisée plutôt qu'email standard
• [ ] Information des patients et procédure d'exercice des droits
• [ ] Évaluation du besoin d'un DPO et d'une analyse d'impact (AIPD)

Votre site de prise de rendez-vous ou votre app a une vitrine web : scannez-la gratuitement pour vérifier cookies, bannière et mentions légales.