Auris Immo
Publié le 14 avril 2026
5 minutes

RGPD et données de santé : obligations Medisysnet

RGPD et données de santé : obligations Medisysnet
Maison

Les professionnels de santé qui utilisent des plateformes de télégestion médicale comme Medisysnet manipulent quotidiennement des données de santé à caractère personnel. Ces informations, particulièrement sensibles, sont soumises à un cadre juridique strict défini par le Règlement Général sur la Protection des Données (RGPD). La conformité à cette réglementation n'est pas optionnelle : elle engage la responsabilité du professionnel et impose des obligations précises en matière de collecte, traitement, sécurisation et conservation des données.

Comprendre ces exigences permet non seulement d'éviter des sanctions administratives pouvant atteindre plusieurs milliers d'euros, mais aussi de garantir la confidentialité des informations de vos patients dans un environnement numérique de plus en plus exposé aux cybermenaces.

Qu'est-ce qu'une donnée de santé au sens du RGPD ?

Le RGPD définit les données de santé de manière extensive. Il s'agit de toute information relative à la santé physique ou mentale d'une personne, passée, présente ou future, qui révèle des informations sur son état de santé. Cette définition englobe bien plus que les seuls diagnostics médicaux.

Les catégories de données de santé concernées

Lorsque vous utilisez Medisysnet pour la gestion de vos patients, plusieurs types de données de santé sont susceptibles d'être traitées :

  • Données d'identification des patients : nom, prénom, date de naissance, adresse, numéro de téléphone, numéro de sécurité sociale
  • Informations administratives : assurance maladie obligatoire et complémentaire, mutuelle
  • Données médicales : diagnostics, prescriptions, résultats d'examens, antécédents médicaux, traitements en cours
  • Données issues de dispositifs médicaux : résultats de tests, mesures physiologiques, échantillons biologiques
  • Informations sur la prise en charge : rendez-vous, admissions, suivis thérapeutiques

Toutes ces informations sont considérées comme des données sensibles et bénéficient d'une protection renforcée par le RGPD. Leur traitement est en principe interdit, sauf exceptions prévues par la loi, notamment lorsqu'il est nécessaire aux soins et à la gestion de la santé.

Votre statut de responsable de traitement

En tant que professionnel de santé utilisant Medisysnet, vous êtes qualifié de "responsable de traitement" au sens du RGPD. Ce statut implique que vous déterminez les finalités et les moyens du traitement des données personnelles de vos patients. Vous êtes donc le garant de la conformité de ces traitements aux exigences légales.

Responsabilités et obligations du professionnel

Le statut de responsable de traitement emporte plusieurs obligations essentielles que vous devez respecter dans votre utilisation quotidienne de Medisysnet :

Obligation Description Impact sur votre pratique
Licéité du traitement Vous ne pouvez collecter que des données nécessaires à la prise en charge Limiter les informations saisies dans Medisysnet au strict nécessaire
Information des patients Informer les personnes concernées de l'utilisation de leurs données Affichage en salle d'attente, remise de documents explicatifs
Sécurité des données Mettre en œuvre des mesures techniques et organisationnelles appropriées Mots de passe robustes, accès sécurisé, traçabilité
Durée de conservation Conserver les données uniquement le temps nécessaire Archivage et suppression selon les durées légales (20 ans pour les dossiers médicaux)
Respect des droits Permettre aux patients d'exercer leurs droits (accès, rectification, effacement) Mettre en place une procédure de réponse aux demandes

L'accès sécurisé à https v2 medisysnet fr constitue la première barrière de protection des données de vos patients. Il est impératif d'utiliser exclusivement la connexion chiffrée HTTPS pour toute connexion à la plateforme.

Le registre des activités de traitement : un outil indispensable

Le registre des activités de traitement est l'un des documents centraux de votre conformité RGPD. Il recense de manière exhaustive tous les traitements de données personnelles que vous effectuez dans le cadre de votre activité professionnelle.

Contenu obligatoire du registre

Votre registre doit contenir, pour chaque traitement (par exemple : gestion des dossiers patients via Medisysnet), les informations suivantes :

  1. Finalité du traitement : prise en charge médicale, gestion administrative, facturation
  2. Catégories de données traitées : données d'identification, données de santé, données financières
  3. Catégories de personnes concernées : patients, personnel du cabinet
  4. Destinataires des données : confrères, laboratoires, organismes de sécurité sociale
  5. Durées de conservation : pendant le suivi actif puis archivage intermédiaire
  6. Mesures de sécurité : description générale des protections techniques et organisationnelles
  7. Transferts hors UE : le cas échéant, pays de destination et garanties

Ce registre doit être tenu à jour et être disponible en cas de contrôle de la CNIL. Il constitue également un véritable outil de pilotage vous permettant d'avoir une vision globale de vos traitements de données.

Sécurisation des accès et gestion des identifiants

La sécurité des données de santé repose en grande partie sur le contrôle des accès à votre espace Medisysnet. Le partage d'identifiants entre utilisateurs est formellement interdit par le RGPD, car il compromet la traçabilité des actions effectuées sur les données.

Bonnes pratiques de sécurisation

Pour sécuriser l'accès à votre espace personnel Medisysnet, plusieurs mesures doivent être mises en œuvre :

  • Un compte individuel par utilisateur : chaque professionnel ou collaborateur accédant aux données doit disposer de ses propres identifiants
  • Mots de passe robustes : au minimum 12 caractères avec combinaison de majuscules, minuscules, chiffres et caractères spéciaux
  • Renouvellement régulier : changement périodique des mots de passe, notamment en cas de départ d'un collaborateur
  • Authentification renforcée : activation de la double authentification lorsqu'elle est disponible
  • Déconnexion systématique : ne jamais laisser une session ouverte sans surveillance
  • Gestion des droits d'accès : attribution des permissions selon le principe du moindre privilège

En cas de perte ou d'oubli de vos identifiants, il est essentiel de suivre la procédure complète de récupération de mot de passe Medisysnet sans chercher de contournement qui pourrait compromettre la sécurité.

Gestion des droits d'accès en environnement multi-utilisateurs

Si vous exercez au sein d'une structure regroupant plusieurs professionnels (maison de santé pluriprofessionnelle, cabinet de groupe, centre médical), la question de la gestion des droits d'accès multi-utilisateurs sur les plateformes de télégestion médicale devient cruciale.

Principe de minimisation des accès

Chaque utilisateur de Medisysnet ne doit avoir accès qu'aux données strictement nécessaires à l'exercice de ses fonctions :

Profil utilisateur Droits d'accès recommandés Données accessibles
Médecin titulaire Accès complet Ensemble du dossier patient, prescriptions, résultats
Médecin remplaçant Accès temporaire limité Patients pris en charge durant la période de remplacement
Secrétaire médicale Accès administratif Données d'identification, agenda, facturation (pas d'accès aux données médicales sauf nécessité)
Infirmier(ère) Accès aux soins Prescriptions infirmières, compte-rendus de soins
Stagiaire Accès supervisé Consultation uniquement, sous supervision

Cette segmentation des droits doit être configurée dans Medisysnet et régulièrement révisée, notamment lors des arrivées et départs de collaborateurs.

L'obligation de désigner un Délégué à la Protection des Données (DPO)

La désignation d'un Délégué à la Protection des Données (DPO) n'est pas systématiquement obligatoire pour tous les professionnels de santé, mais elle est fortement recommandée dans certaines situations.

Quand la désignation d'un DPO est-elle obligatoire ?

L'obligation de désigner un DPO s'applique notamment lorsque vous traitez des données de santé "à grande échelle". Bien que cette notion ne soit pas précisément chiffrée, la CNIL et le Conseil National de l'Ordre des Médecins recommandent cette désignation dans les cas suivants :

  • Exercice au sein d'un réseau de professionnels de santé
  • Activité dans une maison de santé pluriprofessionnelle (MSP)
  • Pratique dans un centre de santé
  • Utilisation de dossiers patients partagés entre plusieurs professionnels
  • Établissements de santé publics (obligation systématique)
  • Établissements de santé privés et cliniques

En revanche, si vous exercez à titre individuel dans un cabinet libéral classique, la désignation d'un DPO n'est généralement pas obligatoire, bien qu'elle puisse être envisagée sur une base volontaire.

Missions du DPO

Le DPO a pour principales missions de :

  1. Informer et conseiller le responsable de traitement sur ses obligations RGPD
  2. Contrôler le respect de la réglementation
  3. Conseiller sur la réalisation d'analyses d'impact
  4. Coopérer avec la CNIL et servir de point de contact
  5. Former et sensibiliser les équipes à la protection des données

L'analyse d'impact relative à la protection des données (AIPD)

L'analyse d'impact (également appelée PIA pour Privacy Impact Assessment) est une étude préalable permettant d'identifier et de minimiser les risques liés à un traitement de données.

Situations nécessitant une AIPD

Pour les professionnels de santé utilisant Medisysnet, l'obligation de réaliser une AIPD dépend du contexte :

Situation AIPD obligatoire ?
Professionnel de santé exerçant à titre individuel ❌ Non
Cabinet médical, officine, laboratoire (exercice individuel) ❌ Non
Établissements de santé (hôpitaux publics ou privés) ✅ Oui
Établissements médico-sociaux (EHPAD, CCAS) ✅ Oui
Traitements de données génétiques ✅ Oui
Recherche médicale impliquant des données de santé ✅ Oui

Si vous êtes concerné par l'obligation de réaliser une AIPD, celle-ci doit comprendre une description du traitement, une évaluation de la nécessité et de la proportionnalité, une analyse des risques pour les droits des personnes, et les mesures envisagées pour y répondre.

Hébergement des données de santé et certification HDS

Lorsque vous utilisez une plateforme comme Medisysnet, vous confiez l'hébergement de vos données de santé à un prestataire externe. Cette externalisation n'exonère pas votre responsabilité : vous devez vous assurer que votre prestataire offre des garanties suffisantes.

La certification Hébergeur de Données de Santé (HDS)

La certification HDS, délivrée par la Haute Autorité de Santé, est le gage de conformité pour l'hébergement de données de santé en France. Elle atteste que l'hébergeur respecte un référentiel strict en matière de :

  • Sécurité physique des infrastructures
  • Sécurité logique et applicative
  • Protection contre les accès non autorisés
  • Traçabilité des accès et des opérations
  • Sauvegarde et continuité d'activité
  • Gestion des incidents de sécurité

Avant de confier vos données à Medisysnet ou tout autre prestataire, vérifiez systématiquement qu'il dispose de la certification HDS en cours de validité. Cette vérification doit être documentée dans votre registre des traitements.

Le contrat de sous-traitance

Votre relation avec Medisysnet en tant qu'hébergeur de vos données doit être formalisée par un contrat de sous-traitance conforme au RGPD. Ce contrat doit préciser :

  1. L'objet, la durée, la nature et la finalité du traitement
  2. Les catégories de données traitées et de personnes concernées
  3. Les obligations et droits du responsable de traitement
  4. Les mesures de sécurité mises en œuvre par le sous-traitant
  5. Les conditions d'intervention de sous-traitants ultérieurs
  6. L'assistance au responsable de traitement pour répondre aux demandes des personnes
  7. Les modalités de restitution ou destruction des données en fin de contrat

Information et droits des patients

Le RGPD renforce les droits des personnes concernées, en l'occurrence vos patients. Vous devez les informer de manière claire et transparente de l'utilisation qui est faite de leurs données de santé.

Obligation d'information

L'information des patients doit intervenir au moment de la collecte des données et comporter les éléments suivants :

  • Identité et coordonnées du responsable de traitement (vous)
  • Finalités du traitement (prise en charge médicale, facturation, coordination des soins)
  • Base juridique du traitement (intérêt vital, exécution d'une mission de santé publique)
  • Destinataires des données (confrères, organismes de sécurité sociale, laboratoires)
  • Durée de conservation (20 ans pour les dossiers médicaux)
  • Droits des personnes et modalités d'exercice
  • Coordonnées du DPO si vous en avez désigné un
  • Droit d'introduire une réclamation auprès de la CNIL

Cette information peut prendre la forme d'une affiche en salle d'attente, d'un document remis lors de la première consultation, ou d'une mention sur votre site internet.

Les droits des patients à respecter

Vos patients disposent de plusieurs droits qu'ils peuvent exercer à tout moment :

Droit Description Modalités d'exercice
Droit d'accès Obtenir une copie de ses données Sur demande écrite, réponse sous 1 mois maximum
Droit de rectification Faire corriger des données inexactes Mise à jour du dossier après vérification
Droit à l'effacement Obtenir la suppression de ses données Limité (obligation de conservation du dossier médical 20 ans)
Droit à la limitation Restreindre temporairement le traitement Gel des données en cas de contestation
Droit d'opposition S'opposer à certains traitements Limité pour les traitements nécessaires aux soins
Droit à la portabilité Récupérer ses données dans un format structuré Transmission à un autre professionnel de santé

Vous devez mettre en place une procédure permettant de traiter ces demandes dans les délais légaux (1 mois, prolongeable de 2 mois en cas de complexité).

Gestion des violations de données

Une violation de données personnelles désigne tout incident de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données, ou l'accès non autorisé à celles-ci.

Exemples de violations de données

Dans le contexte d'utilisation de Medisysnet, plusieurs situations peuvent constituer des violations de données :

  • Perte ou vol d'un ordinateur portable contenant des données non chiffrées
  • Piratage du compte Medisysnet suite à un mot de passe faible
  • Envoi d'informations médicales à un mauvais destinataire par erreur
  • Accès non autorisé d'un ancien collaborateur dont le compte n'a pas été désactivé
  • Ransomware bloquant l'accès aux données
  • Divulgation accidentelle de données sur un réseau non sécurisé

Obligations en cas de violation

En cas de violation de données, vous devez :

  1. Documenter l'incident : nature de la violation, données concernées, nombre de personnes affectées, conséquences probables
  2. Notifier la CNIL : dans les 72 heures si la violation présente un risque pour les droits des personnes
  3. Informer les personnes concernées : si la violation présente un risque élevé pour leurs droits et libertés
  4. Mettre en œuvre des mesures correctives : pour limiter les conséquences et éviter la récurrence

La traçabilité de toutes les violations, même mineures, doit être conservée dans votre documentation de conformité.

Sanctions en cas de non-conformité

Le non-respect du RGPD expose les professionnels de santé à des sanctions administratives et pénales. La CNIL dispose de pouvoirs de sanction importants qu'elle exerce de manière progressive mais ferme.

Sanctions administratives de la CNIL

En cas de manquement constaté, la CNIL peut prononcer :

  • Avertissement : pour les manquements mineurs ou en l'absence de récidive
  • Mise en demeure : injonction de se mettre en conformité dans un délai déterminé
  • Limitation temporaire ou définitive du traitement : suspension de certaines opérations
  • Amende administrative : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu)

Pour les professionnels de santé libéraux, les amendes prononcées varient généralement entre 2 500 et 50 000 euros selon la gravité du manquement et les circonstances. Des cas de sanctions ont été rapportés, notamment pour défaut de sécurisation des accès ou absence de registre des traitements.

Responsabilité pénale et civile

Au-delà des sanctions administratives, des poursuites pénales peuvent être engagées en cas de :

  • Violation du secret professionnel (article 226-13 du Code pénal)
  • Collecte déloyale de données (article 226-18 du Code pénal)
  • Détournement de finalité (article 226-21 du Code pénal)
  • Conservation excessive des données (article 226-20 du Code pénal)

Les patients dont les données ont été compromises peuvent également engager votre responsabilité civile et demander réparation du préjudice subi.

Bonnes pratiques pour maintenir la conformité RGPD

La conformité au RGPD n'est pas un état figé mais un processus continu d'amélioration et de vigilance. Voici les bonnes pratiques à intégrer dans votre utilisation quotidienne de Medisysnet.

Checklist de conformité RGPD

Action Fréquence Responsable
Mise à jour du registre des traitements Annuelle ou à chaque modification Responsable de traitement / DPO
Revue des habilitations d'accès Trimestrielle Responsable de traitement
Modification des mots de passe Tous les 6 mois minimum Chaque utilisateur
Vérification de la certification HDS du prestataire Annuelle Responsable de traitement
Formation des collaborateurs au RGPD Annuelle + à chaque arrivée Responsable de traitement / DPO
Test des procédures de sauvegarde Semestrielle Responsable informatique
Audit de conformité Tous les 2-3 ans Auditeur externe

Documentation à constituer et conserver

Pour démontrer votre conformité en cas de contrôle, constituez un dossier regroupant :

  1. Le registre des activités de traitement à jour
  2. Les mentions d'information remises aux patients
  3. Les engagements de confidentialité signés par vos collaborateurs
  4. Le contrat de sous-traitance avec Medisysnet
  5. La copie de la certification HDS de votre hébergeur
  6. L'analyse d'impact (AIPD) si vous y êtes soumis
  7. La procédure de gestion des demandes d'exercice de droits
  8. Le registre des violations de données
  9. Les preuves de formation du personnel
  10. La politique de gestion des mots de passe et des accès

Cette documentation doit être accessible rapidement et mise à jour régulièrement. Elle constitue la preuve de votre démarche de conformité et de votre principe d'accountability (responsabilité).

Questions fréquentes sur le RGPD et Medisysnet

Puis-je partager mon compte Medisysnet avec ma secrétaire ?

Non, le partage d'identifiants est strictement interdit. Chaque utilisateur doit disposer de son propre compte avec des droits d'accès adaptés à ses fonctions. Cette règle permet d'assurer la traçabilité des actions et de respecter le principe de responsabilité.

Combien de temps dois-je conserver les dossiers patients sur Medisysnet ?

Les dossiers médicaux doivent être conservés pendant une durée de 20 ans à compter de la dernière consultation ou du décès du patient. Passé ce délai, les données doivent être supprimées ou anonymisées, sauf obligations légales spécifiques de conservation plus longue.

Que faire si un patient demande la suppression de son dossier médical ?

Le droit à l'effacement est limité en matière de données de santé. Vous pouvez refuser une demande de suppression si la conservation est nécessaire pour des motifs d'intérêt public dans le domaine de la santé ou pour respecter vos obligations légales de conservation du dossier médical pendant 20 ans.

Dois-je demander le consentement du patient pour utiliser Medisysnet ?

Le consentement n'est généralement pas la base légale appropriée pour le traitement des données de santé dans le cadre des soins. La base légale est l'intérêt vital de la personne ou l'exécution d'une mission d'intérêt public. Vous devez en revanche informer le patient de l'utilisation de la plateforme.

Comment savoir si Medisysnet dispose de la certification HDS ?

Vous devez demander à Medisysnet une copie de son certificat HDS en cours de validité. Ce document doit mentionner les activités certifiées (hébergement physique, infogérance, sauvegarde, etc.) et la date d'expiration de la certification. Vérifiez également que le prestataire figure sur la liste publique des hébergeurs certifiés.

Suis-je obligé de nommer un DPO pour mon cabinet libéral ?

Si vous exercez seul dans un cabinet individuel, la désignation d'un DPO n'est généralement pas obligatoire. En revanche, si vous exercez dans une structure collective (maison de santé, centre médical) ou si vous traitez des données de santé à grande échelle, cette désignation devient nécessaire.

Recherchez une entreprise parmi les plus grandes villes

Paris

98 entreprises

Marseille

100 entreprises

Lyon

98 entreprises

Toulouse

98 entreprises

Nice

99 entreprises

Nantes

98 entreprises

Montpellier

90 entreprises

Strasbourg

97 entreprises

Bordeaux

98 entreprises

Lille

100 entreprises

Rennes

100 entreprises

Toulon

100 entreprises

Tous les départements

Ain (1) Aisne (2) Allier (3) Alpes-Maritimes (6) Ardennes (8) Aube (10) Aude (11) Bas-Rhin (67) Bouches-du-Rhône (13) Calvados (14) Charente (16) Charente-Maritime (17) Cher (18) Corrèze (19) Corse-du-Sud (2A) Côte-d'Or (21) Côtes-d'Armor (22) Deux-Sèvres (79) Doubs (25) Drôme (26) Essonne (91) Eure (27) Eure-et-Loir (28) Finistère (29) Gard (30) Gironde (33) Guadeloupe (971) Guyane (973) Haut-Rhin (68) Haute-Corse (2B) Haute-Garonne (31) Haute-Savoie (74) Haute-Vienne (87) Hautes-Alpes (5) Hautes-Pyrénées (65) Hauts-de-Seine (92) Hérault (34) Ille-et-Vilaine (35) Indre (36) Indre-et-Loire (37) Isère (38) La Réunion (974) Loir-et-Cher (41) Loire (42) Loire-Atlantique (44) Loiret (45) Lot-et-Garonne (47) Maine-et-Loire (49) Manche (50) Marne (51) Martinique (972) Mayenne (53) Mayotte (976) Meurthe-et-Moselle (54) Morbihan (56) Moselle (57) Nièvre (58) Nord (59) Oise (60) Paris (75) Pas-de-Calais (62) Puy-de-Dôme (63) Pyrénées-Atlantiques (64) Pyrénées-Orientales (66) Rhône (69) Sarthe (72) Savoie (73) Saône-et-Loire (71) Seine-Maritime (76) Seine-Saint-Denis (93) Seine-et-Marne (77) Somme (80) Tarn (81) Tarn-et-Garonne (82) Territoire de Belfort (90) Val-d'Oise (95) Val-de-Marne (94) Var (83) Vaucluse (84) Vendée (85) Vienne (86) Vosges (88) Yonne (89) Yvelines (78)