Données de santé au cabinet : vos obligations RGPD en solo

Un naturopathe ne collecte pas de simples coordonnées. Dès le premier bilan de vitalité, vous notez des antécédents, des symptômes, des traitements en cours, des troubles du sommeil, de la digestion, parfois des éléments très intimes. Le RGPD qualifie ces informations de données concernant la santé, classées parmi les catégories particulières de l'article 9 — les plus protégées qui soient.

Cette qualification a des conséquences concrètes. Leur traitement est par principe interdit, sauf exception ; ici, l'exception qui vous concerne est le consentement explicite de la personne. Et une violation portant sur des données de santé est considérée comme présentant un risque élevé, ce qui déclenche des obligations renforcées en cas d'incident.

Beaucoup de praticiens pensent que le RGPD ne vise que les grandes entreprises. C'est faux : le statut de solo ou de micro-entrepreneur ne vous exonère de rien. Dès lors que vous déterminez pourquoi et comment vous traitez ces données, vous êtes responsable de traitement.

Quatre obligations forment le minimum incompressible pour un cabinet individuel :

• Le registre des activités de traitement : un document, même simple, décrivant quelles données vous collectez, pour quelle finalité, combien de temps vous les conservez et comment vous les sécurisez. Il est obligatoire et doit pouvoir être présenté en cas de contrôle.
• La base légale : pour des données de santé, vous vous appuyez sur le consentement explicite, libre et éclairé, recueilli avant la collecte.
• L'information des personnes : chaque client doit savoir quelles données vous collectez, pourquoi, combien de temps, et quels sont ses droits (accès, rectification, effacement).
• La sécurité : des mesures proportionnées pour empêcher la perte, le vol ou l'accès non autorisé à vos dossiers.

Aucune de ces obligations n'exige un budget conséquent. Elles demandent surtout de la méthode et de la constance.

Le RGPD impose de ne pas conserver les données plus longtemps que nécessaire à la finalité poursuivie. Concrètement, vous devez fixer une durée de conservation raisonnable au regard du suivi de vos clients, l'inscrire dans votre registre, et vous y tenir.

Au terme de cette durée — par exemple après plusieurs années sans nouvelle consultation — les dossiers doivent être supprimés ou archivés de façon sécurisée, et non laissés à s'accumuler indéfiniment dans un tiroir ou un disque dur. Conserver des données de santé « au cas où », sans finalité active, constitue en soi un manquement.

Prévoyez une routine annuelle de tri : identifiez les dossiers inactifs, supprimez ceux qui ont dépassé la durée fixée, et documentez cette purge. C'est à la fois une obligation et une réduction de votre surface de risque.

Dans un cabinet individuel, les violations de données ne viennent presque jamais d'un piratage sophistiqué. Elles naissent de gestes anodins :

• Le cahier ou le classeur papier en clair, posé sur le bureau ou rangé sans clé, consultable par n'importe qui dans la salle d'attente.
• La messagerie personnelle non sécurisée utilisée pour échanger des bilans ou des comptes rendus de santé.
• L'agenda ou l'outil de prise de rendez-vous en ligne mal paramétré, qui expose des motifs de consultation.
• L'ordinateur portable sans mot de passe ni chiffrement, volé ou perdu avec tous les dossiers à l'intérieur.
• Les sauvegardes absentes ou non protégées, qui transforment une panne en perte définitive.

Les parades sont simples : verrouiller physiquement les dossiers papier, chiffrer son poste, utiliser un mot de passe robuste, privilégier des outils respectueux du RGPD pour la prise de rendez-vous, et sauvegarder régulièrement de façon sécurisée. En cas de violation présentant un risque élevé, la notification à la CNIL sous 72 heures et l'information des personnes concernées deviennent obligatoires.

Malgré toute la rigueur du monde, une atteinte involontaire à la confidentialité peut survenir : un dossier égaré, un envoi à la mauvaise personne, un poste volé. Si un client subit un préjudice du fait de la divulgation de ses données et se retourne contre vous, les conséquences financières et les frais de procédure peuvent être lourds.

C'est précisément l'objet de la garantie confidentialité intégrée à la RC Pro naturopathe : elle couvre les conséquences pécuniaires d'une atteinte involontaire aux informations confidentielles que vos clients vous ont confiées, ainsi que votre défense en cas de réclamation.

La RC Pro ne se substitue pas à votre mise en conformité — elle la complète. La conformité RGPD réduit la probabilité de l'incident ; l'assurance en absorbe les conséquences financières quand il survient malgré tout. Pour un praticien qui manipule chaque jour des données de santé, les deux sont indissociables. Le détail des garanties est présenté sur la fiche assurance naturopathe.