RGPD et secret médical en cabinet de sage-femme : le guide complet de mise en conformité

Vous traitez quotidiennement des données qui figurent parmi les plus sensibles au sens du Règlement général sur la protection des données (Règlement UE 2016/679) : antécédents médicaux, suivi de grossesse, contraception, vie sexuelle, situation familiale, données psychologiques post-partum. L'article 9 du RGPD qualifie ces données de "catégories particulières" et leur applique un régime de protection renforcé.

Contrairement à une idée encore très répandue, le RGPD ne s'applique pas seulement aux grandes structures. Toute sage-femme libérale, même installée seule, est responsable de traitement au sens du RGPD dès lors qu'elle gère un dossier patient (papier ou numérique), une liste de rendez-vous, une comptabilité, ou tout simplement un téléphone professionnel.

La CNIL a renforcé son action de contrôle sur les professions de santé depuis 2022, avec plusieurs sanctions médiatisées contre des cabinets médicaux et paramédicaux pour des durées de conservation excessives ou des défauts de sécurisation des dossiers. Les amendes prononcées vont de quelques milliers à plusieurs centaines de milliers d'euros.

Six obligations structurent la mise en conformité de votre cabinet. Aucune n'est facultative.

1. Tenir un registre des activités de traitement (article 30 du RGPD). Ce document liste l'ensemble des traitements de données réalisés : dossier patient, comptabilité, télétransmission CPAM, prise de rendez-vous en ligne, etc.
2. Respecter une durée de conservation des données définie : 20 ans pour les dossiers obstétricaux, 28 ans après la majorité de l'enfant pour les actes périnataux.
3. Informer la patiente au moment du recueil de ses données (information écrite affichée en salle d'attente + remise au premier rendez-vous).
4. Sécuriser les données par des mesures techniques et organisationnelles appropriées (chiffrement, mots de passe robustes, sauvegardes chiffrées).
5. Encadrer vos sous-traitants (éditeur de logiciel métier, hébergeur, comptable, expert-comptable) par un contrat de sous-traitance RGPD conforme à l'article 28.
6. Notifier les violations de données à la CNIL sous 72 heures, et aux patientes concernées sans délai en cas de risque élevé pour leurs droits.

L'article L.1111-8 du Code de la santé publique impose que les données de santé à caractère personnel hébergées par un tiers le soient exclusivement chez un hébergeur certifié HDS (Hébergeur de Données de Santé).

Concrètement, cela signifie que votre logiciel métier (Maïa, Bewell, Topaze, Crossway, Doctolib...) doit héberger ses serveurs chez un prestataire certifié HDS. Les solutions sérieuses du marché le sont, mais cela mérite une vérification écrite. Plus piégeur : si vous utilisez un service de prise de rendez-vous en ligne, un agenda partagé ou un outil de visio pour la téléconsultation, ces outils stockent souvent des données de santé (commentaires, motifs de consultation) et doivent eux aussi être certifiés HDS.

Utiliser Google Calendar, Outlook personnel ou un Drive grand public pour stocker des informations de patientes est une violation directe du RGPD et du Code de la santé publique. La sanction CNIL et la mise en cause assurantielle se cumulent.

La désignation d'un Délégué à la protection des données (DPO) est obligatoire dans trois cas (article 37 du RGPD) :

• Traitement réalisé par une autorité publique.
• Activités de base nécessitant un suivi régulier et systématique à grande échelle.
• Traitement à grande échelle de données sensibles.

La CNIL et le Comité européen de la protection des données ont précisé que la "grande échelle" s'apprécie selon le nombre de personnes concernées, le volume de données, la durée et la portée géographique. Une sage-femme exerçant seule en cabinet ne tombe généralement pas dans la "grande échelle". En revanche, un cabinet de groupe de cinq sages-femmes accompagnant plusieurs milliers de patientes par an peut y entrer.

Même lorsqu'il n'est pas obligatoire, désigner un DPO mutualisé (au niveau d'une maison de santé ou d'un groupement professionnel) est une excellente pratique. Le coût annuel d'un DPO externalisé démarre autour de 500 € pour un cabinet seul.

Le secret médical, consacré par l'article R.4127-303 du CSP pour les sages-femmes, ne se confond pas avec le RGPD mais s'y articule. Plusieurs situations modernes méritent une vigilance particulière :

• SMS et WhatsApp : les messageries grand public ne sont pas conformes au secret médical. La communication avec une patiente doit passer par une messagerie sécurisée de santé (MSSanté, Lifen, Apicrypt).
• Téléconsultation : seules les plateformes labellisées par le Ségur du numérique en santé doivent être utilisées. Les outils visio génériques (Zoom, Teams personnel, FaceTime) ne respectent ni le HDS ni les exigences de sécurité.
• Transmission de comptes rendus : un compte rendu envoyé par email non chiffré à un confrère constitue une violation. La messagerie MSSanté est la norme.
• Conjoint et famille : ne jamais communiquer d'information à un tiers (mari, parents) sans accord explicite et tracé de la patiente, y compris à un mineur émancipé.

Les cabinets médicaux et paramédicaux font partie des cibles privilégiées des attaques par rançongiciel (ransomware) depuis 2020. La taille du cabinet n'est plus un critère de protection : les attaques sont automatisées et frappent indifféremment les structures hospitalières et les cabinets libéraux.

En cas d'attaque, plusieurs préjudices se cumulent :

• Perte de l'accès au dossier patient et incapacité de poursuivre l'activité (parfois plusieurs semaines).
• Coût de la restauration des données et de la reconstitution des dossiers détruits.
• Obligation de notification à la CNIL sous 72 heures et aux patientes en cas de risque élevé.
• Risque réputationnel majeur.
• Demande de rançon (que la doctrine officielle déconseille fortement de payer).

Votre RC Pro de base couvre les conséquences de votre éventuelle faute (mauvaise sécurisation), mais pas le coût direct de la remédiation, de la communication de crise, de la notification CNIL ou de la cyber-extorsion. Une garantie cyber-risque dédiée est de plus en plus indispensable pour un cabinet libéral.

Voici un plan de bataille concret pour atteindre une conformité raisonnable en un mois, sans budget lourd.

1. Jour 1-3 : cartographier tous vos traitements (papier, logiciel métier, sauvegardes, mails, agenda en ligne, comptabilité, télétransmission).
2. Jour 4-7 : rédiger le registre des activités de traitement (modèle simplifié CNIL disponible gratuitement).
3. Jour 8-10 : vérifier le statut HDS de chacun de vos prestataires et demander un avenant RGPD à chacun.
4. Jour 11-14 : rédiger et afficher la mention d'information patiente en salle d'attente, et préparer la fiche d'information remise au premier rendez-vous.
5. Jour 15-20 : sécuriser vos accès (mots de passe forts, double authentification, chiffrement de l'ordinateur portable et du smartphone professionnel).
6. Jour 21-25 : mettre en place une sauvegarde chiffrée externalisée et tester une restauration.
7. Jour 26-30 : rédiger une procédure simple de gestion des violations de données et la conserver dans le classeur RGPD.

Ce calendrier suppose une activité simple. Pour un cabinet de groupe ou une maison de santé, comptez le double. Pour aller plus loin sur les spécificités du métier de sage-femme, consultez notre page dédiée.