AccueilSecteursCabinets médicauxRGPD données de santé
Cabinets médicaux

RGPD et données de santé : obligations du cabinet médical en cas de cyberattaque

Un ransomware sur votre logiciel médical n’est pas qu’un incident informatique. C’est une violation de données personnelles qui déclenche des obligations légales précises — avec des délais très courts. Ce guide détaille ce que la loi vous impose concrètement.

Lecture : 8 min Mis à jour 2026

Les données de santé : une catégorie à part dans le RGPD

Le RGPD distingue deux niveaux de données personnelles. Les données « ordinaires » (nom, adresse, email) bénéficient d’un régime de protection standard. Les données dites « de catégorie spéciale » — dont les données de santé — sont soumises à des règles beaucoup plus strictes.

Les données de santé incluent : les diagnostics, les traitements en cours, les antécédents médicaux, les résultats d’examens, les ordonnances, les données relatives aux handicaps et maladies chroniques. Pour un cabinet médical, c’est l’essentiel de ce qu’il traite au quotidien.

Sanctions spécifiques données de santé

En cas de violation de données de santé, les sanctions CNIL peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Pour un cabinet libéral, même une sanction symbolique de 10 000 à 50 000 € représente un risque financier et réputationnel majeur. La CNIL a sanctionné plusieurs établissements de santé ces dernières années.

Le délai légal de 72 heures : ce qu’il implique vraiment

C’est la contrainte la plus méconnue et la plus stressante en situation de crise. En cas de violation de données de santé, vous avez 72 heures à compter du moment où vous en avez connaissance pour notifier la CNIL — pas à compter du moment où vous en êtes certain.

Scenario réel : lundi 9h, ransomware détecté

Vous découvrez l’attaque le lundi à 9h. Vous avez jusqu’au jeudi à 9h pour notifier la CNIL. Pendant ces 72h, vous gérez simultanément : la crise technique (restaurer les systèmes), les consultations du jour (sans accès aux dossiers), la communication patients, et la procédure administrative CNIL. Sans préparation, ce délai est très difficile à tenir.

Ce que contient une notification CNIL

La notification doit décrire : la nature de la violation, les catégories de données concernées, le nombre approximatif de personnes affectées, les conséquences probables, et les mesures prises ou envisagées. Une notification incomplète peut être acceptée avec complément ultérieur — mais l’absence de notification est l’infraction la plus sévèrement sanctionnée.

L’information des patients concernés

Si la violation de données présente un risque élevé pour les droits et libertés des patients, le médecin doit les informer individuellement — en plus de notifier la CNIL. C’est une obligation distincte, souvent plus difficile à assumer psychologiquement que la notification administrative.

Le critère du « risque élevé » est apprécié au cas par cas. Pour des données médicales sensibles (psychiatrie, oncologie, VIH, addictions), le risque est présumé élevé. Pour un simple dossier administratif patient, l’appréciation est plus nuancée.

Secret médical et responsabilité pénale

Le secret médical est protégé par le Code pénal (article 226-13) — sa violation est une infraction passible d’un an d’emprisonnement et de 15 000 € d’amende. Une cyberattaque qui expose des données patients peut engager la responsabilité pénale du praticien si une négligence dans la protection des données est établie.

Ce régime s’applique même si l’exposition est involontaire et résulte d’une attaque externe. La jurisprudence en la matière est encore peu développée, mais la tendance des tribunaux est à retenir la responsabilité du professionnel qui n’a pas pris les mesures de sécurité élémentaires.

La responsabilité disciplinaire ordinale

En plus des sanctions CNIL et des poursuites pénales potentielles, une violation grave du secret médical peut faire l’objet d’une procédure disciplinaire devant le Conseil de l’Ordre des médecins. Les sanctions disciplinaires peuvent aller jusqu’à la radiation. C’est un troisième régime de responsabilité cumulable avec les deux précédents.

Note : cet article ne remplace pas un conseil juridique. En cas de violation de données, consultez un avocat spécialisé.

La procédure à suivre en cas de violation

1

Isoler immédiatement les systèmes compromis

Déconnecter du réseau les machines touchées. Ne pas éteindre — les logs en mémoire sont précieux pour l’investigation. Contacter votre assureur cyber si vous en avez un.

2

Évaluer le périmètre de la violation

Quelles données sont concernées ? Combien de patients ? Ont-elles été simplement rendues inaccessibles (ransomware) ou exfiltrées (vol) ? Cette distinction conditionne les obligations de notification.

3

Notifier la CNIL dans les 72 heures

Via le portail notifications.cnil.fr. En cas de doute sur l’étendue de la violation, notifier avec les informations disponibles et compléter ultérieurement. Le délai de 72h ne souffre pas d’exception.

4

Informer les patients si risque élevé

Évaluer avec un juriste si le niveau de risque pour les patients implique une notification individuelle. Pour les données médicales sensibles, cette notification est généralement requise.

5

Déposer plainte

Auprès de la police ou de la gendarmerie. Obligatoire pour certains contrats d’assurance cyber. Signaler également sur cybermalveillance.gouv.fr.

Checklist RGPD pour un cabinet médical

  • Registre des activités de traitement tenu à jour (obligation RGPD)
  • Politique de confidentialité affichée en salle d’attente et en ligne
  • Durées de conservation des dossiers patients définies et respectées
  • Procédure de notification CNIL documentée et connue
  • Sauvegardes chiffrées hors réseau quotidiennes
  • Accès au logiciel médical protégé par double authentification
  • Formation annuelle du personnel administratif à la sécurité des données
  • Contrats avec prestataires informatiques incluant clause de confidentialité
🔬 RGPD et durée de vie des données médicales

Le RGPD impose de protéger les données « en utilisant l’état de l’art en matière de sécurité ». Les dossiers médicaux sont conservés 20 ans minimum. Dans ce délai, les chiffrements actuels seront rendus obsolètes par l’informatique quantique. Un cabinet qui archive des données médicales sensibles sur le long terme devra migrer vers des standards post-quantiques. En savoir plus →

Connaissez-vous les risques cyber de votre cabinet ?

Ransomware, phishing, violation de données — état des lieux complet des cybermenaces pour les cabinets médicaux.

Voir les risques →