Article 9 du RGPD : les données de santé sont une catégorie spéciale
Le RGPD classe les données de santé parmi les « catégories particulières de données » (article 9). Leur traitement est en principe interdit, sauf exceptions limitées : consentement explicite, nécessité pour les soins, ou obligation légale. Pour un professionnel de santé, cela signifie que toute collecte de données médicales via votre site web — même un simple formulaire de contact mentionnant un motif de consultation — est soumise à des obligations renforcées. Les sanctions sont également plus lourdes : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel.
Prise de rendez-vous en ligne : données patients exposées
Si votre site propose la prise de rendez-vous en ligne (via un formulaire intégré ou un widget Doctolib), les données collectées incluent généralement le nom du patient, son numéro de téléphone, son adresse email et parfois le motif de consultation. Le motif de consultation est une donnée de santé. Elle doit être traitée avec des garanties renforcées : chiffrement, accès restreint, durée de conservation limitée. L’intégration de widgets tiers (Doctolib, Maiia, Keldoc) dépose également des cookies qui nécessitent le consentement préalable du visiteur.
Formulaire de contact et motif médical
De nombreux sites de cabinets médicaux proposent un formulaire de contact générique où le patient peut décrire librement sa demande. Dès qu’un patient mentionne un symptôme, un traitement ou une pathologie, vous collectez des données de santé. Votre formulaire doit impérativement comporter une mention d’information conforme aux articles 13-14 du RGPD, précisant la base légale du traitement et la durée de conservation. Il est recommandé de ne pas demander le motif médical dans le formulaire de contact et de réserver cette information à la consultation.
Hébergement HDS : une obligation légale
L’article L1111-8 du Code de la santé publique impose que les données de santé à caractère personnel soient hébergées chez un hébergeur certifié HDS (Hébergeur de Données de Santé). Si votre site stocke des données patients (formulaires, rendez-vous, dossiers), votre hébergeur web classique (OVH mutualisé, o2switch, etc.) ne suffit pas — il faut un hébergeur certifié HDS. En revanche, si votre site est purement informatif et redirige vers Doctolib pour les rendez-vous, l’obligation HDS ne s’applique pas à votre site lui-même.
Cookies et traceurs sur un site médical
Les widgets tiers courants sur les sites médicaux (Google Maps pour localiser le cabinet, Doctolib pour la prise de RDV, Google Analytics pour les statistiques) déposent tous des cookies. Sur un site de santé, la présence de ces traceurs est particulièrement problématique : le simple fait de visiter un site de cancérologie ou de psychiatrie peut révéler une donnée de santé. Le bandeau de consentement doit être irréprochable, et aucun traceur ne doit se charger avant le consentement explicite du visiteur.
Ce que ConformCheck détecte sur votre site médical
Notre scanner vérifie automatiquement les points critiques pour un site de professionnel de santé :
- Bandeau cookies conforme avec blocage effectif des traceurs avant consentement
- Détection de tous les cookies tiers (Google, Doctolib, réseaux sociaux)
- Vérification des mentions d’information sur les formulaires
- Présence et exhaustivité de la politique de confidentialité
- Chiffrement HTTPS sur l’ensemble du site
- En-têtes de sécurité (protection contre le clickjacking, XSS, etc.)
En 30 secondes, vous obtenez un diagnostic clair. Le rapport complet à 29 € détaille chaque non-conformité avec les articles de loi concernés et les actions correctives à mettre en place.