Le formulaire de contact est probablement le composant le plus courant sur les sites médicaux. C’est aussi l’un des plus souvent non conformes au RGPD. L’agence web qui a créé le site a fourni un formulaire fonctionnel, mais sans les mentions légales requises. Le praticien n’a pas vérifié. Le résultat : un point de collecte de données potentiellement médicales sans base légale conforme.

Ce n’est pas un problème théorique. C’est une violation identifiable en quelques secondes, et l’une des premières choses que la CNIL vérifie lors d’un contrôle d’un site de santé.

Dans cet article
  • Pourquoi les formulaires médicaux sont particulièrement sensibles au RGPD
  • Les 5 éléments obligatoires dans tout formulaire d’un site de praticien
  • Comment rédiger la mention RGPD conforme (exemples concrets)
  • Ce qui est strictement interdit dans un formulaire médical
  • Le cas des formulaires de prise de rendez-vous en ligne

Pourquoi les formulaires médicaux sont plus sensibles

Un formulaire de contact sur un site e-commerce collecte un nom et un email pour une demande d’information commerciale. Le RGPD s’applique, les obligations sont claires, les risques sont limités.

Sur un site de chirurgie esthétique, le même formulaire collecte souvent bien plus.

Un patient qui remplit le formulaire écrit : "Bonjour, je souhaite une consultation pour une rhinoplastie. J'ai subi un accident de voiture il y a 3 ans qui a déformé mon nez. J'ai 34 ans et je suis en bonne santé sinon."

Ce message contient : un nom et un email (données personnelles de base), une demande médicale spécifique (rhinoplastie), un antécédent (accident de voiture avec conséquences physiques), un âge, et un état de santé général déclaré. Toutes ces informations sont potentiellement qualifiables de "données de santé" au sens de l'article 9 du RGPD : la catégorie la plus protégée.

Le praticien n'a pas demandé ces informations médicales : le patient les a fournies spontanément. Mais dès que le formulaire les réceptionne et les stocke (dans une boîte email, un CRM, ou une base de données), le traitement de ces données de santé est soumis aux obligations renforcées du RGPD, que le praticien en soit conscient ou non.

Les 5 éléments obligatoires dans le formulaire

1
La finalité du traitement

Le patient doit savoir pourquoi ses données sont collectées. La finalité doit être spécifique, pas générique. "Vos données sont utilisées pour traiter votre demande de consultation et vous recontacter" est correct. "Vos données peuvent être utilisées à des fins commerciales" serait interdit sur un site médical (et violerait aussi la déontologie).

2
L'identité du responsable de traitement

Qui collecte les données ? Le praticien, identifié par son nom et ses coordonnées. Cette information est généralement accessible via le lien vers les mentions légales : un lien depuis le formulaire est suffisant si les mentions légales contiennent cette identification.

3
La durée de conservation des données

Combien de temps les données seront-elles conservées ? Pour les demandes de consultation non suivies d'un rendez-vous, une durée courte (3 à 6 mois) est raisonnable. Pour les données de patients effectivement reçus en consultation, les obligations légales de conservation des dossiers médicaux s'appliquent (20 ans en général).

4
Le lien vers la politique de confidentialité

La politique de confidentialité détaille l'ensemble des droits du patient (accès, rectification, suppression, portabilité, opposition) et les conditions complètes du traitement. Ce lien doit être visible et accessible directement depuis le formulaire.

5
La case de consentement

Pour les données sensibles, dont les données de santé, une case de consentement explicite est nécessaire. Cette case doit être non pré-cochée, accompagnée d'une formulation claire ("J'accepte que mes données soient utilisées pour répondre à ma demande de consultation"), et le patient ne doit pas pouvoir soumettre le formulaire sans l'avoir cochée.

Exemple de mention conforme

Mention conforme à intégrer sous le formulaire :

"Les informations recueillies dans ce formulaire sont traitées par le Dr [Nom] pour répondre à votre demande de consultation. Elles sont conservées pendant [durée] et ne sont communiquées à aucun tiers. Conformément au RGPD, vous disposez d'un droit d'accès, de rectification et de suppression de vos données. Pour exercer ces droits, contactez : [email]. En savoir plus : Politique de confidentialité."

Cette mention couvre la finalité, l'identité du responsable, la durée, les droits et le lien vers la politique complète.

Ce qui est strictement interdit

Violations courantes

  • Aucune mention RGPD : formulaire sans information sur le traitement des données
  • Case pré-cochée : le consentement doit être actif, pas passif
  • Finalité vague : “vos données peuvent être utilisées” sans préciser comment
  • Utilisation secondaire : ajouter automatiquement le patient à une newsletter sans consentement distinct
  • Transfert à des tiers : transmettre les données à un prestataire sans le mentionner
  • Conservation indéfinie : stocker les demandes de contact sans durée limite définie

Pratiques conformes

  • Mention complète avec finalité, responsable, durée, droits
  • Case de consentement active (non pré-cochée) pour les données sensibles
  • Finalité précise et limitée à la demande de consultation
  • Consentement distinct pour toute autre utilisation (newsletter, etc.)
  • Identification des sous-traitants dans la politique de confidentialité
  • Durée de conservation définie et adaptée au type de données

Le cas des formulaires de prise de rendez-vous en ligne

Les systèmes de rendez-vous en ligne (Doctolib, Calendly, systèmes propriétaires) collectent encore plus de données que le formulaire de contact : date de naissance, motif de consultation, informations de santé préalables. Ils sont souvent intégrés sans vérification de conformité RGPD.

Doctolib est une plateforme conforme au RGPD et aux exigences spécifiques des données de santé en France (hébergement chez un Hébergeur de Données de Santé certifié HDS). L'utilisation de Doctolib pour la prise de rendez-vous transfère la responsabilité de conformité sur la plateforme pour les données traitées par elle. En revanche, si le praticien utilise un système propriétaire ou un plugin de réservation standard, il est responsable de sa conformité.

Ce que les agences web oublient systématiquement

Les agences qui créent des sites médicaux avec des outils standard (WordPress, Wix, etc.) intègrent souvent des formulaires générés automatiquement par le CMS ou un plugin. Ces formulaires fonctionnent, mais n’incluent pas les mentions RGPD requises.

87%

Part estimée des sites de praticiens dont les formulaires de contact ne respectent pas intégralement les obligations RGPD, selon les analyses réalisées sur des sites audités. La mention RGPD absente et la case de consentement pré-cochée ou absente sont les manquements les plus fréquents.

Estimation basée sur les audits de sites médicaux réalisés

La conformité RGPD d’un formulaire médical doit être vérifiée explicitement lors de la création du site, pas ajoutée comme patch après coup. Il est plus simple d’intégrer les mentions dès la conception que de les ajouter à un formulaire existant et d’en vérifier le bon fonctionnement.

À retenir
  • Les formulaires médicaux peuvent collecter des données de santé au sens de l’article 9 RGPD : protection renforcée obligatoire
  • 5 éléments obligatoires : finalité, responsable de traitement, durée de conservation, lien politique de confidentialité, case de consentement
  • La case de consentement doit être non pré-cochée et le formulaire ne doit pas être soumettable sans elle
  • Doctolib est HDS certifié et conforme : les systèmes propriétaires de réservation sont de la responsabilité du praticien
  • La conformité doit être intégrée dès la conception, pas ajoutée après coup

Notre audit déontologique de site médical vérifie tous les points de collecte de données sur votre site : formulaires, cookies, mentions légales. Voir aussi : RGPD et site médical : les obligations complètes.