Le RGPD (Règlement Général sur la Protection des Données) s’applique à tous les sites web qui collectent des données personnelles — et un site médical en collecte dès qu’il dispose d’un formulaire de contact. Pourtant, la conformité RGPD des sites de praticiens est souvent lacunaire.

Ce qui constitue une collecte de données personnelles

Sur un site médical, les données personnelles incluent :

  • Nom et prénom d’un visiteur qui remplit un formulaire
  • Adresse email ou numéro de téléphone
  • Les données de navigation si vous utilisez Google Analytics
  • Les préférences de cookies

Même un simple formulaire “Nom, Email, Message” constitue une collecte de données personnelles soumise au RGPD.

Les obligations concrètes

La politique de confidentialité

Tout site collectant des données doit informer les visiteurs de :

  • Quelles données sont collectées
  • Pour quel objectif
  • Combien de temps elles sont conservées
  • Qui a accès à ces données
  • Comment exercer les droits d’accès, de rectification et d’effacement

Cette politique doit être accessible depuis toutes les pages (généralement en footer).

Le consentement aux cookies

Si votre site utilise des cookies de traçage (Google Analytics, Meta Pixel, etc.), vous devez obtenir le consentement explicite du visiteur avant de les activer. Le bandeau de cookies doit proposer un refus aussi facile que l’acceptation.

Les formulaires

Chaque formulaire de contact doit comporter une mention informant l’utilisateur de la collecte de ses données et un lien vers la politique de confidentialité.

Le HTTPS obligatoire

Un site médical en HTTP (sans certificat SSL) viole les recommandations de la CNIL. Le HTTPS est obligatoire pour tout site qui transmet des données.

Le cas particulier des données de santé

Si un patient mentionne des informations médicales dans un formulaire (ce qui arrive souvent : “je souhaite une rhinoplastie suite à un accident”), ces données sont catégorisées comme “données de santé” — la catégorie la plus sensible du RGPD. Leur traitement requiert des mesures de protection renforcées.

Risques en cas de non-conformité

La CNIL peut infliger des amendes allant jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros. Pour un cabinet libéral, le risque réel est de l’ordre de quelques milliers à dizaines de milliers d’euros selon la gravité et la récidive.

Une approche sans cookies : la solution la plus simple

La meilleure façon de simplifier la conformité RGPD est d’éviter les cookies de traçage. Un site sans Google Analytics, sans Meta Pixel, sans cookies tiers n’a pas besoin de bandeau de consentement. Pour le suivi du référencement, Google Search Console suffit — c’est un outil back-end qui ne dépose aucun cookie sur votre site.