Données de santé en cabinet libéral 2026 : RGPD, cyber, responsabilité

Les données de santé que vous traitez chaque jour (dossier patient informatisé, ordonnances, résultats d'analyses, télétransmissions Sécurité Sociale) sont qualifiées par la CNIL de « données sensibles » au sens de l'article 9 du RGPD. En cabinet libéral, vous êtes à la fois responsable de traitement et cible privilégiée des cyberattaques. Ce guide pratique fait le tour des obligations concrètes, des risques cyber qui pèsent sur les soignants en 2026 et des bons réflexes pour protéger vos patients, votre cabinet et votre responsabilité professionnelle. Aucune théorie superflue, juste ce qu'il faut pour être en règle et bien couvert.

Données de santé : définition et qualification juridique en 2026

Avant toute obligation, il faut savoir ce que la loi entend par données de santé. Le RGPD (article 4) et la CNIL retiennent une définition très large : toute donnée à caractère personnel relative à la santé physique ou mentale d'une personne, qu'elle soit issue d'un acte médical, d'un dispositif connecté ou d'une simple observation clinique. Cela inclut le numéro de Sécurité Sociale (NIR) lorsqu'il est associé à un parcours de soins.

Concrètement, sont des données de santé en cabinet libéral : le dossier patient informatisé (DPI), l'historique des consultations, les résultats biologiques, les images médicales, les prescriptions, mais aussi les données de la carte Vitale lue via la carte CPS et même les rendez-vous pris en ligne quand ils mentionnent un motif. Cette catégorisation déclenche un régime de protection renforcé et engage votre responsabilité dès la première minute d'exercice.

• Catégorie spéciale : article 9 RGPD, traitement interdit par principe sauf exception légale (consentement, mission de soins)
• Périmètre élargi : DPI, ordonnances, résultats, agendas avec motif, télétransmission
• Identifiants associés : NIR, numéro ADELI, identifiant national de santé (INS)
• Source officielle : qualification par la CNIL et l'Agence du Numérique en Santé (ANS)

En pratique, dès que vous ouvrez votre logiciel métier le matin, vous traitez des données de santé. Vous êtes donc responsable de traitement au sens du RGPD, avec toutes les obligations qui en découlent.

À noter que la qualification de données de santé dépasse le seul dossier médical. La CNIL inclut également les données administratives liées au parcours de soins (numéro de sécurité sociale rattaché à un acte, prises de rendez-vous récurrentes chez un spécialiste, justificatifs d'arrêt de travail) dès lors qu'elles permettent, par recoupement, de déduire un état pathologique. Concrètement, un agenda de cabinet et une feuille de soins relèvent du même régime protecteur que l'ordonnance ou le compte-rendu d'examen.

Quelles obligations RGPD et HDS pour le soignant libéral ?

Vos obligations pratiques se concentrent sur six chantiers concrets. Aucun n'est optionnel et chacun est contrôlable par la CNIL en cas de plainte ou d'incident. Voici la grille de référence à appliquer dans votre cabinet en 2026, avec les sanctions associées en cas de manquement.

Le plafond maximal de sanction RGPD atteint 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour un cabinet libéral, la CNIL applique ces seuils de façon proportionnée, mais des amendes de 5 000 à 50 000 € sont régulièrement prononcées contre des professionnels de santé pour défaut de sécurité ou registre absent. La CNIL publie des modèles de registre spécifiques au secteur médical pour faciliter votre mise en conformité.

Deux obligations méritent un focus particulier en 2026. D'abord, la durée de conservation : le dossier patient se conserve 20 ans à compter de la dernière consultation, ou 10 ans après le décès du patient, selon la recommandation de la CNIL. Ensuite, l'hébergement : le décret n°2026-209 du 24 mars 2026 impose désormais que tout stockage de données de santé soit réalisé exclusivement sur le territoire de l'UE ou de l'EEE, et oblige l'hébergeur à publier une cartographie de ses transferts hors zone européenne.

• AIPD : analyse d'impact obligatoire pour tout cabinet de groupe traitant plus de 10 000 dossiers ou utilisant un dispositif de télémédecine
• Sous-traitants : contrat article 28 RGPD signé avec l'éditeur du logiciel métier, le secrétariat externalisé et le prestataire de sauvegarde

Cyber-risques 2026 : pourquoi le cabinet libéral est une cible

Les données de santé valent en 2026 entre 10 et 50 fois plus cher qu'une donnée bancaire sur le marché noir. Cette valeur attire massivement les cybercriminels et place les cabinets libéraux en première ligne. Selon une étude CESIN-Hiscox publiée fin 2025, près de 60 % des structures de santé françaises ont subi au moins une cyberattaque entre 2023 et 2025, avec une part croissante de cabinets individuels et de maisons de santé.

Trois menaces dominent en cabinet libéral. Le rançongiciel chiffre vos fichiers et exige une rançon (souvent 5 000 à 50 000 € pour un petit cabinet) pour les déverrouiller. Le vol de DPI revend les dossiers patients sur le dark web. Enfin, le phishing via faux mails Sécurité Sociale ou faux ANS reste la porte d'entrée numéro un. L'ANSSI et l'ENISA placent toutes deux le secteur santé parmi les trois cibles les plus exposées en Europe.

• Rançongiciel : chiffrement du DPI, paralysie de la télétransmission, perte d'accès aux ordonnances en cours
• Vol de DPI : exfiltration silencieuse, revente sur dark web, chantage au patient
• Phishing carte CPS : faux portail Ameli, capture du mot de passe, usurpation
• Compromission cloud : accès illégitime à un hébergeur mal sécurisé, fuite massive
• Erreur humaine : pièce jointe par erreur, clé USB perdue, mot de passe partagé

Le coût moyen d'un incident cyber en santé est estimé à 15 000 à 80 000 € pour un cabinet libéral selon le baromètre Hiscox 2025, sans compter les notifications RGPD et la perte de patientèle. Sur le terrain, les courtiers MADP constatent que les cabinets de groupe et les maisons de santé pluriprofessionnelles sont particulièrement exposés depuis 2024, en raison du nombre d'utilisateurs et des accès distants.

Les chiffres récents confirment l'exposition du secteur. Selon le Panorama de la cybermenace 2025 de l'ANSSI, la santé concentre 10 % des secteurs particulièrement visés, et 128 compromissions par rançongiciel ont été recensées sur l'année, avec la souche Qilin en tête (21 % des cas). En parallèle, les exfiltrations de données de santé sans chiffrement préalable ont bondi de 130 à 196 incidents recensés, soit une hausse de 50 % en un an.

L'affaire Cegedim de fin 2025 illustre concrètement ce risque pour la pratique libérale : 1 500 médecins ont vu leur logiciel métier compromis, exposant les données de 15 millions de patients, dont 164 000 jugées sensibles. Un cabinet seul n'est jamais à l'abri d'une attaque ciblant son éditeur, son hébergeur ou son secrétariat externalisé.

Bonnes pratiques de sécurité pour protéger les données de santé

La conformité RGPD passe par des mesures techniques et organisationnelles. Bonne nouvelle : la majorité d'entre elles sont gratuites ou peu coûteuses. Mais elles supposent de la rigueur quotidienne. Voici les huit réflexes à instaurer pour sécuriser vos données de santé en cabinet, alignés sur le référentiel ANSSI et les recommandations de l'Agence du Numérique en Santé.

D'abord, durcissez vos accès. Mots de passe d'au moins 12 caractères, double authentification sur tous les outils sensibles (DPI, télétransmission, messagerie sécurisée MSSanté), session à code court côté CPS. Ensuite, sauvegardez chaque jour sur un support déconnecté, car un rançongiciel chiffre les sauvegardes connectées en réseau. Mettez à jour vos systèmes mensuellement et limitez les droits d'administration au strict nécessaire.

• Carte CPS : ne jamais la laisser dans le lecteur en quittant le poste, code à 4 chiffres distinct du PIN bancaire
• Mots de passe : 12+ caractères, gestionnaire dédié, jamais sur post-it ni partagés entre praticiens
• Double authentification : activée sur Ameli Pro, MSSanté, logiciel métier, messagerie
• Sauvegarde 3-2-1 : 3 copies, 2 supports différents, 1 hors site (cloud HDS ou disque externe déconnecté)
• Mises à jour : Windows, antivirus, logiciel métier, navigateur, dans le mois suivant la publication
• Cloisonnement : poste pro distinct du poste perso, Wi-Fi patient séparé du Wi-Fi cabinet
• Sensibilisation : 1 h de formation annuelle pour vous et votre secrétariat (phishing, USB, mots de passe)
• Procédure incident : qui appelle qui en cas de suspicion de fuite (DPO, hébergeur, assureur, CNIL)

Ces mesures couvrent l'essentiel des contrôles CNIL en 2026 et réduisent fortement la probabilité d'incident. Elles conditionnent aussi l'indemnisation par votre contrat de protection des biens et cyber : un assureur peut limiter sa prise en charge si la sauvegarde était inexistante ou les mots de passe partagés.

Responsabilité du soignant en cas de fuite de données de santé

Une violation de données de santé engage trois responsabilités cumulables. La responsabilité administrative auprès de la CNIL (amende, mise en demeure, publicité de la sanction). La responsabilité civile envers les patients lésés (dommages et intérêts en cas de préjudice prouvé). Et la responsabilité pénale si l'on démontre une négligence caractérisée ou un manquement au secret médical (article 226-13 du Code pénal, jusqu'à 1 an de prison et 15 000 € d'amende).

De plus, le Conseil de l'Ordre peut prononcer une sanction disciplinaire allant jusqu'à l'interdiction temporaire d'exercer. Or, ces conséquences ne sont pas toutes assurables : une amende administrative ne se rembourse pas, mais les frais de défense, les dommages-intérêts civils et les coûts de remédiation le sont via une cyber-assurance et une protection juridique bien dimensionnées.

• Sanction CNIL : amende, mise en demeure, publication de la décision sur le site de l'autorité
• Action civile : indemnisation du préjudice moral et matériel des patients
• Sanction pénale : violation du secret professionnel, atteinte aux droits de la personne
• Sanction ordinale : avertissement, blâme, interdiction temporaire
• Atteinte à la réputation : perte de confiance et de patientèle, souvent durable

En pratique, le réseau MADP accompagne régulièrement des praticiens confrontés à un incident cyber. Le retour terrain est constant : sans contrat dédié couvrant les données de santé, la facture totale (expertise, restauration, défense, indemnisation) dépasse souvent 30 000 € pour un cabinet seul. Avec une cyber-assurance bien calibrée, le reste à charge se limite à la franchise.

Les sanctions ne sont pas théoriques. En décembre 2020, la CNIL a infligé des amendes de 3 000 € et 6 000 € à deux médecins libéraux dont les images médicales étaient librement accessibles sur internet à cause d'une mauvaise configuration de leur box et de leur logiciel d'imagerie. Le grief principal n'était pas tant la fuite elle-même que l'absence de notification à la CNIL dans les 72 heures, exigée par l'article 33 du RGPD. Par conséquent, documenter et déclarer reste aussi décisif que protéger.

• Volet pénal : article 226-17 du Code pénal, jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende pour défaut de sécurité
• Volet ordinal : saisine possible du Conseil de l'Ordre pour manquement au secret professionnel (article R.4127-4 CSP pour les médecins)

Cyber-assurance et protection juridique : le bon dimensionnement en 2026

Une cyber-assurance dédiée santé ne se résume pas à une option marketing. Elle doit couvrir au minimum cinq postes : frais de notification CNIL et patients, restauration des systèmes, perte d'exploitation pendant l'indisponibilité, frais de défense en cas de poursuites et assistance experte 24h/24. Combinée à la responsabilité civile professionnelle et protection juridique, elle ferme la quasi-totalité des trous de couverture.

Pour un cabinet de médecin généraliste, comptez 200 à 500 € par an pour un contrat cyber correctement calibré. Pour une maison de santé pluriprofessionnelle, la cotisation monte à 1 000 à 2 500 € selon le nombre de praticiens et la valeur du DPI. Ces montants sont déductibles du bénéfice imposable comme charges professionnelles. Vérifiez surtout trois points avant de signer : le plafond d'indemnisation par sinistre, les exclusions liées à l'absence de sauvegarde, et la présence d'une assistance francophone disponible la nuit et le week-end.

L'offre de MADP Assurances, spécialiste historique des professions médicales, intègre la cyber-protection dans une logique globale aux côtés de la RCP, de la multirisque cabinet et de la prévoyance. Cette approche évite les superpositions et les angles morts entre contrats. Pour bâtir une couverture cohérente et obtenir un devis, le plus simple reste un échange direct avec un courtier via la page contact.

En revanche, toutes les cyber-assurances ne se valent pas pour un soignant libéral. Trois garanties font la différence en pratique : la prise en charge des frais de notification CNIL et patients (souvent plusieurs milliers d'euros par millier de dossiers concernés), l'assistance technique 24/7 par un CERT référencé par l'ANS, et la défense pénale en cas de poursuite ordinale ou judiciaire consécutive à la fuite.

FAQ : données de santé en cabinet libéral

Qu'est-ce qu'une donnée de santé au sens du RGPD ?

Une donnée de santé est, selon l'article 4 du RGPD et la définition de la CNIL, toute donnée personnelle relative à la santé physique ou mentale d'une personne, qu'elle révèle un état de santé passé, présent ou futur. En cabinet libéral, cela englobe le dossier patient informatisé, les ordonnances, les résultats biologiques, les images médicales, les données de la carte Vitale, mais aussi le NIR et l'identifiant national de santé lorsqu'ils sont liés à un parcours de soins. Ces données relèvent de l'article 9 du RGPD, qui interdit en principe leur traitement, sauf exception légale comme la mission de soins.

Suis-je obligé de désigner un DPO pour mon cabinet libéral ?

La désignation d'un DPO devient obligatoire dès lors que vous traitez des données de santé à grande échelle. La CNIL considère qu'un cabinet individuel sans regroupement peut s'en dispenser, mais elle recommande la désignation pour toute structure de groupe ou maison de santé pluriprofessionnelle. En pratique, la solution la plus économique est de mutualiser un DPO via votre URPS, votre ordre professionnel ou un prestataire externe spécialisé santé. Le coût annuel se situe entre 300 et 1 200 € selon la taille du cabinet et le périmètre de mission.

Mon logiciel métier doit-il être hébergé chez un hébergeur HDS ?

Oui. Dès que vos données de santé sont stockées dans le cloud, l'hébergement doit être réalisé par un prestataire certifié Hébergeur de Données de Santé (HDS), conformément à l'article L.1111-8 du Code de la santé publique. Cette obligation vaut aussi pour les sauvegardes externalisées. Demandez systématiquement à votre éditeur de logiciel le certificat HDS de l'hébergeur. À défaut, vous engagez votre responsabilité pénale (jusqu'à 3 ans de prison et 45 000 € d'amende) et administrative auprès de la CNIL. Les principaux hébergeurs HDS en France en 2026 sont OVHcloud, Outscale, Claranet, Equinix et Microsoft Azure (offre santé certifiée).

Que faire en cas de fuite de données de santé dans mon cabinet ?

La procédure est encadrée par le RGPD. D'abord, isoler immédiatement les postes touchés et préserver les preuves. Ensuite, notifier la CNIL dans les 72 heures via le formulaire en ligne, en décrivant la nature de l'incident, les catégories de personnes concernées et les mesures prises. Si le risque pour les patients est élevé (vol massif de DPI), informer aussi les personnes concernées sans délai. Parallèlement, prévenir votre cyber-assureur pour activer l'assistance et la prise en charge. Enfin, déposer plainte auprès de la gendarmerie ou de la police nationale et signaler l'incident à l'ANSSI via la plateforme cybermalveillance.gouv.fr.

La cyber-assurance prend-elle en charge les amendes CNIL ?

Non. Le Code des assurances et la jurisprudence interdisent l'assurance des sanctions administratives à caractère personnel. La cyber-assurance ne rembourse donc pas l'amende CNIL elle-même. En revanche, elle prend en charge les frais de défense (avocat, expertise, communication de crise), les frais de notification aux patients, la restauration des systèmes, la perte d'exploitation et l'indemnisation civile des patients lésés. Pour un cabinet libéral, ces postes représentent en pratique 80 à 90 % du coût total d'un incident. La part non assurée (l'amende) reste donc limitée si vous avez bien préparé votre dossier de conformité.

MADP propose-t-elle une couverture spécifique pour les données de santé ?

Oui. MADP Assurances, fondée en 1890 et spécialiste des professions de santé, propose une cyber-assurance dédiée intégrant notification RGPD, restauration informatique, perte d'exploitation et frais de défense. Cette protection se combine avec la responsabilité civile professionnelle et la protection juridique, la multirisque cabinet et la prévoyance dans une offre cohérente. Le réseau de courtiers partenaires MADP analyse votre situation (volume de DPI, hébergement, télétransmission, équipe) et calibre le contrat au plus juste. Pour un échange et un devis personnalisé, passez par la page contact.