Pourquoi le RGPD s'applique pleinement à la kinésithérapie
Le Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) classe les données de santé parmi les catégories "particulières" — c'est-à-dire sensibles — à l'article 9. Cette classification implique des obligations plus strictes que pour les données ordinaires.
En kinésithérapie, entrent dans cette catégorie :
- Tout diagnostic ou indication médicale (lombalgie, fracture, AVC…)
- Les mesures corporelles et bilans fonctionnels (amplitudes, force, EVA)
- Les prescriptions et ordonnances scannées
- Les photos et vidéos à visée clinique
- Les données d'observance des exercices à domicile
- Les questionnaires de qualité de vie (Oswestry, DASH, KOOS…)
Attention : stocker des données de santé sur des outils non conformes (Google Drive personnel, WhatsApp, fichiers Excel non chiffrés, logiciels sans certification HDS) constitue une violation du RGPD — même si aucune fuite ne se produit. La CNIL contrôle les conditions de traitement, pas seulement les incidents.
Les 5 obligations fondamentales pour votre cabinet
1. Base légale du traitement
Pour traiter des données de santé, vous devez disposer d'une base légale. En kinésithérapie libérale, la base légale principale est l'article 9.2(h) du RGPD : traitement nécessaire à des fins de médecine préventive ou de médecine du travail, de diagnostic médical, ou de prise en charge thérapeutique.
Cela signifie que vous n'avez pas besoin du consentement explicite du patient pour traiter ses données dans le cadre direct de sa prise en charge — la nécessité thérapeutique suffit. En revanche, vous avez besoin du consentement pour :
- Photos/vidéos utilisées à des fins de formation ou de communication (même anonymisées)
- Envoi de newsletters ou communications marketing
- Partage des données avec des tiers non impliqués dans le soin (chercheurs, assureurs)
2. Information du patient
L'article 13 du RGPD impose d'informer le patient, au moment de la collecte des données :
- Votre identité en tant que responsable du traitement
- La finalité du traitement (prise en charge thérapeutique)
- La durée de conservation des données
- Les droits du patient (accès, rectification, suppression, portabilité)
- L'identité des éventuels destinataires (secrétariat, remplaçants, logiciels utilisés)
En pratique : une fiche d'information RGPD remise au premier rendez-vous suffit dans la plupart des cas. Elle peut être intégrée au formulaire de prise en charge initial. La CNIL met à disposition des modèles adaptés aux professionnels de santé sur cnil.fr.
3. Hébergement des données de santé (HDS)
C'est l'obligation que les kinésithérapeutes négligent le plus. L'article L.1111-8 du Code de la Santé Publique impose que toute donnée de santé à caractère personnel hébergée sur un serveur tiers soit stockée chez un Hébergeur de Données de Santé (HDS) certifié par l'Agence du Numérique en Santé (ANS).
Ce que cela interdit concrètement :
- Stocker des dossiers patients sur Dropbox, Google Drive, ou iCloud
- Utiliser un logiciel de gestion dont l'hébergeur n'est pas certifié HDS
- Envoyer des données de santé non chiffrées par email standard
- Photographier des bilans cliniques et les stocker dans la galerie photo de votre téléphone
Comment vérifier qu'un logiciel est conforme : demandez au prestataire sa certification HDS (numéro de certificat et date d'expiration). La liste des hébergeurs certifiés est disponible et mise à jour sur esante.gouv.fr. Un prestataire qui ne peut pas vous fournir cette certification n'est pas conforme.
4. Durée de conservation des données
Le RGPD impose une durée de conservation limitée à ce qui est nécessaire. Pour les données de santé en kinésithérapie, les règles sont définies par le Code de la Santé Publique :
- Dossiers médicaux adultes : 20 ans à compter du dernier séjour ou de la dernière consultation (article R.1112-7 du CSP)
- Dossiers patients mineurs : jusqu'à la majorité plus 10 ans minimum (20 ans si cela dépasse)
- Données de facturation : 10 ans (droit comptable)
- Consentements écrits : durée de la relation, plus le temps de prescription applicable
Au-delà de ces durées, les données doivent être supprimées ou anonymisées de manière irréversible. Tenir un registre de vos politiques de conservation est une bonne pratique — et potentiellement demandé lors d'un contrôle CNIL.
5. Répondre à une violation de données
Une violation de données de santé (accès non autorisé, perte, vol de matériel) impose une double obligation :
- Notification à la CNIL dans les 72 heures si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes (article 33 RGPD). La notification se fait via le portail notifications.cnil.fr.
- Information des patients concernés si la violation est susceptible d'engendrer un risque élevé (article 34 RGPD) — par exemple : vol d'un ordinateur non chiffré contenant des dossiers patients.
L'amende n'est pas le seul risque. Les sanctions RGPD peuvent atteindre 4 % du chiffre d'affaires mondial ou 20 M€. Mais pour un kinésithérapeute libéral, le risque disciplinaire auprès de l'Ordre, la responsabilité civile professionnelle, et surtout la perte de confiance des patients sont des conséquences tout aussi concrètes.
La checklist de conformité RGPD pour les kinés
À vérifier dans votre cabinet
Le cas particulier des logiciels de suivi patient
L'adoption d'un logiciel de suivi patient ou d'envoi de programmes à domicile soulève des questions RGPD spécifiques. En adoptant un tel outil, vous devenez responsable de traitement, et le prestataire devient votre sous-traitant.
Le RGPD impose la signature d'un Accord de Sous-Traitance (DPA) avec tout prestataire traitant des données pour votre compte. Cet accord doit préciser :
- La nature et la finalité du traitement
- Les obligations de sécurité du prestataire
- Les conditions de sous-traitance ultérieure
- Les modalités de suppression des données en fin de contrat
Questions à poser à tout prestataire de logiciel :
1. Disposez-vous d'une certification HDS ? (Numéro de certificat)
2. Pouvez-vous me fournir un accord de sous-traitance (DPA) conforme RGPD ?
3. Où sont hébergées physiquement les données ? (Union européenne obligatoire, sauf encadrement spécifique)
4. Quelle est votre procédure en cas de violation de données ?
Ressources officielles
- CNIL : cnil.fr — référentiel santé, modèles de documents, notifications de violations
- Agence du Numérique en Santé : esante.gouv.fr — liste des hébergeurs HDS certifiés, référentiels de sécurité
- Ordre National des Masseurs-Kinésithérapeutes : ordremk.fr — positions déontologiques sur le numérique et la protection des données
- G_NIUS : g-nius.fr — guide numérique pour les professionnels de santé libéraux
Ce qu'il faut retenir
- Les données de kinésithérapie sont des données de santé — le régime RGPD le plus strict s'applique
- L'hébergement HDS est une obligation légale, pas une option — vérifiez la certification de vos prestataires
- Informez vos patients au premier rendez-vous de la manière dont leurs données sont traitées
- En cas de violation, vous avez 72h pour notifier la CNIL
- Tout logiciel traitant des données pour votre compte doit faire l'objet d'un accord de sous-traitance signé
- La non-conformité n'est pas un risque théorique — la CNIL contrôle activement le secteur santé depuis 2023
Références réglementaires et officielles
- Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD), notamment articles 9, 13, 33, 34. Texte intégral EUR-Lex
- Code de la Santé Publique, article L.1111-8 : hébergement des données de santé. Legifrance.gouv.fr
- Code de la Santé Publique, article R.1112-7 : durée de conservation des dossiers médicaux. Legifrance.gouv.fr
- CNIL. RGPD et professionnels de santé libéraux : ce que vous devez savoir. cnil.fr
- Agence du Numérique en Santé (ANS). Certification Hébergeurs de Données de Santé (HDS) — liste et référentiel. esante.gouv.fr
- CNIL. Bilan 2024 des sanctions et mesures correctrices — 87 sanctions, 55,2 M€, secteur santé prioritaire. cnil.fr