Imaginez : vous sortez du cabinet de votre médecin, et soudain, vous vous demandez où finissent vos résultats d’analyses, vos antécédents familiaux, ou même la simple mention de votre dernier vaccin. Qui y a accès ? Combien de temps sont-ils conservés ? Et si un hacker mettait la main dessus ? Depuis mai 2018, une loi européenne (la RGPD) a musclé la protection de ces infos ultra-sensibles. Mais concrètement, qu’est-ce que ça change pour vous au quotidien ? On vous explique, avec des exemples précis et des réflexes à adopter dès votre prochaine consultation.
Votre médecin doit vous expliquer (enfin) ce qu’il fait de vos données
Avant la RGPD, beaucoup de patients ignoraient que leurs données médicales pouvaient être partagées avec des labos, des assureurs, ou même des chercheurs. Désormais, votre médecin ou votre pharmacien a l’obligation de vous informer clairement : via un affichage en salle d’attente, un document remis à l’accueil, ou même un simple panneau près de la caisse. Ce texte doit préciser quelles données sont collectées (ex : votre tension artérielle, vos allergies), pourquoi (suivi médical, facturation), et qui peut y accéder (autres soignants, votre mutuelle). Si ce n’est pas le cas, vous avez le droit de demander des comptes. Un détail qui compte : ces infos doivent être rédigées en langage simple, pas en jargon juridique. Si vous tombez sur un charabia incompréhensible, c’est un mauvais signe.
Vous pouvez exiger un accès à vos données (et ça prend 1 mois max)
Saviez-vous que vous avez le droit de demander une copie de toutes les données que votre médecin ou votre hôpital détient sur vous ? Depuis la RGPD, les professionnels de santé ont 1 mois pour vous les fournir (gratuitement, sauf si votre demande est « manifestement excessive »). Concrètement, vous pouvez envoyer un mail ou une lettre à votre praticien en précisant : « Je souhaite accéder à l’ensemble de mes données personnelles détenues par votre cabinet, conformément à l’article 15 du RGPD. » Vous recevrez alors un dossier avec vos comptes-rendus de consultation, vos résultats d’examens, et même les notes prises par le médecin pendant vos rendez-vous. Attention : certaines infos peuvent être caviardées (ex : des annotations subjectives du soignant). Si on vous refuse l’accès sans justification valable, vous pouvez saisir la CNIL.
Votre carte Vitale devient un coffre-fort (si vous le voulez)
Votre carte Vitale contient déjà des infos basiques (nom, numéro de sécurité sociale), mais depuis 2018, elle peut aussi stocker des données médicales sensibles… à condition que vous donniez votre accord. Par exemple, vous pouvez y ajouter vos allergies, vos traitements en cours, ou même vos directives anticipées (si vous ne souhaitez pas être réanimé en cas d’accident). Le principe ? Tout est volontaire. Aucun professionnel de santé ne peut activer ces fonctionnalités sans votre consentement explicite. Pour l’instant, peu de patients utilisent cette option, mais elle peut sauver des vies en cas d’urgence. Problème : la plupart des gens ignorent que cette possibilité existe. Demandez à votre médecin traitant de vous expliquer comment activer ces options lors de votre prochaine visite.
En cas de fuite de données, on doit vous prévenir (et vite)
Si un cabinet médical, un hôpital ou un labo se fait pirater et que vos données fuient, la RGPD impose une obligation de transparence. Les professionnels ont 72 heures maximum pour signaler l’incident à la CNIL, et si le risque pour vos droits est « élevé » (ex : fuite de vos résultats d’analyse VIH), ils doivent vous prévenir personnellement. En 2022, la CNIL a infligé une amende de 1,5 million d’euros à un hôpital français pour avoir tardé à signaler une fuite de données. Moralité : si vous recevez un mail ou un courrier vous informant d’une violation, ne paniquez pas, mais vérifiez que les mesures correctives sont bien mises en place (ex : changement de mots de passe, surveillance renforcée). Et si vous suspectez une fuite mais que personne ne vous a contacté, vous pouvez vérifier sur le site de la CNIL si l’incident a été déclaré.
- Vérifiez si votre médecin affiche bien ses mentions RGPD en salle d’attente. Si ce n’est pas le cas, demandez-lui pourquoi (un simple oubli peut arriver, mais une absence totale est un red flag).
- Avant de signer un consentement pour le partage de vos données (ex : avec un labo ou un chercheur), lisez bien les petites lignes. Si le texte est flou sur la durée de conservation ou les destinataires, refusez.
- Pour demander une copie de vos données médicales, envoyez un mail avec l’objet : « Demande d’accès RGPD – [Votre nom] ». Conservez une preuve d’envoi (accusé de réception ou copie du mail).
- Si vous utilisez une appli de santé (ex : suivi de glycémie, carnet de vaccination), vérifiez dans les paramètres quelles données sont partagées avec des tiers. Désactivez les options inutiles.
- En cas de doute sur la sécurité de vos données, contactez la CNIL via leur formulaire en ligne. Ils répondent sous 15 jours en moyenne.
Est-ce que mon médecin a le droit de refuser de me donner mes données ?
Non, sauf exceptions très précises (ex : si la divulgation risque de nuire à votre santé mentale). Dans ce cas, il doit justifier son refus par écrit. Si vous estimez que le motif n’est pas valable, vous pouvez saisir la CNIL.
Combien de temps mes données médicales sont-elles conservées ?
En France, les professionnels de santé doivent conserver vos dossiers pendant 20 ans après votre dernière consultation (ou jusqu’à vos 28 ans si vous étiez mineur). Pour les données de recherche, la durée peut varier. Votre médecin doit vous informer de ces délais.
Puis-je demander la suppression de mes données ?
Oui, mais seulement si elles ne sont plus nécessaires pour votre suivi médical. Par exemple, vous pouvez demander à supprimer un ancien compte-rendu de consultation obsolète. En revanche, votre médecin a l’obligation légale de conserver certaines infos (ex : vos vaccins).
Que faire si je découvre que mes données ont été partagées sans mon accord ?
Signalez-le d’abord au professionnel concerné. S’il ne réagit pas, vous pouvez déposer une plainte auprès de la CNIL. En 2023, 12 % des plaintes reçues par la CNIL concernaient le secteur de la santé.
Est-ce que la RGPD s’applique aussi aux applis de santé comme Doctolib ou Mon Espace Santé ?
Oui, absolument. Ces plateformes doivent respecter les mêmes règles que les cabinets médicaux. Vérifiez leurs politiques de confidentialité : elles doivent préciser quelles données sont collectées, avec qui elles sont partagées, et comment les supprimer.
Mon assurance peut-elle accéder à mes données médicales ?
Non, sauf si vous avez explicitement donné votre accord (ex : pour un remboursement de soins). Les assureurs n’ont pas le droit de demander vos dossiers médicaux complets. Si une compagnie vous le propose en échange d’un bonus, méfiez-vous : c’est illégal.
