Skip to content
Actualités calendar_today Mis à jour: 6 avril 2026 schedule 5 min de lecture

Un medecin sanctionne pour un formulaire d'inscription en ligne

Un medecin a ete sanctionne parce que son formulaire d'inscription en ligne collectait des donnees medicales sans securite adequate ni consentement valide. Que s'est-il passe et quelles lecons en tirer?

summarize Points clés
  • check_circle Les donnees medicales sont des donnees sensibles au sens du RGPD et necessitent une protection renforcee
  • check_circle Un formulaire de contact standard sur votre site web ne convient pas pour collecter des donnees de sante
  • check_circle Vous avez besoin d'une base juridique valide, et pour les donnees de sante les exigences sont plus strictes
  • check_circle La securite des formulaires en ligne est votre responsabilite, meme si vous utilisez un outil tiers

Que s’est-il passe?

Un medecin generaliste en Belgique proposait sur son site web un formulaire d’inscription en ligne pour les nouveaux patients. Le formulaire demandait le nom, l’adresse, la date de naissance et les coordonnees, mais aussi les antecedents medicaux, les medicaments en cours et les allergies.

Le probleme? Le formulaire etait un formulaire web standard sans securite adequate. Les donnees etaient transmises et stockees sans chiffrement. Aucune declaration de confidentialite n’etait liee au formulaire. Et aucun consentement explicite n’etait demande pour le traitement des donnees de sante.

L’autorite de controle a decouvert la situation apres la plainte d’un patient et a impose une amende.

Pourquoi c’est si problematique

Donnees sensibles

Les donnees de sante relevent des “categories particulieres de donnees” du RGPD. L’article 9 interdit leur traitement, sauf si une exception specifique s’applique. Pour un medecin, cette exception existe dans le cadre de la relation de soins, mais toutes les exigences de securite doivent etre respectees.

Un formulaire en ligne collectant des donnees de sante sans securite adequate enfreint plusieurs principes du RGPD simultanement:

  • Integrite et confidentialite (Article 5(1)(f)) - les donnees n’etaient pas correctement securisees
  • Transparence (Article 5(1)(a)) - le patient n’etait pas correctement informe du traitement
  • Securite (Article 32) - aucune mesure technique appropriee n’etait en place

Ce n’est pas une question de volume

Il ne s’agissait pas d’une fuite massive de milliers de dossiers. C’est la maniere dont les donnees sensibles etaient collectees qui posait probleme: via un formulaire non securise, sans consentement, sans transparence. L’autorite a souligne que la sensibilite des donnees impose des normes de securite plus elevees.

Les lecons a retenir

1. Connaissez vos donnees

Identifiez quelles donnees vous collectez via votre site web. Un formulaire de contact avec nom et email est tres different d’un formulaire demandant des informations medicales ou des allergies. Des que vous collectez des donnees de sante ou d’autres categories particulieres, des regles plus strictes s’appliquent.

2. Securisez vos formulaires

Tout formulaire en ligne collectant des donnees personnelles doit au minimum:

  • Etre heberge sur un site avec TLS (https)
  • Stocker les donnees de maniere chiffree
  • Disposer de controles d’acces sur les donnees stockees
  • Ne pas transmettre les donnees par email non securise

Pour les donnees sensibles, des exigences supplementaires s’appliquent: stockage chiffre, acces restreint, et de preference un portail patient securise plutot qu’un formulaire web ouvert.

3. Informez et obtenez le consentement

Associez une declaration de confidentialite a votre formulaire. Expliquez:

  • Quelles donnees vous collectez et pourquoi
  • Combien de temps vous conservez les donnees
  • Avec qui vous partagez les donnees
  • Comment la personne concernee peut exercer ses droits

Pour les categories particulieres de donnees, vous avez souvent besoin d’un consentement explicite. Une case pre-cochee ne suffit pas.

4. Utilisez les bons outils

Un plugin de formulaire de contact standard n’est pas concu pour collecter des donnees medicales. Envisagez:

  • Un portail patient securise
  • Un outil de formulaire conforme aux exigences du RGPD pour les donnees sensibles
  • Un formulaire qui chiffre les donnees localement avant l’envoi

Verifiez egalement ou les donnees aboutissent. Sont-elles stockees chez un tiers? Dans quel pays? Avez-vous un contrat de sous-traitance?

Pas seulement pour les medecins

Cette affaire concernait un medecin, mais la lecon s’applique a tous ceux qui collectent des donnees sensibles via des formulaires en ligne:

  • Kinesitherapeutes et psychologues proposant des formulaires d’admission en ligne
  • Salles de sport demandant des declarations de sante via leur site web
  • Services RH demandant des informations medicales aux candidats
  • Coachs et therapeutes avec des questionnaires d’anamnese en ligne
  • Assureurs traitant des declarations de sante numeriquement

Le message est clair: si vous collectez des donnees sensibles via votre site web, assurez-vous que la securite et la transparence sont en ordre.

Verifiez vos propres formulaires

Examinez votre site web d’un oeil critique. Quels formulaires avez-vous? Quelles donnees collectez-vous? Ou sont-elles stockees? La connexion est-elle securisee? Avez-vous une declaration de confidentialite? Ce sont des questions auxquelles vous pouvez repondre des aujourd’hui.

auto_awesome Vous collectez des donnees sensibles via des formulaires?

GDPRWise analyse votre site web et detecte automatiquement quelles donnees personnelles vous collectez via les formulaires, cookies et tiers. Avec des conseils personnalises.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.