Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
RGPD

Doctolib et RGPD : guide de conformité 2026

Doctolib et RGPD : qui est responsable, sous-traitance, HDS, hébergement AWS, données de santé. Le guide pour un cabinet ou un patient en conformité.

En mars 2021, un collectif de professionnels de santé a saisi le Conseil d’État pour faire suspendre le partenariat entre l’État et Doctolib dans la campagne vaccinale : leur grief tenait à l’hébergement des données par AWS, filiale d’un groupe américain. Le juge des référés a rejeté la demande (CE, ord. 12 mars 2021, n° 450163). Mais l’affaire a posé une question que mes audits de cabinets médicaux retrouvent chaque mois : quand vous utilisez Doctolib, qui répond de quoi devant le RGPD ?

La réponse n’est pas évidente, parce qu’elle dépend de votre position. Voici un cadre opérationnel pour utiliser Doctolib en conformité, que vous soyez praticien, établissement ou patient.

Qui est responsable de traitement ? Tout dépend de votre rôle

C’est la distinction qui commande tout le reste, et celle que la plupart des praticiens manquent.

Lorsqu’un professionnel de santé utilise Doctolib pour gérer son agenda, ses rendez-vous et ses dossiers patients, c’est lui — le cabinet, le centre, l’établissement — qui détermine la finalité et les moyens du traitement. Il est le responsable de traitement au sens de l’article 4(7) du RGPD. Doctolib, qui héberge et traite ces données pour son compte, est son sous-traitant au sens de l’article 28 du RGPD. Conséquence directe : c’est le praticien, et non Doctolib, qui doit inscrire ce traitement à son registre des activités de traitement, informer ses patients et répondre de la conformité globale.

Mais Doctolib joue un second rôle, distinct. Pour la relation directe avec le patient — le compte personnel sur l’application, la fiche profil, l’historique de rendez-vous tous praticiens confondus, les rappels —, Doctolib agit comme responsable de traitement pour son propre compte. Un même flux de données peut donc relever de deux responsabilités différentes selon qu’on regarde le compte patient ou l’agenda du cabinet.

Pratiquement : si vous êtes praticien, ne croyez pas que « Doctolib s’occupe du RGPD ». Doctolib sécurise l’outil ; la conformité de votre usage reste la vôtre.

L’accord de sous-traitance (DPA) n’est pas optionnel

L’article 28(3) du RGPD impose que la relation entre vous et votre sous-traitant soit encadrée par un contrat écrit fixant l’objet, la durée, les finalités, les obligations et les garanties. Doctolib met à disposition un accord de protection des données (le DPA, ou Data Processing Agreement) intégré à ses conditions professionnelles.

Trois réflexes que je recommande systématiquement. D’abord, récupérer et archiver ce DPA : en cas de contrôle de la CNIL, l’absence de contrat de sous-traitance documenté est un manquement autonome, indépendant de tout incident. Ensuite, vérifier la liste des sous-traitants ultérieurs que Doctolib mobilise (hébergeur, services tiers) : l’article 28(2) vous donne un droit d’information et d’opposition sur cette chaîne. Enfin, cartographier précisément ce que vous y déposez — un agenda de rendez-vous n’a pas le même profil de risque qu’un dossier patient contenant des motifs de consultation.

Données de santé : la catégorie la plus protégée du RGPD

Tout ce qui transite par Doctolib n’est pas « donnée de santé », mais une partie l’est, et cela change le régime juridique.

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD : leur traitement est en principe interdit, sauf exception. Pour un cabinet, l’exception applicable est l’article 9(2)(h) — traitement nécessaire aux fins de médecine préventive, de diagnostic, de soins ou de gestion des systèmes de santé, mis en œuvre par un professionnel soumis au secret. Un simple créneau de rendez-vous (nom, date, heure) est une donnée personnelle ordinaire ; mais dès qu’apparaît un motif de consultation, une spécialité révélatrice (oncologie, addictologie, IVG) ou une note clinique, vous basculez dans le régime de l’article 9.

La conséquence opérationnelle est nette : appliquez le principe de minimisation de l’article 5(1)©. N’inscrivez dans les champs libres de Doctolib que le strict nécessaire. Le motif détaillé d’une consultation n’a pas à figurer dans un intitulé de rendez-vous visible par le secrétariat ; il relève du dossier médical, pas de l’agenda.

Hébergement : pourquoi la certification HDS est centrale

C’est le point qui a fait couler le plus d’encre, et celui où le droit français ajoute une exigence au RGPD.

L’article L1111-8 du Code de la santé publique impose que tout hébergement de données de santé à caractère personnel pour le compte d’un tiers soit confié à un hébergeur certifié HDS (Hébergeur de Données de Santé). Doctolib héberge ses données chez AWS (Amazon Web Services), dont la filiale est certifiée HDS, sur des centres de données situés à Francfort et à Paris. La donnée de santé reste donc, pour le stockage, sur le territoire de l’Union.

Deux nuances que je rappelle toujours. La première : la certification HDS porte sur l’hébergeur, mais l’éditeur de la solution — Doctolib — doit lui aussi être couvert par une certification HDS quand il manipule les données de santé. Vérifiez les certificats et leurs dates de validité ; le contrat HDS doit en mentionner le périmètre, l’émission et le renouvellement. La seconde : le référentiel HDS a été révisé, et les acteurs concernés doivent se mettre en conformité avec la nouvelle version d’ici mai 2026. C’est un point de veille à intégrer dans votre suivi fournisseur.

Le débat AWS, le CLOUD Act et la décision du Conseil d’État

L’hébergement chez AWS soulève une question récurrente : une filiale d’un groupe américain peut-elle garantir l’étanchéité face au CLOUD Act, cette loi qui permet aux autorités américaines d’exiger l’accès à des données détenues par un fournisseur soumis au droit des États-Unis, y compris hors du territoire ?

Saisi en référé-liberté en 2021, le Conseil d’État a refusé de suspendre le dispositif. Pour écarter l’existence d’une atteinte grave et manifestement illégale, il a relevé un faisceau de garanties : le chiffrement des données avec un séquestre de la clé confié à un tiers de confiance situé en France, le caractère limité des données concernées (identification et rendez-vous, et non les motifs médicaux), une durée de conservation plafonnée, et un avenant Doctolib–AWS organisant une procédure de contestation des demandes d’accès non conformes au droit de l’Union. Cette décision s’inscrit dans le sillage de l’arrêt Schrems II de la CJUE du 16 juillet 2020 et de la logique des transferts de données hors UE du chapitre V du RGPD.

À retenir : la décision valide une situation précise, sous conditions de garanties techniques fortes. Elle ne signifie pas qu’un hébergement chez un acteur soumis au droit américain est sans enjeu — elle confirme que le chiffrement et la gouvernance des clés sont déterminants. Pour vos propres traitements sensibles, c’est exactement le standard à viser.

Sécurité, AIPD et violations : vos obligations résiduelles

L’article 32 du RGPD impose des mesures de sécurité adaptées au risque, et la sécurité est ici partagée. Doctolib chiffre, héberge et durcit l’infrastructure ; mais l’authentification de vos comptes, la gestion des accès du secrétariat, la déconnexion des postes partagés et le contrôle des habilitations restent de votre côté. Le risque numéro un que je constate en cabinet n’est pas une faille de Doctolib : c’est un compte secrétaire partagé, sans authentification forte, accessible depuis un poste laissé ouvert.

Parce que vous traitez des données de santé à grande échelle ou de manière systématique, une analyse d’impact relative à la protection des données (AIPD) au titre de l’article 35 est, dans la plupart des configurations, requise — la CNIL liste le traitement de données de santé parmi les cas appelant une AIPD. Documentez-la : elle est votre meilleure preuve de conformité en cas de contrôle.

Enfin, en cas de violation de données, l’article 33 vous impose une notification à la CNIL dans les 72 heures, et l’article 34 une information des personnes lorsque le risque est élevé — ce qui est fréquent pour des données de santé. Sachez d’avance qui, de vous ou de Doctolib, déclenche quoi : votre sous-traitant doit vous alerter « dans les meilleurs délais » (article 33(2)), mais c’est à vous, responsable de traitement, que revient la notification.

Information des patients, durées et droits

Trois obligations de fond complètent le tableau. L’information des patients d’abord : l’article 13 du RGPD impose de leur indiquer qui traite leurs données, pour quelles finalités, sur quelle base légale et combien de temps. Une mention « nous utilisons Doctolib » ne suffit pas ; votre politique de confidentialité doit nommer le sous-traitant et renvoyer aux droits.

Les durées de conservation ensuite : l’article 5(1)(e) interdit de conserver les données au-delà du nécessaire. Le dossier médical obéit à des durées propres au Code de la santé publique, mais les données d’agenda, les comptes de patients inactifs ou les pièces accessoires doivent faire l’objet d’une politique de purge claire — un point à formaliser dans votre politique de durées de conservation.

Les droits enfin : vos patients peuvent exercer leur droit d’accès (article 15) et leur droit à l’effacement (article 17), ce dernier s’articulant avec vos obligations de conservation du dossier de soins. Lorsque vous sollicitez un consentement — par exemple pour des rappels par SMS à finalité non strictement médicale —, il doit être un consentement valable au sens de l’article 4(11) : libre, spécifique, éclairé et univoque.

Cartographier outil par outil quel acteur fait quoi, quelle base légale s’applique et quel contrat encadre chaque flux est un travail fastidieux mais incontournable. C’est précisément ce type de cartographie de la sous-traitance que Legiscope aide à structurer et à tenir à jour.

Ce qu’il faut retenir

  • Votre rôle détermine vos obligations : praticien, vous êtes responsable de traitement et Doctolib est votre sous-traitant (art. 28) ; côté compte patient, Doctolib agit pour son propre compte.
  • Le DPA est obligatoire : récupérez, archivez et vérifiez l’accord de sous-traitance et la liste des sous-traitants ultérieurs ; son absence est un manquement autonome.
  • Données de santé = article 9 : appliquez la minimisation (art. 5(1)©) et ne mettez jamais de motif médical dans un intitulé de rendez-vous.
  • HDS et hébergement : exigez les certificats HDS (hébergeur AWS et éditeur), avec une échéance de mise en conformité au nouveau référentiel en mai 2026.
  • Sécurité et AIPD restent de votre côté : authentification forte, gestion des accès, AIPD documentée (art. 35) et procédure de notification de violation à 72 h (art. 33).

FAQ

Doctolib est-il responsable de traitement ou sous-traitant ?

Les deux, selon le périmètre. Pour le compte d’un professionnel de santé qui gère son agenda et ses patients, Doctolib est sous-traitant au sens de l’article 28 du RGPD, et le praticien est responsable de traitement. Pour la relation directe avec le patient (compte personnel, historique tous praticiens, rappels), Doctolib agit comme responsable de traitement pour son propre compte.

L’hébergement par AWS est-il conforme au RGPD ?

Le Conseil d’État a refusé de suspendre l’hébergement des données Doctolib par AWS en 2021, au vu de garanties précises : chiffrement avec clé séquestrée chez un tiers de confiance en France, données limitées et avenant encadrant les demandes d’accès. AWS est par ailleurs certifié HDS, avec stockage à Francfort et Paris. La conformité repose donc sur ces garanties techniques, pas sur la seule localisation des serveurs.

Faut-il une AIPD pour utiliser Doctolib dans un cabinet ?

Dans la plupart des cas, oui. La CNIL classe le traitement de données de santé parmi les traitements appelant une analyse d’impact au titre de l’article 35. Réalisez-la et conservez-la : c’est l’une de vos principales preuves de conformité en cas de contrôle.

Qui doit informer les patients du recours à Doctolib ?

C’est au responsable de traitement, c’est-à-dire au professionnel ou à l’établissement de santé, d’informer ses patients au titre de l’article 13. Votre politique de confidentialité doit nommer Doctolib comme sous-traitant, préciser les finalités, la base légale, les durées de conservation et la façon d’exercer ses droits.