Le registre des activités de traitement n'est pas une option réservée aux grandes structures. C'est une obligation légale qui s'impose à toute CPTS, toute maison de santé pluriprofessionnelle et toute officine pharmaceutique dès lors qu'elles traitent des données de santé — c'est-à-dire dès le premier patient. L'article 30 du RGPD est explicite. Et pourtant, la réalité des contrôles CNIL montre que beaucoup de ces structures arrivent avec un registre incomplet, périmé, ou construit à partir d'un modèle générique qui ne tient pas compte des spécificités du secteur.
Voici les sept erreurs que je rencontre le plus souvent dans ces structures — et comment les corriger.
Croire que l'exception des 250 salariés vous dispense de tenir un registre
C'est l'erreur la plus répandue, et la plus dangereuse. Le RGPD prévoit effectivement une dérogation pour les organismes de moins de 250 salariés — mais uniquement si leurs traitements ne portent pas sur des données de catégories particulières au sens de l'article 9.
Or, les données de santé sont précisément des données de catégories particulières. Qu'il s'agisse d'une CPTS avec un seul salarié, d'une MSP de trois médecins ou d'une pharmacie de quartier, cette exception ne s'applique jamais dans le secteur sanitaire.
Une CPTS de 1 salarié, une MSP de 3 associés ou une pharmacie indépendante sont soumises aux mêmes obligations qu'un hôpital régional dès lors qu'elles traitent des données de santé. La taille de la structure ne change absolument rien.
Ne recenser que les traitements liés aux patients
Le registre doit couvrir tous les traitements de données personnelles que vous opérez, pas seulement les dossiers médicaux. Dans chaque structure, on oublie systématiquement des catégories de traitements qui n'ont rien à voir avec les soins.
- La gestion des ressources humaines : fiches de paie, contrats, arrêts maladie des salariés — oubliée dans presque toutes les CPTS.
- Le site internet et les outils numériques : formulaires de contact, cookies, newsletter, statistiques de fréquentation.
- La gestion comptable et financière : données fournisseurs, facturation, tiers-payant — souvent absente dans les officines.
- La vidéosurveillance : caméras en salle d'attente, officine, couloirs ou parking — traitement à part entière.
- Les listes de diffusion professionnelles : emails de coordination entre membres d'une CPTS, invitations aux réunions pluriprofessionnelles.
- Les entretiens pharmaceutiques : suivi des patients sous AVK, asthmatiques, traitements de substitution — traitement distinct du comptoir dans les pharmacies.
- Les actions de prévention et dépistage : tests rapides, vaccination, dépistage organisé du cancer — particulièrement fréquents en CPTS et en officine.
Un registre qui ne liste que les dossiers patients (ou les ordonnances pour une pharmacie) est, par définition, incomplet — et ne résistera pas à un contrôle de la CNIL.
Renseigner des finalités trop vagues
Chaque traitement doit être associé à une ou plusieurs finalités déterminées, explicites et légitimes. Art. 5(1)(b) RGPD
Une finalité comme "gestion des patients" ou "soins médicaux" est trop large pour être juridiquement défendable. La CNIL attend une description précise de l'objectif poursuivi pour chaque traitement distinct.
CPTS
✓ "Coordination du parcours de soins des patients sans médecin traitant déclaré"
✓ "Organisation des actions de prévention et dépistage sur le territoire"
MSP
✓ "Gestion des dossiers partagés des patients suivis par plusieurs professionnels de la structure"
✓ "Suivi des ateliers d'éducation thérapeutique pour patients diabétiques"
Pharmacie
✓ "Dispensation des médicaments et conseil pharmaceutique à l'officine"
✓ "Entretiens pharmaceutiques pour patients sous anticoagulants oraux (AVK)"
La finalité doit être déterminée avant le traitement, pas après. Une finalité définie a posteriori pour remplir un tableau n'a aucune valeur juridique.
Omettre les destinataires, surtout les outils numériques
Pour chaque traitement, vous devez lister tous les destinataires qui reçoivent ou peuvent accéder aux données. C'est souvent le point le plus sous-estimé dans les registres construits sans accompagnement professionnel.
Les destinataires évidents — CPAM, ARS, professionnels partenaires — sont généralement mentionnés. Ce qu'on oublie systématiquement, ce sont les destinataires numériques.
Votre logiciel métier accède à des données de santé. Son éditeur est un destinataire au sens du RGPD. Il doit figurer dans votre registre — qu'il s'agisse d'un LGO, d'un DPI ou d'un outil de coordination.
- L'hébergeur agréé HDS qui stocke vos données de santé
- L'éditeur de votre logiciel métier : DPI ou logiciel de coordination (MSP), outil de gestion territoriale (CPTS), LGO — logiciel de gestion d'officine (pharmacie)
- Le télésecrétariat médical ou télépharmacien, s'il accède aux plannings ou aux noms des patients
- La CPAM, l'ARS, les organismes complémentaires pour le tiers-payant et les remboursements
- L'expert-comptable ou cabinet RH pour les données salariales
- La messagerie sécurisée de santé (MSSanté) et les outils de visioconférence utilisés pour les réunions de coordination ou de téléconsultation
Ignorer les transferts hors Union européenne
L'article 30 du RGPD impose de documenter les transferts de données vers des pays tiers à l'Union européenne, ainsi que les garanties mises en place pour les encadrer. Art. 30(1)(e) RGPD
La plupart des CPTS, MSP et pharmacies pensent ne pas réaliser de transferts hors UE. En réalité, l'utilisation de certains outils du quotidien entraîne de tels transferts, souvent à l'insu des responsables de traitement.
- Zoom, Microsoft Teams, Google Meet — visioconférence avec serveurs hébergés aux États-Unis
- Mailchimp, Brevo (anciennement Sendinblue avec serveurs US) — outils d'emailing
- Google Analytics — statistiques de navigation du site internet
- Solutions CRM ou de gestion hébergées par des éditeurs américains
Pour chaque transfert identifié, le registre doit mentionner le mécanisme de garantie utilisé : clauses contractuelles types (CCT), décision d'adéquation, ou binding corporate rules.
Laisser les durées de conservation vides ou approximatives
Les durées de conservation doivent être renseignées pour chaque traitement. Un registre qui mentionne "le temps nécessaire" ou "durée légale" sans plus de précision est considéré comme incomplet par la CNIL.
En santé, ces durées sont souvent fixées par des textes réglementaires spécifiques qui s'imposent au RGPD. Les ignorer ne protège pas la structure — cela l'expose doublement.
| Type de donnée | Durée légale | Base réglementaire |
|---|---|---|
| Dossier patient (prise en charge) | 20 ans | Art. R. 1112-7 CSP |
| Données RH (après fin de contrat) | 5 ans | Code du travail |
| Documents comptables | 10 ans | Code de commerce |
| Données de facturation patients | 5 ans | Prescription civile |
| Cookies / traces de navigation | 13 mois max. | Délibération CNIL |
| Vidéosurveillance | 30 jours max. | Loi n°95-73 |
Ces durées varient selon le contexte. Pour les données de mineurs ou les situations particulières (abandon de dossier, décès), des règles spécifiques s'appliquent. Un registre bien tenu distingue la durée de conservation en base active de la durée d'archivage intermédiaire.
Traiter le registre comme un document figé
C'est peut-être l'erreur la plus insidieuse. Le registre est créé une fois — souvent lors d'une mise en conformité initiale — puis rangé dans un dossier sans jamais être mis à jour.
Or, le RGPD est explicite : le registre doit être tenu à jour en permanence. Chaque changement dans vos pratiques doit déclencher une révision.
- Un nouveau logiciel de coordination ou de téléconsultation est adopté
- Un nouveau professionnel rejoint la MSP et partage des données
- Un contrat de sous-traitance est signé avec un prestataire informatique
- La MSP lance une newsletter ou un site internet
- Une caméra de surveillance est installée dans les locaux
Sans processus de mise à jour formalisé, le registre devient obsolète en quelques mois. Et un registre périmé n'a aucune valeur juridique lors d'un contrôle — il peut même se retourner contre vous en révélant des traitements non documentés.
Désignez un référent RGPD au sein de votre structure (coordinateur de CPTS, responsable qualité en MSP, pharmacien titulaire) et planifiez une revue formelle du registre a minima une fois par an, avec une trace écrite. C'est ce que la CNIL appelle l'accountability — la capacité à démontrer votre conformité à tout moment.
En conclusion : un registre n'est pas un tableur à remplir
Ces sept erreurs ont un point commun : elles résultent toutes d'une lecture insuffisante de l'article 30 du RGPD et d'une méconnaissance des spécificités du secteur de la santé. Elles ne sont pas l'apanage d'un seul type de structure — on les retrouve à l'identique dans une CPTS bien organisée, une MSP engagée dans la démarche qualité, et une pharmacie dont le titulaire est pourtant sensibilisé au RGPD.
Un modèle générique téléchargé sur le site de la CNIL peut aider à structurer la démarche — mais il ne remplace pas une analyse juridique au cas par cas. Construire un registre réellement défendable, c'est recenser exhaustivement tous les traitements (y compris les moins évidents), choisir la bonne base légale pour chacun, identifier ceux qui déclenchent une AIPD obligatoire, et mettre en place un processus de mise à jour pérenne. C'est précisément le travail d'un DPO spécialisé en santé.
Votre registre est-il réellement complet ?
Nous accompagnons les MSP dans la construction et la mise à jour de leur registre des activités de traitement, avec la rigueur juridique que le secteur impose.