contact@rgpd-sante.com | Lu–Ve : 9h–18h
Accueil Obligations RGPD des CPTS

— Communautés Professionnelles Territoriales de Santé —

Conformité RGPD d'une CPTS :
ce que la loi impose

Les CPTS traitent des données de santé dans un cadre multi-partenarial. Ce guide recense les obligations concrètes qui s'appliquent à votre structure — documents à produire, partenariats à encadrer, sécurité à mettre en place.

Données de santé Art. 9 RGPD Multi-partenarial Code de la santé publique

Obligation 1 — Documents

Le registre des activités de traitement

Le registre est la colonne vertébrale de votre conformité RGPD. Obligatoire pour toute structure traitant des données de santé, il recense l'ensemble de vos traitements, leurs bases légales, leurs destinataires et leurs durées de conservation.

01

Registre de traitement

Recenser tous vos traitements

En tant que responsable de traitement, la CPTS doit tenir un registre documentant chaque activité impliquant des données personnelles — patients, professionnels de santé, adhérents, salariés.

  • Recherche de médecin traitant pour les patients sans MT
  • Coordination de parcours de soins (sortie hôpital, ICOPE…)
  • Ateliers d'éducation thérapeutique (diabète, BPCO…)
  • Protocoles de soins entre professionnels
  • Gestion des adhérents et des professionnels membres
  • Gestion des ressources humaines (salariés, bénévoles)
Obligatoire — Article 30 du RGPD pour tout organisme traitant des données de santé
02

Information des personnes

Informer à chaque collecte de données

Chaque fois que la CPTS collecte des données personnelles — à l'inscription d'un patient dans une mission, dans un formulaire de contact, lors d'un atelier — les personnes concernées doivent être informées.

  • Notice d'information pour la recherche de médecin traitant
  • Notice pour les ateliers et programmes ETP
  • Politique de confidentialité du site internet
  • Procédure interne de gestion des droits (accès, rectification, suppression)
Obligatoire — Articles 13 et 14 du RGPD

Obligation 2 — Analyse d'impact

L'AIPD : obligatoire pour les missions à risque élevé

L'Analyse d'Impact relative à la Protection des Données (AIPD) est requise dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Dans le cas d'une CPTS, plusieurs missions réunissent quasi-systématiquement les critères déclencheurs.

!

Critères déclencheurs — CPTS

Quand l'AIPD est obligatoire

Les guidelines de la CNIL retiennent 9 critères. Lorsqu'un traitement remplit au moins 2 de ces critères, l'AIPD est obligatoire. Dans une CPTS, les missions ci-dessous les cumulent presque systématiquement — notamment le traitement à grande échelle de données de santé et la présence de personnes vulnérables.

Parcours sortie hôpital Coordination entre l'hôpital, le médecin traitant et les autres PS — données sensibles partagées à grande échelle.
ICOPE Programme de dépistage du déclin fonctionnel chez les personnes âgées — personnes vulnérables, données sensibles.
Protocoles de soins Délégation de tâches entre professionnels impliquant le partage de données de santé sur des patients ciblés.
Ateliers diabète / ETP Suivi de patients atteints de pathologies chroniques — données de santé sensibles, suivi dans le temps.
Recherche de médecin traitant Traitement de données de santé de patients sans MT, potentiellement en situation de vulnérabilité.
Autres programmes ciblés Tout programme impliquant des personnes vulnérables (mineurs, personnes âgées, patients en ALD) déclenche l'obligation.

Obligation 3 — Partenariats & sous-traitance

Encadrer les échanges de données avec vos partenaires

La CPTS travaille avec de nombreux partenaires : établissements de santé, associations, MSP, médecins libéraux, collectivités. Chaque échange de données doit être juridiquement encadré — par une convention ou un contrat de sous-traitance selon la nature du partenariat.

01

Conventions partenariales

Clauses de protection des données avec vos partenaires

Lorsque plusieurs acteurs traitent conjointement des données — par exemple une CPTS et un centre hospitalier dans le cadre d'un parcours sortie hôpital — une convention de responsabilité conjointe ou des clauses contractuelles spécifiques sont obligatoires.

  • Conventions avec les établissements hospitaliers (CH, cliniques)
  • Conventions avec les MSP et autres structures libérales
  • Conventions avec les associations partenaires
  • Clauses RGPD dans les partenariats avec les collectivités
  • Vérification des clauses existantes dans les conventions en cours
Obligatoire — Article 26 du RGPD (responsabilité conjointe)
02

Sous-traitants

Contrats avec les prestataires qui accèdent aux données

Tout prestataire qui traite des données pour le compte de la CPTS — logiciel de coordination, hébergeur, prestataire informatique — est un sous-traitant. Un contrat de sous-traitance encadrant ses obligations RGPD est obligatoire.

  • Logiciels de coordination (e-Parcours, outils métiers…)
  • Hébergeurs de données (vérification de la certification HDS si données de santé)
  • Prestataires informatiques et de maintenance
  • Outils de communication et de messagerie
  • Signature ou mise à jour des DPA (Data Processing Agreements)
Obligatoire — Article 28 du RGPD

Obligation 4 — Sécurité des données

Sécuriser les données de santé au quotidien

La sécurité des données ne se résume pas aux outils techniques. Elle passe par des règles claires sur qui accède à quoi, une sensibilisation régulière des équipes, et le choix d'outils adaptés à la sensibilité des données de santé.

01

Habilitations

Gérer les droits d'accès

Chaque personne qui accède aux données de la CPTS — coordinateur, chargé de mission, bénévole, stagiaire — doit avoir des droits d'accès définis et documentés selon le principe du moindre privilège.

  • Politique de gestion des habilitations formalisée
  • Revue régulière des accès (départs, changements de mission)
  • Accès aux données de santé strictement limité aux personnes habilitées
  • Traçabilité des accès pour les données sensibles
02

Sensibilisation

Former les personnes qui traitent les données

Coordinateurs, chargés de mission, professionnels de santé impliqués dans les missions : toutes les personnes qui manipulent des données personnelles doivent être sensibilisées à leurs obligations RGPD.

  • Sensibilisation initiale à la prise de poste
  • Procédures claires en cas de violation de données
  • Bonnes pratiques au quotidien (messagerie sécurisée, mots de passe…)
  • Charte informatique signée par chaque collaborateur
03

Outils HDS

Utiliser des outils certifiés pour les données de santé

Tout outil ou hébergeur qui stocke ou traite des données de santé au sens du Code de la santé publique doit être certifié Hébergeur de Données de Santé (HDS). Ce point est souvent négligé dans les CPTS.

  • Vérification de la certification HDS de chaque outil utilisé
  • Messageries sécurisées pour les échanges contenant des données de santé
  • Interdiction de stocker des données de santé sur des outils non certifiés (Drive grand public, messageries non sécurisées…)
  • Documentation de l'architecture technique
Obligatoire — Article L. 1111-8 du Code de la santé publique

Obligation 5 — Délégué à la Protection des Données

La désignation d'un DPO auprès de la CNIL

Dans certains cas, la désignation d'un Délégué à la Protection des Données (DPO) et sa déclaration auprès de la CNIL sont obligatoires. Pour les CPTS, cette obligation peut s'appliquer selon l'ampleur des traitements réalisés.

Quand la désignation d'un DPO est obligatoire

Le RGPD impose la désignation d'un DPO dans trois situations. Pour les CPTS, c'est principalement le traitement à grande échelle de données de santé qui peut déclencher cette obligation — notamment lorsque la CPTS coordonne plusieurs missions impliquant de nombreux patients.

Traitement à grande échelle de données sensibles — si la CPTS traite des données de santé sur un large volume de patients dans le cadre de ses missions (recherche MT, ICOPE, parcours de soins…).
Organisme public — si la CPTS est constituée sous forme d'un organisme public ou parapublic, la désignation est obligatoire quelle que soit l'ampleur des traitements.
Surveillance systématique à grande échelle — si des programmes de suivi de patients impliquent un profilage ou un suivi régulier et systématique.
Même sans obligation légale, la désignation d'un DPO externalisé est fortement recommandée pour toute CPTS traitant des données de santé — elle garantit un suivi continu de la conformité et un interlocuteur identifié en cas de contrôle CNIL.

— Passer à l'action —

Votre CPTS est-elle en conformité ?

Le Pack de conformité RGPD est conçu pour accompagner les CPTS de A à Z : audit initial, registre de traitement, documents obligatoires, partenariats, sécurité et plan d'action priorisé.

Découvrir le Pack de conformité → Prendre rendez-vous