Skip to content
Actualités calendar_today Mis à jour: 6 avril 2026 schedule 5 min de lecture

Un médecin sanctionné pour un formulaire d'inscription en ligne

verified Dernière révision 6 avril 2026 · l'équipe juridique GDPRWise

Un médecin a été sanctionné parce que son formulaire d'inscription en ligne collectait des données médicales sans sécurité adéquate ni consentement valide. Que s'est-il passé et quelles leçons en tirer?

summarize Points clés
  • check_circle Les données médicales sont des données sensibles au sens du RGPD et nécessitent une protection renforcée
  • check_circle Un formulaire de contact standard sur votre site web ne convient pas pour collecter des données de santé
  • check_circle Vous avez besoin d'une base juridique valide, et pour les données de santé les exigences sont plus strictes
  • check_circle La sécurité des formulaires en ligne est votre responsabilité, même si vous utilisez un outil tiers

Que s’est-il passé?

Un médecin généraliste en Belgique proposait sur son site web un formulaire d’inscription en ligne pour les nouveaux patients. Le formulaire demandait le nom, l’adresse, la date de naissance et les coordonnées, mais aussi les antécédents médicaux, les médicaments en cours et les allergies.

Le problème? Le formulaire était un formulaire web standard sans sécurité adéquate. Les données étaient transmises et stockées sans chiffrement. Aucune déclaration de confidentialité n’était liée au formulaire. Et aucun consentement explicite n’était demandé pour le traitement des données de santé.

L’autorité de contrôle a découvert la situation après la plainte d’un patient et a imposé une amende.

Pourquoi c’est si problématique

Données sensibles

Les données de santé relèvent des “catégories particulières de données” du RGPD. L’article 9 interdit leur traitement, sauf si une exception spécifique s’applique. Pour un médecin, cette exception existe dans le cadre de la relation de soins, mais toutes les exigences de sécurité doivent être respectées.

Un formulaire en ligne collectant des données de santé sans sécurité adéquate enfreint plusieurs principes du RGPD simultanément:

  • Intégrité et confidentialité (Article 5(1)(f)) - les données n’étaient pas correctement sécurisées
  • Transparence (Article 5(1)(a)) - le patient n’était pas correctement informé du traitement
  • Sécurité (Article 32) - aucune mesure technique appropriée n’était en place

Ce n’est pas une question de volume

Il ne s’agissait pas d’une fuite massive de milliers de dossiers. C’est la manière dont les données sensibles étaient collectées qui posait problème: via un formulaire non sécurisé, sans consentement, sans transparence. L’autorité a souligné que la sensibilité des données impose des normes de sécurité plus élevées.

Les leçons à retenir

1. Connaissez vos données

Identifiez quelles données vous collectez via votre site web. Un formulaire de contact avec nom et email est très différent d’un formulaire demandant des informations médicales ou des allergies. Dès que vous collectez des données de santé ou d’autres catégories particulières, des règles plus strictes s’appliquent.

2. Sécurisez vos formulaires

Tout formulaire en ligne collectant des données personnelles doit au minimum:

  • Être hébergé sur un site avec TLS (https)
  • Stocker les données de manière chiffrée
  • Disposer de contrôles d’accès sur les données stockées
  • Ne pas transmettre les données par email non sécurisé

Pour les données sensibles, des exigences supplémentaires s’appliquent: stockage chiffré, accès restreint, et de préférence un portail patient sécurisé plutôt qu’un formulaire web ouvert.

3. Informez et obtenez le consentement

Associez une déclaration de confidentialité à votre formulaire. Expliquez:

  • Quelles données vous collectez et pourquoi
  • Combien de temps vous conservez les données
  • Avec qui vous partagez les données
  • Comment la personne concernée peut exercer ses droits

Pour les catégories particulières de données, vous avez souvent besoin d’un consentement explicite. Une case pré-cochée ne suffit pas.

4. Utilisez les bons outils

Un plugin de formulaire de contact standard n’est pas conçu pour collecter des données médicales. Envisagez:

  • Un portail patient sécurisé
  • Un outil de formulaire conforme aux exigences du RGPD pour les données sensibles
  • Un formulaire qui chiffre les données localement avant l’envoi

Vérifiez également où les données aboutissent. Sont-elles stockées chez un tiers? Dans quel pays? Avez-vous un contrat de sous-traitance?

Pas seulement pour les médecins

Cette affaire concernait un médecin, mais la leçon s’applique à tous ceux qui collectent des données sensibles via des formulaires en ligne:

  • Kinésithérapeutes et psychologues proposant des formulaires d’admission en ligne
  • Salles de sport demandant des déclarations de santé via leur site web
  • Services RH demandant des informations médicales aux candidats
  • Coachs et thérapeutes avec des questionnaires d’anamnèse en ligne
  • Assureurs traitant des déclarations de santé numériquement

Le message est clair: si vous collectez des données sensibles via votre site web, assurez-vous que la sécurité et la transparence sont en ordre.

Vérifiez vos propres formulaires

Examinez votre site web d’un œil critique. Quels formulaires avez-vous? Quelles données collectez-vous? Où sont-elles stockées? La connexion est-elle sécurisée? Avez-vous une déclaration de confidentialité? Ce sont des questions auxquelles vous pouvez répondre dès aujourd’hui.

auto_awesome Vous collectez des donnees sensibles via des formulaires?

GDPRWise analyse votre site web et detecte automatiquement quelles donnees personnelles vous collectez via les formulaires, cookies et tiers. Avec des conseils personnalises.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.