Télésecrétariat IA et RGPD : est-ce vraiment conforme pour un cabinet médical ?

Télésecrétariat IA et données médicales : le contexte légal

Les données traitées lors d'un appel à un cabinet médical sont des données de santé au sens du RGPD (Règlement Général sur la Protection des Données). Elles font partie des catégories de données dites "sensibles" qui bénéficient d'une protection renforcée.

Cela signifie que tout prestataire qui traite ces données y compris un télésecrétariat IA est soumis à des obligations spécifiques.

La bonne nouvelle : un télésecrétariat IA médical conçu sérieusement peut être parfaitement conforme au RGPD. Mais tous ne le sont pas. Ce guide vous donne les clés pour le vérifier.

---

Ce que dit le RGPD pour les données de santé

Le RGPD (Règlement UE 2016/679) définit les données de santé comme des données à caractère personnel relatives à la santé physique ou mentale d'une personne. Elles incluent :

Le nom et les coordonnées d'un patient

Le motif de consultation

Les informations médicales communiquées lors de l'appel

Les enregistrements audio de l'appel

Article 9 du RGPD : le traitement des données de santé est en principe interdit, sauf exceptions dont la prise en charge sanitaire et sociale par des professionnels soumis au secret professionnel.

Ce que ça implique pour un télésecrétariat IA :

Le prestataire est un sous-traitant au sens du RGPD

Un contrat de sous-traitance (DPA) est obligatoire

Les données doivent être traitées uniquement aux fins prévues

La localisation des serveurs doit être documentée

La durée de conservation doit être définie et limitée

---

Les 7 points RGPD à vérifier avant de choisir un télésecrétariat IA

1. L'existence d'un DPA (Data Processing Agreement)

Le DPA est le contrat qui encadre la relation entre vous (le responsable du traitement) et le fournisseur de télésecrétariat IA (le sous-traitant). Il est obligatoire selon l'article 28 du RGPD.

Ce contrat doit préciser :

La nature et les finalités du traitement

Le type de données traitées

Les mesures de sécurité mises en place

Les obligations du sous-traitant

Les conditions de retour ou destruction des données

Question à poser au fournisseur : "Pouvez-vous me fournir votre DPA standard ?"

Un fournisseur sérieux l'a préparé et peut vous le transmettre en quelques minutes. Un fournisseur qui ne sait pas ce qu'est un DPA est à écarter immédiatement.

2. La localisation des serveurs

Le RGPD exige que les données des citoyens européens restent dans l'Espace Économique Européen (EEE) sauf exceptions très encadrées.

Pour un télésecrétariat IA médical, les serveurs doivent être en Europe. Les localisations les plus courantes parmi les fournisseurs sérieux : Allemagne (Frankfurt), Pays-Bas (Amsterdam), Irlande (Dublin).

Question à poser : "Où sont hébergées mes données ? Quels sont vos sous-traitants et où sont leurs serveurs ?"

La réponse doit être précise et documentée. "En Europe" sans précision n'est pas suffisant.

Melvina héberge toutes les données à Frankfurt, Allemagne (Supabase EU), avec chiffrement AES-256.

3. La politique de conservation des enregistrements audio

Les conversations téléphoniques constituent des données de santé. Leur conservation doit être justifiée, limitée dans le temps et sécurisée.

La meilleure pratique : Zero Retention les enregistrements audio sont détruits immédiatement après traitement, sans conservation. Seules les données structurées (nom, heure du RDV, motif) sont conservées le temps nécessaire.

Question à poser : "Conservez-vous les enregistrements audio des appels ? Si oui, pendant combien de temps ?"

4. La liste des sous-traitants

Un fournisseur de télésecrétariat IA utilise lui-même plusieurs sous-traitants : technologie vocale, hébergement, SMS, etc. Chacun de ces sous-traitants traite potentiellement des données de vos patients.

Le RGPD impose que vous soyez informé de ces sous-traitants et que vous puissiez vous y opposer.

Question à poser : "Pouvez-vous me fournir la liste de vos sous-traitants qui traitent des données de mes patients ?"

5. Les mesures de sécurité techniques

Le RGPD impose des mesures de sécurité "appropriées" pour protéger les données. Pour des données de santé, cela inclut :

Chiffrement des données en transit (HTTPS/TLS)

Chiffrement des données au repos (AES-256 ou équivalent)

Contrôle d'accès strict aux données

Journalisation des accès

Plan de réponse aux incidents

Question à poser : "Quelles mesures de sécurité techniques appliquez-vous pour protéger les données de mes patients ?"

6. La procédure en cas de violation de données

En cas de fuite ou d'accès non autorisé aux données, le RGPD impose une notification à l'autorité de contrôle (CNIL en France, APD en Belgique) dans les 72 heures.

Votre fournisseur doit vous notifier dans les meilleurs délais s'il détecte une violation pour que vous puissiez respecter cette obligation.

Question à poser : "Quelle est votre procédure en cas de violation de données ?"

7. Le droit des patients

Les patients ont des droits sur leurs données : accès, rectification, effacement, opposition. En tant que responsable du traitement, vous devez être en mesure d'exercer ces droits ce qui suppose que votre fournisseur peut retrouver et supprimer les données d'un patient spécifique.

Question à poser : "Comment puis-je exercer les droits RGPD d'un patient (accès, effacement) ?"

---

Le registre des traitements : ne pas oublier d'y inclure votre télésecrétariat IA

Tout cabinet médical doit tenir un registre des activités de traitement (article 30 du RGPD). Ce registre répertorie tous les traitements de données personnelles que vous effectuez, y compris ceux réalisés via des prestataires.

Votre télésecrétariat IA doit figurer dans ce registre, avec :

La finalité du traitement (accueil téléphonique, prise de RDV)

Les catégories de données traitées (nom, motif, coordonnées)

Les destinataires (votre fournisseur de télésecrétariat IA)

La durée de conservation

Les mesures de sécurité

---

France et Belgique : des exigences similaires, quelques spécificités

En France

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle. Elle a publié des recommandations spécifiques pour le secteur de la santé.

Pour les établissements de santé (hôpitaux, cliniques), l'HDS (Hébergeur de Données de Santé) est obligatoire. Pour les cabinets libéraux, l'obligation est moins stricte mais la conformité RGPD reste entière.

En Belgique

L'APD (Autorité de Protection des Données) est l'autorité de contrôle belge. La Belgique n'impose pas d'équivalent à l'HDS français pour les cabinets libéraux, mais le RGPD s'applique pleinement.

---

Les questions à poser à votre fournisseur actuel ou futur

Voici la liste complète des questions à poser, dans l'ordre d'importance :

1. Pouvez-vous me fournir votre DPA ?

2. Où sont hébergées mes données (pays, datacenter) ?

3. Conservez-vous les enregistrements audio ? Si oui, combien de temps ?

4. Qui sont vos sous-traitants qui traitent des données patients ?

5. Quelles mesures de sécurité techniques appliquez-vous ?

6. Comment me notifiez-vous en cas de violation de données ?

7. Comment puis-je exercer les droits RGPD d'un patient ?

8. Êtes-vous certifié ISO 27001 ou avez-vous un équivalent ?

---

Melvina et le RGPD : notre approche documentée

Melvina a été conçu dès l'origine avec la conformité RGPD comme contrainte non négociable.

Ce que nous faisons concrètement :

Hébergement Frankfurt (Allemagne, UE) via Supabase données jamais hors UE

Zero Retention voix via ElevenLabs aucun audio conservé après traitement

Chiffrement AES-256-GCM des données sensibles en base

DPA fourni à chaque cabinet avant activation

Liste des sous-traitants documentée : Supabase (hébergement), ElevenLabs (voix), DIDWW (SIP), Mocean (SMS), Clever Cloud (application), Cloudflare (sécurité), Anthropic (traitement)

Token d'encryption stocké dans un gestionnaire de secrets sécurisé

Audit de sécurité régulier

Melvina est édité par LDS Agency (Gembloux, Belgique, BCE BE0748495550) société soumise au droit belge.

---

FAQ RGPD et télésecrétariat IA

Un télésecrétariat IA peut-il être utilisé sans informer les patients ?

Non. Le RGPD exige la transparence. Vous devez informer vos patients que leurs données sont traitées par un télésecrétariat IA dans votre politique de confidentialité et idéalement dans le message d'accueil de l'IA.

Les patients peuvent-ils refuser d'interagir avec une IA ?

Oui. Le RGPD prévoit le droit d'opposition. En pratique, proposez une alternative (rappel humain, formulaire en ligne) pour les patients qui préféreraient ne pas interagir avec l'IA.

Que risque-t-on en cas de non-conformité ?

Les amendes du RGPD peuvent atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions EUR. Pour un cabinet libéral, le risque est plus pratique : contrôle de la CNIL/APD, mise en demeure, obligation de corriger sous 3 mois. La plupart des non-conformités identifiées font l'objet d'une mise en conformité sans amende, sauf négligence caractérisée.

Un cabinet libéral doit-il désigner un DPO ?

En France, la désignation d'un DPO (Délégué à la Protection des Données) est obligatoire pour les établissements de santé. Pour les cabinets libéraux, elle est recommandée mais pas obligatoire sauf si le traitement de données sensibles est à grande échelle.

---

Conclusion

Un télésecrétariat IA médical peut être parfaitement conforme au RGPD à condition de choisir un fournisseur qui a fait ce travail sérieusement.

Les indicateurs clés : DPA disponible immédiatement, serveurs en UE documentés, Zero Retention audio, liste des sous-traitants transparente.

Si un fournisseur ne peut pas répondre à ces questions simplement, c'est un signal d'alerte.

Voir la politique RGPD de Melvina Guide complet télésecrétariat IA