Site internet pour avocat & cabinet médical : règles RGPD et bonnes pratiques

· Par David Rieu
Développeur web sécurisant un site d'avocat et de cabinet médical selon le RGPD

Formulaires, cookies, données de santé, hébergement HDS : un site d'avocat ou de cabinet médical collecte des données sensibles. Voici les règles RGPD et bonnes pratiques concrètes pour rester conforme et éviter les sanctions de la CNIL.

Introduction : pourquoi votre site d'avocat ou de cabinet médical est directement concerné par le RGPD

Je suis David RIEU, développeur web freelance en France, et je conçois régulièrement des sites pour des avocats, des médecins libéraux et d'autres professionnels soumis au secret. Un constat revient à chaque projet : la plupart de ces sites collectent des données personnelles - via des formulaires de contact, des cookies, une newsletter ou un module de prise de rendez vous - sans que leur propriétaire en mesure toujours les conséquences juridiques. Or, le RGPD est applicable depuis mai 2018, et le règlement général sur la protection des données concerne tous les sites professionnels sans exception.

Les données de santé (symptômes, pathologies, antécédents) et les informations liées à des procédures judiciaires sont classées parmi les données sensibles définies à l'article 9 du RGPD. La cnil surveille de près ces catégories et peut sanctionner les non conformité de manière sévère.

Réponse directe - obligations clés pour un site d'avocat ou de cabinet médical : Votre site doit comporter des mentions légales complètes et une politique de confidentialité accessible depuis toutes les pages. Il doit recueillir un consentement libre et éclairé pour les cookies non essentiels, sécuriser les échanges (HTTPS, mots de passe forts) et tenir un registre des traitements de données personnelles. Si vous traitez des données de santé, un hébergeur certifié HDS est fortement recommandé. Le RGPD impose des exigences de transparence et de consentement à chaque étape.

Tout au long de cet article, je partage les règles concrètes et les bonnes pratiques que j'applique lors de la création ou la refonte de sites WordPress, Next.js ou sur mesure pour ces professions.

Distinction entre données personnelles classiques et données de santé sensibles
L'image montre un ordinateur portable affichant un site internet professionnel, avec un cadenas symbolisant la sécurité des données. Cette représentation évoque la protection des données personnelles, essentielle pour les avocats et les cabinets médicaux, en conformité avec le RGPD et les bonnes pratiques de gestion des informations sensibles.

1. Comprendre les données personnelles et les données de santé traitées via votre site

Avant toute mise en conformité, il faut distinguer deux catégories de données au sens du RGPD.

Données personnelles classiques (article 4 RGPD) :

  • nom, prénom, adresse email
  • numéro de téléphone, adresse postale
  • adresse IP, cookies de navigation
  • numéro de sécurité sociale (si collecté)

Données sensibles / données de santé (article 9 RGPD) :

  • motif de consultation, symptômes, diagnostic
  • antécédents médicaux, résultats d'examens
  • informations relatives à l'assurance maladie
  • données génétiques ou biométriques

Pour un avocat, les données liées à une infraction, à une procédure pénale ou à la situation financière d'un client peuvent être considérées comme sensibles selon le contexte. Un simple champ "décrivez votre affaire" dans un formulaire de contact suffit à engager une protection renforcée.

Pour un cabinet médical, un formulaire de prise de rendez vous contenant un champ "motif de consultation" ou un module de téléconsultation déclenche automatiquement les obligations de l'article 9. Le RGPD impose des règles strictes pour la manipulation de ces données sensibles, qui nécessitent des mesures de sécurité renforcées.

Le guide de la CNIL sur les traitements de données de santé (mis à jour en 2024) détaille précisément ces distinctions.

2. Pourquoi le RGPD s'applique-t-il au site internet d'un avocat ou d'un médecin libéral ?

Le RGPD s'applique à tout traitement de données personnelles réalisé dans l'union européenne, y compris par les indépendants, TPE et professions libérales. Il n'y a plus de déclaration générale à la cnil depuis l'entrée en vigueur du règlement : chaque responsable de traitement doit assurer lui-même sa conformité.

Le site web est souvent la première porte d'entrée des traitements : formulaires, cookies analytiques, prise de rendez vous en ligne, newsletter, espace client ou patients, réseaux sociaux intégrés. Chaque composant engage le RGPD.

L'avocat ou le médecin est le "responsable de traitement" au sens de l'article 4, même si un prestataire externe gère l'hébergement ou le développement du site. La responsabilité finale lui incombe. Les avocats doivent respecter les principes du RGPD et évaluer les risques liés au traitement des données de leurs clients.

Un site en non conformité peut entacher sérieusement la crédibilité d'un professionnel soumis au secret. Depuis 2021, les contrôles de la cnil se sont intensifiés sur les sites de santé et les professions réglementées. En mai 2026, IQVIA a été sanctionnée de 5 millions d'euros pour manquement dans le traitement de données de santé. La cnil peut infliger des amendes allant jusqu'à 20 millions d'euros.

3. Mentions légales et politique de confidentialité : deux pages distinctes et obligatoires

Beaucoup de mes clients confondent ces deux pages. Elles sont pourtant très différentes dans leur contenu et leur cadre juridique.

Les mentions légales sont exigées par la LCEN (réglementation française). Elles identifient l'éditeur du site. Pour un avocat : nom, barreau d'inscription, structure d'exercice (SCP, SELARL, exercice individuel), adresse, numéro de téléphone, email, numéro SIREN/SIRET, directeur de la publication, hébergeur, assurance RC professionnelle et sa couverture géographique. Pour un médecin : nom, numéro RPPS, Ordre des médecins, SIREN/SIRET, coordonnées professionnelles. Le guide de France Num détaille ces obligations.

La politique de confidentialité est l'expression concrète du RGPD sur votre site. Elle doit répondre à sept questions fondamentales : quelles données sont collectées, pour quelles finalités, sur quelle base légale, combien de temps sont-elles conservées, à qui sont-elles transmises, quels sont les droits des personnes (les droits des personnes sont énoncés dans les articles 15 à 22 du RGPD), et comment exercer ces droits. Un contact DPO doit être mentionné si applicable.

Cette politique de confidentialité doit être accessible depuis toutes les pages du site (idéalement dans le pied de page), rédigée en français clair, et adaptée à la pratique réelle du cabinet - pas un copier-coller générique. J'intègre systématiquement ces pages dans les sites WordPress ou Next.js que je développe, avec un balisage SEO adapté.

Mentions légales et politique de confidentialité affichées en pied de page
Image d'un bureau professionnel où se trouvent un ordinateur, des dossiers juridiques et un stéthoscope, symbolisant la collaboration entre avocats et professionnels de la santé pour la gestion des données personnelles et la conformité au RGPD. Ce cadre évoque l'importance de la protection des données des patients et des pratiques sécurisées dans le secteur médical.

4. Cartographier et documenter les traitements de données personnelles (registre des traitements)

En pratique, la mise en conformité commence par la cartographie des traitements de données et la tenue d'un registre des traitements, comme l'exige l'article 30 du RGPD. La cartographie des traitements est exigée par l'article 30 du RGPD et s'impose à tous les responsables de traitement. Le registre des traitements est obligatoire pour les avocats. Il doit recenser tous les traitements de données effectués.

Traitements typiques pour un cabinet d'avocat :

  • gestion des demandes de contact via le site
  • gestion des dossiers clients et facturation
  • envoi de newsletter ou e commerce de formations
  • suivi statistiques (Google Analytics ou équivalent)
  • espace client éventuel

Traitements typiques pour un cabinet médical :

  • prise de rendez vous en ligne
  • téléconsultation et télé-expertise
  • gestion des dossiers patients et tiers payant
  • rappels de rendez vous par SMS ou email

Un modèle simple de registre dans un tableur suffit pour démarrer, avec les colonnes : finalité, base légale, catégories de données, durée de conservation, mesures de sécurité, sous-traitants concernés. Le registre doit inclure les finalités et les mesures de sécurité, et être mis à jour régulièrement pour refléter les évolutions de votre activité. La cnil peut demander à le consulter lors d'un contrôle. Par ailleurs, l'AIPD (analyse d'impact relative à la protection des données) est obligatoire pour les traitements à risque élevé - ce qui peut concerner certains traitements de données de santé.

5. Délégué à la protection des données (DPO) et référent RGPD pour les cabinets

Le DPO doit être désigné selon l'article 37 du RGPD dans certains cas précis. Il faut distinguer l'obligation légale de la bonne pratique.

Cas avocat : la plupart des cabinets individuels n'ont pas d'obligation formelle de désigner un délégué à la protection des données. Mais la protection des données dpo doit être structurée, au minimum via un référent interne qui pilote la conformité et répond aux questions des clients.

Cas cabinet médical : l'obligation de DPO est possible pour les établissements traitant un volume important de données de santé (cliniques, maisons de santé, plateformes de téléconsultation). Le DPO n'est pas systématiquement obligatoire pour tous les cabinets médicaux, mais il est recommandé de nommer un délégué à la protection des données pour la conformité au RGPD.

À retenir : le DPO est obligatoire lorsque l'activité de base implique un suivi régulier et systématique à grande échelle de données sensibles. Dans tous les cas, ses coordonnées doivent figurer dans la politique de confidentialité si un DPO est désigné.

Dans mon expérience, quand je refonds un site pour un cabinet, je me coordonne avec le DPO externe ou le référent RGPD pour intégrer ses recommandations directement dans l'architecture du site : textes légaux, formulaires, gestion des accès au back-office.

6. Formulaires de contact et prise de rendez-vous : limiter, informer, sécuriser

Les formulaires sont le principal point de collecte visible de données personnelles sur un site. Leur conception est un enjeu RGPD majeur que j'aborde systématiquement avec mes clients avocats et médecins.

Minimisation des données : la collecte de données via un site doit être limitée au strict nécessaire. Pour un premier contact avocat, je conseille : nom, email, objet (liste déroulante), message libre avec avertissement. Pas de demande détaillée de faits sensibles à ce stade. Pour un rendez vous médical : nom, date de naissance, créneau souhaité, motif générique - le champ "symptômes" est réservé à un échange sécurisé ultérieur.

Obligation d'information : une mention courte RGPD doit apparaître sous chaque formulaire. Exemple adapté avocat :

Les informations recueillies font l'objet d'un traitement par Maître X, avocat au barreau de Paris, aux fins de gestion de votre demande de contact. Base légale : intérêt légitime. Conservation : 3 ans. Vous disposez de droits d'accès, rectification, suppression et portabilité. [Lire la politique de confidentialité]

Les avocats doivent informer les clients de leurs droits en matière de données. Les visiteurs doivent pouvoir facilement accéder à leurs données personnelles selon le RGPD, et les avocats doivent respecter les droits des personnes concernées. Le droit d'effacement des données est un droit fondamental du RGPD. Les demandes d'accès aux données doivent être traitées dans un délai d'un mois. Des procédures doivent être mises en place pour répondre aux demandes des personnes concernées. Le RGPD impose des mesures de sécurité des données personnelles sur tous ces points de collecte.

7. Gestion des cookies et traceurs : bandeau conforme aux recommandations de la CNIL

Les cookies analytiques et publicitaires nécessitent un consentement explicite, libre, spécifique, éclairé et préalable. Le refus doit être aussi simple que l'acceptation - c'est le point sur lequel la cnil insiste le plus depuis 2020.

Règles pour un bandeau conforme :

  • Boutons "Accepter tout", "Refuser tout" et "Personnaliser", visibles et accessibles en un clic
  • Les cookies non nécessaires requièrent un bouton "Refuser" visible, sans dark patterns
  • Un bandeau cookies doit permettre un refus en un clic, de manière équivalente visuellement à l'acceptation

Les cookies strictement nécessaires (authentification, sécurité, mesure d'audience exemptée) peuvent être déposés sans consentement, mais doivent être documentés et justifiés.

Je recommande d'utiliser une CMP (plateforme de gestion du consentement) comme Tarteaucitron ou Axeptio, que j'intègre techniquement dans les sites que je développe. En décembre 2024, la cnil a mis en demeure plusieurs éditeurs pour des bandeaux cookies trompeurs.

La durée de conservation du consentement ne peut excéder treize mois. La journalisation des choix des utilisateurs est indispensable en cas de contrôle. J'intègre cette fonctionnalité dès la mise en ligne.

8. Mesures de sécurité techniques et organisationnelles pour le site

L'article 32 du RGPD impose une obligation de sécurité proportionnée aux risques. Pour les données de santé et les échanges protégés par le secret professionnel, le niveau requis est élevé. Un site internet conforme doit assurer la transparence et la sécurité des données.

Mesures techniques minimales :

  • HTTPS généralisé sur toutes les pages
  • Mise à jour régulière du CMS et des plugins (WordPress, Prestashop, ou autre)
  • Mots de passe forts et authentification à deux facteurs pour le back-office
  • Sauvegardes régulières, chiffrées, stockées de manière sécurisée

Protection applicative :

  • Captchas anti-spam sur les formulaires
  • Protections contre injections SQL, XSS, CSRF
  • Limitation des essais de connexion

Mesures organisationnelles :

  • Gestion des droits d'accès au back-office selon les rôles
  • Procédures de changement de mot de passe
  • Sensibilisation basique des collaborateurs au phishing

Les cabinets médicaux doivent assurer la confidentialité des données de santé et limiter les accès. Le site d'un avocat ou d'un cabinet médical doit sécuriser les échanges et gérer les cookies de manière conforme. Pour les données de santé, le site doit être sécurisé par un hébergeur certifié HDS si des dossiers patients sont accessibles en ligne.

Registre des traitements de données dans un tableur pour cabinet médical
L'image montre un serveur informatique sécurisé situé dans une salle blanche, avec des voyants lumineux indiquant son bon fonctionnement. Cette configuration assure la protection des données personnelles, en conformité avec le RGPD, pour garantir la confidentialité des informations des patients et des professionnels de santé.

9. Durées de conservation, archivage et suppression des données collectées via le site

Le principe est clair : les données doivent être conservées uniquement le temps nécessaire à leur finalité (article 5.1.e RGPD).

Exemples chiffrés :

  • Données de prospection / formulaire de contact : 3 ans après le dernier contact
  • Dossiers patients en médecine libérale : 20 ans après la dernière consultation, selon la recommandation du CNOM et de la cnil pour les professionnels de santé libéraux
  • Dossiers clients avocat : durée variable selon les délais de prescription applicables
  • Données de formulaires stockées dans WordPress ou un CRM : à purger régulièrement
Bonnes pratiques de purge :Définir une date de revue (ex : tous les 6 ou 12 mois)Désigner un responsable de la purge (le référent RGPD ou le DPO)Documenter la procédure par écrit (papier ou numérique)

Les durées doivent être indiquées clairement dans la politique de confidentialité et, quand c'est pertinent, dans les mentions sous formulaire.

10. Relations avec les sous-traitants : hébergeur, outils de prise de rendez-vous, messagerie sécurisée

Tout prestataire qui traite des données pour le compte du cabinet est un "sous-traitant" au sens de l'article 28 du RGPD. L'avocat ou le médecin doit s'assurer de la conformité au RGPD de ses sous-traitants.

Exemples de sous-traitants typiques dans ce secteur :

  • Hébergeur du site (ex : o2switch, OVH, Infomaniak)
  • Plateforme de rendez vous en ligne (Doctolib, Maiia, etc.)
  • Outil de newsletter (Brevo, Mailchimp)
  • Messagerie sécurisée, CRM juridique ou médical

Pour chaque prestataire, il faut vérifier le contrat et le DPA (Data Processing Agreement), la localisation des données (UE/EEE ou hors UE), et la présence de clauses sur les transferts internationaux. La sous traitance doit être encadrée formellement. Dans la politique de confidentialité, j'affiche de manière synthétique les grandes catégories de prestataires et les garanties associées.

J'aide régulièrement mes clients à comparer plusieurs solutions de prise de rendez vous en analysant leurs engagements RGPD, leurs référentiels de sécurité et leur utilisation des données. Ce travail de recherche en amont évite bien des surprises après la mise en ligne.

11. Sensibilisation de l'équipe et procédures internes en cas d'incident

La sécurité ne se joue pas uniquement sur le site. Les usages quotidiens de l'équipe - assistantes, secrétariat, associés, internes - sont tout aussi déterminants. La prise en charge de la formation et des formations régulières fait partie des obligations implicites du RGPD.

Je conseille de mettre en place une mini-charte informatique couvrant la gestion des mots de passe, l'utilisation des emails professionnels, le stockage des documents et l'usage des messageries instantanées. Cette charte, même sous forme papier, structure la compréhension des enjeux au sein du cabinet.

Conduite à tenir en cas de violation de données :Identifier et isoler la faille technique immédiatement.Documenter l'incident : date, nature, données affectées, cause probable.Prévenir le DPO ou référent RGPD interne.Notifier la cnil dans les 72 heures si la violation présente un risque pour les droits et libertés des personnes.Informer les personnes concernées si le risque est élevé.

Les violations de données doivent être signalées dans les 72 heures - c'est une obligation stricte, pas une recommandation. Je peux coordonner les aspects techniques (journalisation, logs, sécurisation du site) avec le DPO ou l'avocat en charge du RGPD de votre cabinet.

12. Checklist rapide de mise en conformité RGPD pour votre site d'avocat ou cabinet médical

Obligations communes :

  • ☐ Mentions légales complètes et à jour
  • ☐ Politique de confidentialité claire, accessible depuis le pied de page
  • ☐ Bandeau cookies conforme (Accepter / Refuser / Personnaliser en un clic)
  • ☐ Formulaires avec mention RGPD et lien vers la politique
  • ☐ HTTPS activé sur tout le site
  • ☐ Mises à jour techniques régulières (CMS, plugins, outils)
  • ☐ Registre des traitements démarré et documenté
  • ☐ Contrats sous-traitants vérifiés (DPA signés)
  • ☐ Contact pour l'exercice des droits RGPD clairement identifié
  • ☐ Audits de conformité planifiés (tous les 12 à 24 mois)

Spécifique avocat :

  • ☐ Mention du barreau, structure, assurance RC pro
  • ☐ Respect du secret professionnel dans la gestion des fichiers clients en ligne
  • ☐ Durées de conservation des dossiers documentées

Spécifique cabinet médical :

  • ☐ Hébergeur certifié HDS si données de santé accessibles en ligne
  • ☐ Outils de téléconsultation conformes et sécurisés
  • ☐ Application stricte de la limitation d'accès aux dossiers patients

Je recommande de réaliser au moins un audit de site tous les 12 à 24 mois pour vérifier la conformité face aux évolutions techniques et réglementaires.

Bandeau de consentement cookies conforme aux recommandations de la CNIL
L'image montre une liste de vérification sur un presse-papiers, soigneusement posée sur un bureau moderne. Cette liste pourrait contenir des éléments liés à la gestion des données personnelles, la conformité au RGPD et les bonnes pratiques pour les avocats dans le secteur de la santé.

13. Conclusion : transformer la contrainte RGPD en atout de confiance pour votre cabinet

La mise en conformité RGPD n'est pas un simple exercice juridique à cocher. C'est une démarche concrète qui se traduit dans la conception même de votre site : design des formulaires, choix des outils, rédaction des textes, sécurité technique. Elle renforce la protection des données personnelles de vos clients ou patients et réduit le risque de sanctions.

Pour vos visiteurs - qu'ils cherchent un avocat ou un médecin - un site conforme envoie un signal fort de sérieux et de confidentialité. Dans des métiers où l'expertise et la confiance sont tout, c'est un avantage compétitif réel.

En tant que développeur web freelance en France, j'intègre systématiquement ces bonnes pratiques RGPD dès la création ou la refonte de sites pour avocats et professionnels de santé. Chaque manière d'aborder un projet prend en compte la réglementation en vigueur, les organisations de votre cabinet et les outils que vous utilisez au quotidien.

Vous avez des questions sur la conformité de votre site ? Contactez-moi pour un échange gratuit de cadrage : audit rapide de votre site existant, priorisation des actions, estimation du temps et du budget nécessaires pour une mise à niveau RGPD réaliste. C'est sans engagement, et c'est souvent la meilleure étape pour y voir clair.

Unprojetentête?

De la vitrine à la plateforme : cadrage, stack et jalons. Première réponse sous 24h ouvrées.

Voir mes réalisationsDemander un devis