Transcription médicale et RGPD : guide complet pour les professionnels de santé

Données de santé, sous-traitants, hébergement HDS — ce que tout médecin doit savoir avant de choisir une solution de transcription conforme au RGPD.

Essai gratuit
Voir les tarifs

Art. 28

RGPD — DPA obligatoire

Hébergement

certifié HDS en France

Chiffrement

AES-256 en transit

RGPD & Santé

Pourquoi la transcription médicale est une zone à risque RGPD ?

Les données de santé

Les données médicales sont une catégorie spéciale au sens du RGPD

L’article 9 du RGPD place les données de santé dans les « catégories particulières » — un régime juridique plus strict. Leur traitement exige un fondement légal spécifique et des mesures techniques renforcées.

  • Art. 9 RGPD : catégorie spéciale — protection renforcée
  • Consentement explicite du patient requis (sauf exceptions)
  • Notification CNIL obligatoire en cas de violation
  • Amende jusqu'à 4 % du CA mondial en cas de manquement
Le rôle du sous-traitant

Votre prestataire de transcription est un sous-traitant RGPD

Dès qu’une tierce partie traite des données médicales en votre nom, elle est sous-traitant au sens de l’art. 28 RGPD. Vous devez signer un DPA (Data Processing Agreement) avec elle avant tout traitement.

  • DPA obligatoire avec tout prestataire de transcription
  • Le prestataire doit lister ses sous-sous-traitants
  • Hébergement certifié HDS obligatoire (L.1111-8 CSP)
  • Droit à l'audit du sous-traitant par le responsable de traitement
Meditext & conformité

Comment Meditext garantit la conformité RGPD de vos transcriptions ?

Garanties Meditext

  • DPA (art. 28 RGPD) disponible et signable sur demande
  • Hébergement certifié HDS en France (L.1111-8 CSP)
  • Chiffrement AES-256 en transit et au repos
  • Données non partagées ni utilisées pour l'entraînement IA

Ce qui doit vous alerter chez un prestataire

  • Pas de DPA proposé → non conforme art. 28 RGPD
  • Serveurs hors France sans garanties HDS équivalentes
  • Données utilisées pour améliorer l'IA sans consentement explicite

Note : La CNIL a sanctionné plusieurs établissements de santé pour transfert illicite de données médicales vers des prestataires non conformes. Le DPA n’est pas une formalité.

Checklist conformité

Checklist RGPD pour choisir un prestataire de transcription médicale

1. Vérifier la certification HDS du prestataire

Demandez le certificat HDS (Hébergeur de Données de Santé) délivré par un organisme accrédité COFRAC. Ce certificat atteste que le prestataire respecte l’article L.1111-8 du Code de la santé publique.

2. Signer un DPA avant tout traitement de données

L’art. 28 RGPD impose un contrat de sous-traitance écrit. Ce DPA doit préciser : objet, durée, nature du traitement, obligations du sous-traitant, et liste des sous-sous-traitants autorisés.

3. Vérifier la localisation des données et les transferts hors UE

Les données de santé ne peuvent pas être transférées hors UE sans garanties équivalentes (SCCs ou décision d’adéquation). Exigez une localisation France ou UE contractuellement.

4. Documenter le traitement dans votre registre RGPD

Tout traitement de données personnelles doit figurer dans votre registre des activités de traitement (art. 30 RGPD). Ajoutez-y votre prestataire de transcription avec les détails du DPA et la localisation des données.

FAQ

Questions fréquentes sur RGPD et transcription médicale

Un médecin libéral doit-il avoir un DPA avec son prestataire de transcription ?

Oui. Même les médecins libéraux sont responsables de traitement au sens du RGPD. Tout prestataire qui traite des données patients en leur nom doit signer un DPA — sans exception.

Qu'est-ce que la certification HDS et est-elle obligatoire ?

HDS = Hébergeur de Données de Santé. La certification est obligatoire en France pour tout hébergement de données de santé (art. L.1111-8 CSP). Un prestataire sans HDS = risque juridique pour le médecin.

Les données de transcription peuvent-elles servir à entraîner l'IA ?

Uniquement avec consentement explicite. Le RGPD interdit l’utilisation des données de santé pour d’autres finalités que celles déclarées initialement. Chez Meditext, vos données ne sont jamais réutilisées.

Que faire si mon prestataire actuel n'est pas conforme RGPD ?

Cessez les envois de données patients immédiatement. Demandez la destruction des données existantes par écrit. Cherchez un prestataire certifié HDS avec DPA — un changement préventif évite une sanction CNIL.

Meditext propose-t-il un DPA ?

Oui. Meditext fournit un DPA conforme à l’art. 28 RGPD sur demande. Contactez [email protected] pour obtenir le document à signer avant tout traitement de données patients.

Transcription médicale conforme RGPD avec Meditext

DPA disponible. Hébergement HDS France. Essai sans engagement.

Essai gratuit
Voir les tarifs
Articles liés
Transcription médicale

Transcription médicale professionnelle : IA + correction humaine

Lire l'article
Compte-rendu opératoire

Compte rendu opératoire : la dictée vocale pour les chirurgiens

Lire l'article
Reconnaissance vocale

Reconnaissance vocale médicale : IA cloud vs logiciel en 2026

Lire l'article
Sources et références officielles