Ouvrir la navigation

Navigation

Accédez à votre espace client ou lancez un nouvel audit.

AccueilVoir les secteursSe connecterVérifier ma conformité

Guide sectoriel

Checklist de conformité pour santé / cabinet médical et paramédical.

Checklist complèteRéférences vérifiées en avril 2026
Retour aux secteurs

Santé / cabinet médical et paramédical

Checklist opérationnelle pour cabinets médicaux, infirmiers, kinés, dentaires, orthophonie, psychologie, sages-femmes et structures paramédicales recevant du public.

À contrôler avant ouverture, à chaque changement d'organisation et à présenter en cas de contrôle CNIL, ARS, inspection du travail ou collectivité.

Point de méthode

Le périmètre exact varie selon la profession, la taille de la structure et l'existence d'un salarié ou d'un hébergement externalisé. Cette checklist vise le socle documentaire attendu dans un cabinet.

Formaliser votre base légale, votre information patient et votre gouvernance RGPD santé avant tout nouveau traitement.

Vérifier que tout hébergement numérique de données patients repose sur un hébergeur certifié HDS et un contrat de sous-traitance conforme.

Tenir un dossier patient exploitable, horodaté, sécurisé et assorti d'une politique d'archivage.

Tracer l'accessibilité ERP, l'hygiène des locaux, l'aération et les opérations de maintenance.

Sécuriser toute la filière DASRI : tri, contenants, stockage, enlèvement, bordereaux et convention prestataire.

Aller plus loin

Commencer l'audit

Passez du guide réglementaire au questionnaire interactif pour enregistrer vos réponses et préparer le rapport.

Commencer l'audit
1

RGPD des données de santé

Cartographiez les traitements comportant des données de santé, tenez le registre RGPD, documentez la nécessité ou non d'un DPO, informez clairement les patients et prévoyez un recueil de consentement ou d'opposition lorsque le texte ou la finalité l'exige. Une AIPD doit être menée dès qu'un traitement présente un risque élevé pour les droits et libertés.

Fréquence de contrôle

Revue initiale avant mise en service, puis au moins annuelle et à chaque nouveau logiciel, nouveau partage de données ou évolution d'organisation.

Documents à tenir

  • Registre des activités de traitement
  • Analyse d'écart RGPD et note de décision DPO
  • Mentions d'information patient et procédures d'exercice des droits
  • AIPD le cas échéant
  • Politique de gestion des violations de données

Sanctions

Mise en demeure, injonction ou limitation des traitements par la CNIL, amende administrative pouvant aller jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial pour les manquements les plus graves. En cas de défaut de mesures RGPD ou de sécurité, le code pénal prévoit aussi jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende.

Réglementation officielle

CNIL - Professionnels de santé libérauxCNIL - Registre des activités de traitementCNIL - AIPDCode pénal - article 226-17
2

Hébergement des données de santé (HDS)

Dès qu'un tiers héberge pour votre compte des données de santé à caractère personnel sur support numérique, vérifiez la certification HDS de l'hébergeur, la répartition des rôles responsable de traitement / sous-traitant et l'existence d'un contrat couvrant confidentialité, sécurité, réversibilité, localisation, sauvegarde et notification d'incident.

Fréquence de contrôle

Avant signature, à chaque renouvellement de contrat, lors de tout changement d'hébergeur et à chaque ajout de sous-traitant critique.

Documents à tenir

  • Certificat HDS en cours de validité
  • Contrat d'hébergement et avenant RGPD article 28
  • Annexe sécurité / plan de sauvegarde / réversibilité
  • Inventaire des sous-traitants et preuves de due diligence

Sanctions

Mise en conformité imposée par la CNIL ou l'ARS, suspension du prestataire non conforme, contentieux contractuel et exposition aux sanctions RGPD ou au risque pénal en cas d'atteinte au secret ou de traitement illicite.

Réglementation officielle

Code de la santé publique - article L1111-8ANS - Certification HDSANS - Hébergement des données de santé
3

Registre des patients et dossier médical

Le dossier patient doit refléter la réalité de la prise en charge, être lisible, daté, protégé par des habilitations adaptées et conservé selon une politique d'archivage documentée. Pour les médecins libéraux, la CNIL rappelle la recommandation ordinale de conservation pendant 20 ans à compter de la dernière consultation.

Fréquence de contrôle

Alimentation à chaque acte ou échange clinique, contrôle de complétude continu et revue annuelle des durées d'archivage et des accès.

Documents à tenir

  • Procédure de tenue du dossier patient
  • Charte d'habilitation et journal des accès si le logiciel le permet
  • Politique d'archivage et de destruction sécurisée
  • Registre des demandes d'accès / rectification / remise de copie

Sanctions

Responsabilité civile et disciplinaire, sanctions CNIL en cas de conservation ou de sécurisation défaillante, et jusqu'à 1 an d'emprisonnement et 15 000 € d'amende en cas d'atteinte au secret professionnel.

Réglementation officielle

CNIL - Durée de conservation des dossiers patientsCode pénal - article 226-13
4

Conformité des locaux : accessibilité, hygiène, ventilation

Votre cabinet doit rester accessible au public dans ses parties ouvertes, tenir un registre public d'accessibilité, maintenir des locaux propres et entretenus, et assurer une aération compatible avec l'activité pour protéger patients et salariés. Toute transformation de locaux ou d'accueil doit être relue sous l'angle ERP, accessibilité et sécurité.

Fréquence de contrôle

Contrôle d'ouverture, à chaque travaux ou réaménagement, vérification de propreté quotidienne et maintenance technique selon les contrats en place.

Documents à tenir

  • Registre public d'accessibilité
  • Dossier ERP / autorisations de travaux si nécessaire
  • Plan de nettoyage des locaux et fiches de traçabilité
  • Contrats de maintenance ventilation / climatisation / extraction

Sanctions

Pour l'accessibilité ERP, l'exploitant s'expose notamment à une amende de 45 000 €, à des peines complémentaires et à des fermetures ou injonctions administratives. En cas de non-respect des règles de santé-sécurité au travail, des amendes pénales du code du travail peuvent également s'appliquer.

Réglementation officielle

Code de la construction - article L164-1Code de la construction - article L183-4Code du travail - article R4222-1
5

Gestion des déchets médicaux DASRI

Identifiez les déchets à risques infectieux, triez-les à la source dans des emballages homologués, stockez-les dans des conditions sécurisées, tracez chaque enlèvement et concluez une convention écrite avec un prestataire autorisé si l'élimination est externalisée.

Fréquence de contrôle

Tri à chaque production, contrôle des contenants en continu, enlèvements selon volumes et délais réglementaires, revue documentaire à chaque collecte.

Documents à tenir

  • Procédure DASRI et consignes de tri affichées
  • Convention écrite avec le prestataire
  • Bordereaux de suivi et preuves d'élimination
  • Registre interne des dates de fermeture et d'enlèvement des contenants

Sanctions

Mise en demeure sanitaire, refus d'enlèvement par le prestataire, et sanctions pénales de la réglementation déchets pouvant aller jusqu'à 4 ans d'emprisonnement et 150 000 € d'amende lorsqu'un déchet est remis hors filière agréée.

Réglementation officielle

Code de la santé publique - DASRICode de la santé publique - convention écriteCode de l'environnement - article L541-46