RGPD et avis clients : vos obligations en 2026
Récolter des avis sans risquer une amende CNIL : ce que dit le RGPD, les bonnes pratiques pour le consentement, la base légale, le droit à l'oubli.
Demander un avis client implique de traiter des données personnelles : email, téléphone, parfois le contenu de l'échange thérapeutique. Le RGPD encadre strictement ce traitement, et la CNIL contrôle activement le secteur de la santé. Voici comment rester 100% conforme.
La base légale : intérêt légitime ou consentement ?
Pour traiter des données personnelles en vue de demander un avis, vous avez deux bases légales possibles :
L'intérêt légitime (article 6.1.f)
Convient pour les pros de santé qui demandent un avis post-consultation. L'intérêt légitime est l'amélioration du service. Il faut documenter cet intérêt et vérifier qu'il ne porte pas atteinte aux droits du patient (notamment via une analyse d'impact si vous traitez des données sensibles).
Le consentement (article 6.1.a)
Plus sécurisant. Le patient coche une case explicite "J'accepte de recevoir une demande d'avis par SMS / email" lors du rendez-vous Doctolib ou en salle d'attente. Le consentement doit être libre, spécifique, éclairé et univoque.
Combiner les deux : intérêt légitime pour la base légale, mais consentement opt-in pour le SMS (canal le plus intrusif). Mercipodium permet de configurer l'opt-in par canal.
Les mentions obligatoires
Votre demande d'avis (email, SMS, lien) doit contenir :
- •L'identité du responsable de traitement (vous, votre cabinet).
- •La finalité du traitement (collecter votre avis).
- •La base légale (intérêt légitime ou consentement).
- •Les destinataires (vous, Mercipodium en sous-traitant, Google si publication).
- •La durée de conservation.
- •Les droits du patient (accès, rectification, opposition, effacement).
- •Le lien vers votre politique de confidentialité.
Mercipodium intègre automatiquement ces mentions en pied de demande. Vous personnalisez votre politique de confidentialité depuis vos paramètres.
La durée de conservation
Combien de temps pouvez-vous garder les données ?
- •Email/téléphone du patient : durée de la relation contractuelle (= durée du suivi médical) + 3 ans pour la prospection.
- •Avis collecté : durée de vie de la fiche Google Business (donc longtemps).
- •Logs d'envoi : 6 mois maximum.
Le droit à l'oubli
Tout patient peut demander l'effacement de ses données. Vous devez répondre sous 1 mois. Sur Mercipodium, le droit à l'oubli est appliqué en 1 clic depuis votre tableau de bord et purge toutes les données du patient (et son avis si demandé, à condition qu'il n'ait pas été publié sous pseudo).
Le DPO (Délégué à la protection des données)
Êtes-vous obligé de désigner un DPO ? Oui si vous traitez des données de santé à grande échelle (cabinet de groupe avec >5 praticiens, plateformes de soin, etc.). Pour un libéral isolé, ce n'est pas obligatoire mais recommandé.
Vous pouvez désigner un DPO interne (un collaborateur formé) ou externaliser auprès d'un prestataire (~150-300€/mois). Pour les clients Mercipodium, nous proposons un service DPO mutualisé à 49€/mois.
Les sanctions CNIL
Le risque réel pour les pros de santé en cas de non-conformité :
- •Avertissement (la majorité des cas).
- •Mise en demeure publique (publiée sur le site CNIL).
- •Sanction pécuniaire jusqu'à 20 millions d'euros ou 4% du CA mondial.
En 2024-2025, la CNIL a sanctionné plusieurs cabinets de santé pour collecte abusive de données patient. Les amendes ont varié de 5000€ à 250 000€.
Mercipodium et la conformité
Mercipodium est conçu RGPD-by-design :
- •Hébergement en France (Supabase eu-west-3, Paris).
- •Aucun transfert hors UE.
- •Chiffrement des données au repos et en transit.
- •DPA disponible sur simple demande.
- •Droit à l'oubli en 1 clic.
- •Audit de sécurité externe annuel.
Équipe Mercipodium
Rédaction expert santé
L'équipe éditoriale Mercipodium réunit experts produit, juristes santé et professionnels de santé en exercice. Chaque article est relu par un avocat spécialisé en e-réputation et un praticien santé.