RGPD et liste d'attente de patients : les règles à respecter

Mis à jour le 11 juillet 2026 · par l'équipe Filéa

Une liste d'attente n'est pas un simple répertoire téléphonique : dès qu'elle mentionne un motif de soin, une opération ou une ordonnance, elle contient des données de santé, la catégorie la plus protégée du RGPD.

Bonne nouvelle : la conformité d'une liste d'attente tient en quelques règles claires. Ce guide les passe en revue, avec une checklist applicable immédiatement, que votre liste soit sur papier, sur Excel ou dans un logiciel.

Pourquoi une liste d'attente relève des données de santé

Le nom et le téléphone d'un patient sont des données personnelles ordinaires. Mais dès que la ligne précise « rééducation post-prothèse de hanche » ou joint une ordonnance, elle révèle l'état de santé de la personne : on bascule dans les données dites sensibles de l'article 9 du RGPD.

Concrètement, cela impose une base légale adaptée (le consentement explicite du patient ou la prise en charge sanitaire), une sécurité proportionnée au risque, et une minimisation stricte : ne collecter que ce qui sert réellement à organiser la prise en charge.

Le consentement : quoi recueillir, quand, comment

Le moment naturel est l'inscription elle-même. Le patient coche une case explicite, associée à un texte qui précise : qui traite les données (le cabinet), pour quoi (gérer la liste d'attente et le recontacter), combien de temps, et comment exercer ses droits.

Ce consentement doit être tracé : la date et le contenu accepté doivent pouvoir être retrouvés. Un formulaire en ligne qui horodate le consentement fait cela nativement ; un carnet papier, difficilement.

Durée de conservation et purge automatique

Le RGPD interdit la conservation illimitée. Pour une liste d'attente, la logique est simple : les données servent tant que le patient attend, puis un délai raisonnable après sa sortie de liste (pour l'historique et les statistiques du cabinet), puis suppression.

Une politique défendable : suppression automatique des demandes archivées après 6 mois, et suppression immédiate sur demande du patient. L'important est d'avoir défini la règle, de l'annoncer dans votre politique de confidentialité et de l'appliquer réellement.

La checklist RGPD de votre liste d'attente

Passez votre organisation actuelle au crible de ces dix points :

  • Le patient est informé de l'usage de ses données au moment de l'inscription
  • Son consentement est recueilli et horodaté
  • Seules les données utiles à la prise en charge sont collectées
  • L'accès à la liste est limité à l'équipe du cabinet (pas de fichier qui circule par e-mail)
  • Les ordonnances sont stockées de façon chiffrée, pas dans une boîte mail
  • Une durée de conservation est définie et annoncée
  • La purge des demandes sorties de liste est automatique
  • Le patient peut demander la suppression définitive de sa demande
  • Les relances rappellent au patient qu'il peut sortir de la liste en un clic
  • L'hébergement des données est situé dans l'Union européenne

Questions fréquentes

Faut-il déclarer sa liste d'attente à la CNIL ?

Non, le régime de déclaration préalable a disparu avec le RGPD. En contrepartie, le cabinet doit pouvoir démontrer sa conformité à tout moment : information des patients, consentement tracé, durées de conservation définies et mesures de sécurité.

Un fichier Excel protégé par mot de passe est-il conforme ?

Le mot de passe est un début, mais il ne règle ni la traçabilité du consentement, ni la purge automatique, ni la question des copies qui circulent. Pour des données de santé, la CNIL attend des mesures proportionnées au risque : contrôle d'accès individuel, chiffrement et journalisation.

Qui est responsable du traitement : le cabinet ou le logiciel ?

Le cabinet est responsable de traitement ; l'éditeur du logiciel est sous-traitant au sens de l'article 28 du RGPD. Vérifiez que votre outil s'engage contractuellement sur la confidentialité, la localisation des données et leur restitution ou suppression en fin de contrat.