RGPD et WhatsApp : ce qu'un cabinet médical doit savoir sur les données de santé
La communication par WhatsApp avec les patients soulève une question légitime : où sont stockées les données, qui y a accès, et que se passe-t-il en cas de contrôle ?

Les données de santé font partie des catégories les plus protégées par le RGPD — et à juste titre. Une clinique qui décide de communiquer avec ses patients par WhatsApp a donc une responsabilité accrue par rapport à un magasin ou à un restaurant : il ne suffit pas que la communication soit efficace, elle doit également être conforme.
En quoi la situation change-t-elle lorsque les données concernent la santé ?
Une prise de rendez-vous, en soi, constitue déjà une donnée qui révèle des informations sur la santé d’une personne — le simple fait qu’un rendez-vous ait été pris avec un spécialiste donné peut être considéré comme une donnée sensible. Cela signifie que tout système utilisé pour gérer cette communication doit respecter les exigences relatives au traitement des données sensibles : minimisation, finalité déterminée et contrôle des personnes ayant accès à ces informations.
Où se trouvent les données ?
L'infrastructure propre à WhatSMS — où sont stockées les conversations et les coordonnées gérées par la plateforme — se trouve sur des serveurs européens, conformément à l'approche de confidentialité et protection des données décrite par la plateforme. Cela ne résout pas, à lui seul, l’ensemble du problème : le WhatsApp est exploité par Meta, et tout message envoyé par ce canal transite par l’infrastructure de Meta en tant que sous-traitant, quel que soit l’endroit où le WhatSMS conserve sa propre copie. Une clinique qui transmet des données de santé via WhatsApp doit en tenir compte dans son analyse des risques — ce n’est pas un problème qui disparaît simplement parce qu’on choisit une plateforme dont les serveurs sont situés en Europe.
Consentement et transparence
La disposition RGPD exige que la personne concernée sache comment ses données sont traitées. Concrètement, cela signifie que la clinique doit informer les patients que la communication par WhatsApp est gérée via une plateforme — ce qui peut être fait par une simple note dans le premier message ou lors de la procédure d'admission du patient.
Accès de l'équipe
Tout le monde au sein de la clinique n'a pas besoin de consulter toutes les conversations. Le système permet de gérer qui, au sein de l'équipe, a accès à quelles informations — ce qui est important lorsqu'il y a plusieurs professionnels et que seuls certains d'entre eux doivent pouvoir consulter l'historique d'un patient en particulier.
Ce que la clinique ne doit pas présumer
Il est important d’être clair sur un point : aucun outil, à lui seul, ne rend une clinique « automatiquement conforme » au RGPD. La conformité dépend également des processus internes de la clinique : qui a accès à quoi, comment les données sont-elles supprimées lorsqu’elles ne sont plus nécessaires, et comment répondre à une demande d’accès ou de suppression émanant d’un patient. La plateforme fournit la base technique — données en Europe, contrôle d’accès, exportation des données — mais la politique d’utilisation reste de la responsabilité de la clinique.
Si vous avez des questions spécifiques concernant votre cas, il est préférable d'y répondre avant de transférer la communication de la clinique vers un nouveau canal — créer un compte gratuit permet de tester le fonctionnement technique de la plateforme pendant que cette évaluation est en cours.
Questions fréquentes
Pendant combien de temps les données d'un patient sont-elles conservées sur la plateforme ?
La conservation des données doit respecter le principe de minimisation RGPD : les données ne doivent être conservées que tant qu'elles sont nécessaires à la finalité de la communication, et la politique concrète de conservation est définie par la clinique, et non imposée par la plateforme.
Le patient doit-il donner son consentement explicite pour être contacté par WhatsApp ?
La norme RGPD exige de la transparence quant au traitement des données : la clinique doit informer le patient que la communication passe par une plateforme, par exemple au moyen d'une note figurant dans le premier message ou lors de la procédure d'admission.
Un patient peut-il demander que ses données soient supprimées ?
Oui, le droit à l'effacement est l'un des droits prévus par le RGPD, et la réponse à cette demande relève toujours de la responsabilité de la clinique, qui dispose pour cela des outils techniques de la plateforme permettant l'exportation et la suppression des données.
L'utilisation du WhatsApp pour transmettre des données de santé est-elle, en soi, interdite par le RGPD ?
Ce n'est pas interdit, mais cela nécessite une analyse minutieuse des risques, car WhatsApp est exploité par Meta en tant que sous-traitant — la clinique doit en tenir compte lorsqu'elle décide des informations qu'elle communique par ce canal.
La plateforme rend-elle automatiquement la clinique conforme à la norme RGPD ?
Non. La plateforme fournit la base technique — données en Europe, contrôle d'accès, exportation des données — mais la conformité dépend également des processus internes de la clinique.
Prêt à essayer WhatSMS ?
14 jours gratuits, sans carte. Ajoutez une carte et obtenez 30 jours.
Commencer gratuit