Vous êtes médecin, dentiste, gérant de clinique. Un fournisseur d'IA vous fait une démo séduisante. Avant de signer, voici les 12 points à vérifier pour ne pas vous retrouver en faute RGPD en 2026.
1. Hébergement géographique des données
Les données patient doivent être stockées en Europe — idéalement en France. Demandez le nom exact du data center (ex: AWS eu-west-3 Paris, OVH Roubaix, Scaleway DC2). Si le fournisseur dit "Europe" sans précision, méfiez-vous.
Red flag : "Notre cloud est multi-régions" sans certifier que les données patient restent en EU. Souvent ça veut dire passage par US Cloud pour traitement IA.
2. Certification HDS (Hébergement Données Santé)
La certification HDS est obligatoire pour stocker des données patient en France. Demandez la copie du certificat HDS du fournisseur (ou de son sous-traitant cloud). En 2026, Supabase et Vercel passent par AWS Paris qui est certifié HDS, ce qui couvre indirectement les solutions construites dessus.
3. DPA (Data Processing Agreement)
Le DPA est un contrat écrit qui formalise qui traite quoi, dans quel but, avec quelles mesures de sécurité. Le fournisseur doit le fournir avant signature, pas après. Refusez tout fournisseur qui dit "on vous l'envoie plus tard".
4. Zero retention côté provider IA
Si l'agent IA utilise OpenAI/Claude/Gemini, les sorties peuvent être stockées par défaut pour entraîner les modèles. Exigez la version "zero retention" : les conversations transitent sans être conservées par le provider IA. Anthropic le propose nativement, OpenAI via "Enterprise" uniquement.
5. Anonymisation avant traitement
Les données patient (nom, n° sécu, allergies) doivent être anonymisées AVANT d'être envoyées à l'IA. Le fournisseur doit expliquer techniquement comment il fait : pseudonymisation, masquage, ou abstraction des champs sensibles. Sans cette couche, vous transmettez du PII à un tiers — c'est non-conforme.
6. Droit d'accès patient
Un patient peut demander à tout moment quelles données vous avez sur lui (article 15 RGPD). Le fournisseur doit avoir un mécanisme d'export complet en moins de 30 jours. Demandez à voir le process documenté.
7. Droit à l'effacement
Idem, un patient peut exiger l'effacement (article 17). Le fournisseur doit fournir un bouton "supprimer ce patient" qui purge réellement les données dans tous les systèmes (DB, logs, backups). Pas juste un "soft delete".
8. Logs d'audit RGPD
Vous devez pouvoir prouver qui a accédé à quoi et quand, en cas de contrôle CNIL. Demandez si le fournisseur tient des logs d'accès et combien de temps il les conserve (typique : 12 mois).
9. Sous-traitants déclarés
Le fournisseur doit lister TOUS ses sous-traitants qui peuvent toucher vos données (cloud, email provider, monitoring, support). Cette liste doit être dans le DPA. Si elle bouge, il doit vous prévenir.
10. Notification de violation
En cas de fuite de données, le fournisseur doit vous notifier en moins de 72h pour que vous puissiez à votre tour notifier la CNIL. Vérifiez la clause exacte dans le contrat.
11. Réversibilité totale
Si vous quittez le fournisseur, vous devez pouvoir récupérer 100% de vos données dans un format réutilisable (JSON, CSV, SQL dump). Et avoir la garantie que tout est effacé chez eux après une période définie (typique : 30 jours).
12. Authentification renforcée
2FA TOTP au minimum. SSO recommandé pour les groupes (Google Workspace, Azure AD, Okta). SAML 2.0 + SCIM provisioning pour les structures >30 utilisateurs.
Conclusion
Sur ces 12 points, un bon fournisseur en 2026 doit cocher au moins 10/12. En-dessous, vous prenez un risque CNIL réel. Pour comparer rapidement : Orkelia coche 12/12 (HDS via AWS Paris, DPA fourni à signature, Anthropic zero retention, droit accès/effacement 30j, 2FA + SSO Group).
Vous voulez creuser votre cas ? Réservez 30 min — on regarde ensemble votre stack actuelle et les corrections à apporter.
Vous voulez creuser votre cas ?
30 minutes en visio avec moi. Pas de pitch, juste un échange concret sur votre situation. Sans engagement.
Réserver un audit 30 min →