top of page

Conformité des données vétérinaires : Tout sur le RGPD pour les pratiques vétérinaires

  • Photo du rédacteur: CoVet
    CoVet
  • il y a 20 heures
  • 11 min de lecture

La plupart des vétérinaires savent que le RGPD les concerne. Ce qui a changé entre 2018 et 2026, c'est le niveau de risque concret.


La CNIL dispose désormais d'une procédure de sanction simplifiée qui cible directement les TPE et PME, avec des amendes pouvant atteindre 20 000 €. Le plafond théorique reste celui que tout le monde connaît : 4 % du chiffre d'affaires ou 20 millions d'euros. Mais pour une clinique, c'est la procédure simplifiée qui représente la menace réelle.


Et le RGPD n'est qu'un des deux cadres en jeu. Le secret professionnel vétérinaire (article L. 241-5 du Code rural) expose à des sanctions pénales distinctes : jusqu'à un an d'emprisonnement et 15 000 € d'amende (article 226-13 du Code pénal). Deux régimes, deux types de conséquences, et peu de ressources qui expliquent comment ils s'articulent en pratique.


En 2023, l'Académie Vétérinaire de France a adopté à l'unanimité un avis qualifiant la gouvernance des données vétérinaires d'angle mort stratégique pour la profession. Depuis, les obligations n'ont fait que se préciser. Choisir des logiciels partenaires conformes au RGPD, notamment pour la documentation clinique, reste l'un des moyens les plus simples de réduire l'exposition dès le départ.


L'essentiel en bref

  • La CNIL peut désormais sanctionner les TPE/PME via une procédure simplifiée, avec des amendes jusqu'à 20 000 €

  • Les cliniques vétérinaires traitent plus de données personnelles qu'elles ne le pensent : les numéros de puce et dossiers I-CAD sont des identifiants indirects au sens du RGPD

  • Le RGPD et le secret professionnel vétérinaire sont deux cadres distincts qui se chevauchent sans se recouvrir

  • Six étapes structurent la mise en conformité : cartographie des flux, registre de traitement, durées de conservation, sécurité et sous-traitants, droits des clients, procédure de violation

  • Tout outil d'IA traitant des données de consultation qualifie comme sous-traitant RGPD

  • Les modèles téléchargeables du guide AFVAC/GERM couvrent l'essentiel du travail documentaire initial



Pourquoi la conformité des données est devenue urgente pour les vétérinaires


Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Les informations présentées sont basées sur les textes réglementaires et les ressources professionnelles disponibles en 2026. Pour les situations complexes, un accompagnement par un professionnel du droit spécialisé en protection des données peut être nécessaire.


Le RGPD est en vigueur depuis 2018. Pour beaucoup de cliniques, la mise en conformité s'est résumée à télécharger le guide AFVAC, vérifier que le logiciel de gestion propose un module de consentement, et publier une politique de confidentialité sur le site internet. En 2026, le contexte a changé.


La CNIL dispose désormais d'une procédure de sanction simplifiée qui cible directement les TPE et PME, avec des amendes pouvant atteindre 20 000 €. Le plafond théorique reste celui que tout le monde connaît : 4 % du chiffre d'affaires ou 20 millions d'euros. Mais pour une clinique, c'est la procédure simplifiée qui représente la menace concrète.


Le RGPD n'est qu'un des deux cadres en jeu. Le secret professionnel vétérinaire (article L. 241-5 du Code rural) expose à des sanctions pénales distinctes : jusqu'à un an d'emprisonnement et 15 000 € d'amende (article 226-13 du Code pénal). Deux régimes, deux types de conséquences, et peu de ressources qui expliquent comment ils s'articulent au quotidien.


En 2023, l'Académie Vétérinaire de France a qualifié la gouvernance des données vétérinaires d'angle mort stratégique pour la profession. Depuis, les outils d'IA se sont multipliés en clinique et les flux de données se sont complexifiés. Choisir des logiciels partenaires conformes au RGPD, notamment pour la documentation clinique, reste l'un des moyens les plus directs de réduire l'exposition.


Quelles données personnelles une clinique vétérinaire traite-t-elle réellement ?


La zone grise entre « donnée animale » et « donnée personnelle » est plus mince qu'elle n'en a l'air. Une clinique traite typiquement trois catégories de données personnelles :

  • Identifiants clients directs : nom, adresse, téléphone, email

  • Identifiants indirects : numéro de puce, numéro I-CAD, tatouage (reliés au propriétaire par recoupement)

  • Données employés et fournisseurs : fiches de paie, coordonnées comptable, contrats


L'Académie Vétérinaire de France a posé une distinction importante dans son avis de 2023 : les données de santé animale relèvent du droit des contrats, pas du RGPD. Mais dès qu'une donnée animale peut être reliée à un propriétaire identifiable, elle bascule dans le champ des données personnelles. En pratique, ce basculement se produit presque systématiquement.


Données clients, données animales et le piège de l'identification indirecte


Le numéro de puce d'un animal est un identifiant indirect au sens du RGPD. La base I-CAD relie ce numéro à l'identité du propriétaire. Toute donnée associée à une puce ou un tatouage est, par extension, une donnée personnelle.


Les articles D212-63, D212-66 et D212-68 du Code rural imposent aux vétérinaires de transférer des données clients au Fichier National d'Identification (I-CAD) lors de chaque identification. C'est un transfert obligatoire vers un tiers qui doit figurer dans le registre de traitement de la clinique. Le guide AFVAC/GERM reconnaît d'ailleurs la difficulté pratique de ce point : on ne voit pas un organisme comme I-CAD passer un contrat de sous-traitance avec chaque identificateur.


Les outils numériques amplifient le risque de recoupement. Les solutions d'IA vétérinaire conçues dans une architecture conforme au RGPD traitent ce point en amont, pour que le praticien gagne en efficacité sans créer de nouvelles expositions.


Le double cadre juridique : RGPD et secret professionnel vétérinaire


Les vétérinaires opèrent sous deux régimes de protection des données distincts, et les confondre crée du risque.


Le RGPD encadre le traitement des données personnelles : collecte, stockage, transfert, suppression. Il donne aux clients des droits (accès, rectification, effacement, portabilité).

Le secret professionnel (article L. 241-5 du Code rural) encadre la confidentialité de tout ce que le vétérinaire apprend dans l'exercice : ce qui lui est confié, mais aussi ce qu'il voit, entend ou comprend.


Les deux se chevauchent, mais ne se recouvrent pas.


Exemple concret Un client exerce son droit d'accès RGPD et demande son « dossier complet ». Ce dossier contient des observations cliniques couvertes par le secret professionnel. Le RGPD donne au client un droit d'accès à ses données personnelles. Le secret professionnel limite ce que le vétérinaire peut partager, même à la demande du client.

Quand le secret professionnel peut-il être levé ?


L'Ordre National des Vétérinaires limite la levée du secret à des cas précis :

  • Réquisition judiciaire écrite citant explicitement les textes autorisant la levée

  • Déclaration de maladies contagieuses (obligation Code rural)

  • Signalement de chiens dangereux (obligation Code rural)

  • Signalement de maltraitance animale au procureur (article 226-14 du Code pénal, facultatif)


En dehors de ces cas, aucune association de protection animale, aucun particulier, aucune organisation non expressément autorisée par la loi ne peut exiger d'un vétérinaire des informations couvertes par le secret.


Les 6 étapes de mise en conformité pour votre clinique


Le guide AFVAC/GERM propose un cadre de mise en conformité en six étapes, conçu pour les structures vétérinaires. Voici ces étapes, dans l'ordre :

  • Étape 1 : Cartographier vos flux de données

  • Étape 2 : Constituer votre registre de traitement

  • Étape 3 : Définir vos durées de conservation

  • Étape 4 : Sécuriser les données et gérer les sous-traitants

  • Étape 5 : Informer les clients et respecter leurs droits

  • Étape 6 : Préparer la procédure de violation de données


Étape 1 : Cartographier vos flux de données


La première étape consiste à identifier chaque endroit où transitent des données clients. Le guide AFVAC/GERM souligne que certains de ces flux sont faciles à oublier.

Les flux à cartographier dans une clinique vétérinaire incluent typiquement :

  • Logiciel de gestion (serveur local ou hébergement cloud)

  • Transferts I-CAD lors des identifications

  • Comptable recevant les factures clients

  • Serveurs SMTP externes pour les rappels de vaccins et SMS

  • Serveurs de sauvegarde

  • Personnel de maintenance informatique ayant accès aux systèmes

  • Outils d'IA utilisés pour la dictée ou la prise de notes


Chacun de ces flux représente un « traitement » au sens du RGPD, et doit être documenté.


Étape 2 : Constituer votre registre de traitement


Le registre de traitement est le document central de la conformité RGPD. Il regroupe des fiches de traitement qui décrivent, pour chaque catégorie de données : quelles données sont collectées, pourquoi, par qui, sur quelle base légale, et pour combien de temps.


Selon le guide AFVAC/GERM, une clinique a besoin au minimum de deux fiches (clients et salariés), potentiellement d'une troisième pour les fournisseurs. Le guide propose quatre modèles téléchargeables : fiche de traitement, politique de sécurité des DCP, politique de protection des données personnelles, et contrat de sous-traitance.


Six bases légales existent pour justifier un traitement. En clinique vétérinaire, quatre sont pertinentes :


  • Exécution du contrat : consultations, facturation

  • Obligation légale : transferts I-CAD, déclaration de maladies contagieuses

  • Intérêt légitime : rappels de vaccins, suivi post-opératoire

  • Consentement : newsletters, communications marketing


Le consentement n'est requis que pour les communications qui ne relèvent pas directement du soin ou du suivi. Pour les rappels de vaccins, c'est l'intérêt légitime du responsable de traitement qui s'applique.


Étape 3 : Définir vos durées de conservation


Plusieurs durées de conservation coexistent, selon la nature des données et les obligations légales qui s'y rattachent.

Type de données

Durée de conservation

Base légale

Données de prospection/marketing

3 ans après la dernière transaction

RGPD

Documents comptables

6 ans

Code de commerce

Certificats de vaccination, passeports

10 ans

Code de santé publique

Certains registres épidémiologiques

Conservation indéfinie

Obligations sanitaires

En pratique, ces durées entrent en conflit. Un client exerce son droit à l'effacement, mais la clinique est légalement tenue de conserver ses documents comptables pendant 6 ans et les certificats de vaccination de son animal pendant 10 ans.


La solution consiste à séparer les données par finalité au sein d'un même dossier client, et à appliquer des durées de conservation distinctes à chaque catégorie. Les données marketing peuvent être supprimées à la demande. Les données liées à des obligations légales sont conservées jusqu'à l'expiration du délai applicable.


Étape 4 : Sécuriser les données et gérer les sous-traitants


Le vétérinaire est le responsable de traitement au sens du RGPD. Il porte la responsabilité de chaque sous-traitant qui accède aux données clients.

Les mesures de sécurité de base incluent :


  • Identifiants individuels pour chaque membre de l'équipe (pas de mot de passe partagé)

  • Antivirus mis à jour régulièrement

  • Sauvegardes testées

  • Clauses contractuelles de sécurité avec chaque sous-traitant : éditeur de logiciel, hébergeur, comptable, prestataire informatique


Chaque prestataire qui touche aux données clients doit être couvert par un contrat de sous-traitance formalisé. Le guide AFVAC/GERM fournit un modèle téléchargeable pour ce contrat.


Un point spécifique aux cliniques appartenant à un groupe : l'Académie Vétérinaire de France a signalé que les groupes vétérinaires contrôlent le logiciel de gestion et pourraient récupérer des données cliniques à des fins commerciales ou pour constituer des bases monétisables. Les vétérinaires salariés au sein de ces structures ne sont pas nécessairement ceux qui décident de l'usage des données médicales qu'ils produisent.


Outils d'IA et sous-traitance RGPD Tout outil d'IA traitant des données de consultation qualifie comme sous-traitant au sens de l'article 28 du RGPD. Avant d'adopter un outil, vérifiez qu'il propose un contrat de sous-traitance formalisé, un hébergement dans l'Union Européenne, et une politique claire sur l'usage des données. Un logiciel de rédaction automatique dossiers vétérinaires conçu pour la profession intègre ces obligations dès sa conception.


Étape 5 : Informer les clients et respecter leurs droits


Les clients peuvent exercer six droits sur leurs données personnelles :

  • Accès : obtenir une copie des données détenues par la clinique

  • Rectification : corriger des informations inexactes

  • Effacement : demander la suppression de leurs données (dans les limites des obligations légales de conservation)

  • Limitation : restreindre temporairement le traitement

  • Portabilité : récupérer leurs données dans un format structuré

  • Opposition : s'opposer à certains traitements, notamment le marketing


La clinique doit fournir une information claire au moment de la collecte : accueil, formulaire de contact sur le site internet, case de consentement pour les rappels par SMS. Le délai de réponse à toute demande est d'un mois.


Deux limites pratiques à connaître. La portabilité est un droit théorique, mais le guide AFVAC/GERM la qualifie de peu réaliste au vu du manque d'interopérabilité entre logiciels de gestion vétérinaire. L'effacement est limité par les obligations légales de conservation : un client qui demande la suppression de ses données conserve des documents comptables dans le système pendant 6 ans.


Étape 6 : Préparer la procédure de violation de données


Une violation de données au sens du RGPD couvre tout accès non autorisé, toute perte accidentelle, ou toute attaque (ransomware, par exemple) touchant le système de gestion de la clinique.


Si la violation présente un risque pour les personnes concernées, la clinique doit notifier la CNIL dans un délai de 72 heures. Si le risque est élevé, les clients concernés doivent également être informés directement. Un dépassement du délai de 72 heures n'exonère pas de l'obligation : la notification reste requise, accompagnée d'une explication du retard.

Toute violation, même mineure, doit être consignée dans un registre interne dédié.

CTA


IA vétérinaire et RGPD : ce que change l'utilisation d'outils d'IA en clinique


C'est le sujet qui génère le plus de questions dans la profession en 2026. Quand un vétérinaire dicte des notes de consultation contenant le nom d'un client, son adresse, et le numéro d'identification de l'animal, ces données personnelles sont traitées par un système tiers.


Ce traitement crée des obligations RGPD spécifiques :

  • Le fournisseur d'IA qualifie comme sous-traitant, nécessitant un contrat de sous-traitance formalisé

  • Le traitement doit être hébergé dans l'UE ou dans une juridiction offrant un niveau de protection adéquat

  • Le traitement doit figurer dans le registre de traitement de la clinique

  • Le client doit être informé que ses données sont traitées par un outil d'IA


L'Académie Vétérinaire de France a signalé dans son avis de 2023 que les dispositifs connectés utilisés en médecine vétérinaire ne font l'objet d'aucune certification systématique, créant des lacunes en matière de qualité des données et de sécurité. Les outils d'IA s'inscrivent dans cette même problématique.


Le risque va au-delà du RGPD. Certains outils construits sur des modèles de langage généralistes non européens peuvent stocker ou exploiter les données transmises dans des pays tiers, ce qui constitue une violation potentielle du secret professionnel en plus d'une non-conformité RGPD.


Des outils d'IA vétérinaire comme CoVet intègrent ces obligations dès leur architecture : hébergement dans l'Union Européenne, contrat de sous-traitance formalisé, et traitement des données conforme au RGPD. Le praticien gagne en efficacité documentaire sans créer de nouvelles expositions.


La conformité des données vétérinaires, un investissement dans la confiance


L'Académie Vétérinaire de France a positionné la gouvernance des données comme un enjeu stratégique pour l'avenir de la profession, pas uniquement comme une case réglementaire à cocher. Les cliniques qui structurent leur conformité maintenant seront mieux préparées à mesure que la profession évolue vers le partage structuré de données et le Vet Health Data Hub que l'Académie recommande.


Trois actions à engager cette semaine :

  • Télécharger les modèles AFVAC/GERM (disponibles ici) : fiche de traitement, politique de sécurité, politique de protection, contrat de sous-traitance

  • Cartographier vos flux de données : chaque transfert vers un tiers (I-CAD, hébergeur, comptable, outils d'IA) doit être documenté

  • Auditer vos sous-traitants logiciels : vérifier l'existence d'un contrat de sous-traitance, la localisation de l'hébergement, et la politique d'usage des données



Questions fréquentes sur la conformité des données vétérinaires


Un cabinet vétérinaire doit-il désigner un délégué à la protection des données (DPO) ? 


Les structures vétérinaires ne sont généralement pas tenues de désigner un DPO formel ni de le déclarer à la CNIL. Le guide AFVAC/GERM recommande toutefois de désigner un membre de l'équipe comme « référent RGPD » pour piloter la conformité. En l'absence d'un référent désigné, c'est le dirigeant de la structure qui assume cette responsabilité par défaut.


Les données de santé d'un animal sont-elles considérées comme des données personnelles au sens du RGPD ? 


Pas en tant que telles. L'Académie Vétérinaire de France distingue les données de santé animale (relevant du droit des contrats) des données personnelles (relevant du RGPD). Mais dès qu'une donnée animale peut être reliée à un propriétaire identifiable, par exemple via un numéro de puce ou un dossier I-CAD, elle entre dans le champ du RGPD.


Combien de temps un vétérinaire peut-il conserver les données personnelles de ses clients ?


Cela dépend de la finalité. Les données de prospection sont limitées à 3 ans après la dernière transaction. Les documents comptables doivent être conservés 6 ans (Code de commerce). Les certificats de vaccination et passeports, 10 ans (Code de santé publique). La clinique doit séparer les données par finalité dans son registre de traitement et appliquer la durée correspondante à chaque catégorie.


Quelles sanctions risque une clinique vétérinaire en cas de non-conformité au RGPD ? 


Le plafond théorique est de 4 % du chiffre d'affaires ou 20 millions d'euros. En pratique, la procédure de sanction simplifiée de la CNIL, qui cible les TPE/PME, prévoit des amendes pouvant atteindre 20 000 €. À cela s'ajoutent les sanctions pénales liées au secret professionnel : jusqu'à un an d'emprisonnement et 15 000 € d'amende (article 226-13 du Code pénal).


Comment signaler une violation de données personnelles à la CNIL en tant que vétérinaire ?


La notification doit être faite dans les 72 heures suivant la découverte de la violation, via le téléservice de la CNIL. Si le risque pour les personnes concernées est élevé, les clients doivent aussi être informés directement. Un dépassement du délai ne dispense pas de la notification. Toute violation, même mineure, doit être consignée dans un registre interne.


Le transfert de données client à l'I-CAD lors de l'identification d'un animal est-il soumis au RGPD ?


Oui. Les articles D212-63, D212-66 et D212-68 du Code rural imposent ce transfert, ce qui en fait une obligation légale. Ce transfert doit figurer dans le registre de traitement de la clinique en tant que traitement fondé sur l'obligation légale. Le guide AFVAC/GERM note que la formalisation d'un contrat de sous-traitance avec I-CAD reste difficile en pratique.




 
 
bottom of page