RGPD et cabinet psy : ce que vous devez vraiment mettre en place (et ce qui peut attendre)
Un guide pratique rédigé du point de vue d'une praticienne libérale, pas d'un cabinet juridique.
Mis à jour : juin 2026
Quand le RGPD est entré en vigueur en mai 2018, beaucoup de psychologues libéraux ont reçu des informations contradictoires. Certains confrères ont tout verrouillé, d'autres n'ont rien changé. La plupart ont fait quelque chose entre les deux, sans savoir exactement si c'était suffisant.
Huit ans plus tard, la situation n'a pas beaucoup évolué dans beaucoup de cabinets. Et pourtant, les données que vous traitez quotidiennement (notes de séance, diagnostics posés ou évoqués, courriers aux médecins, factures) entrent dans la catégorie des données de santé, soumises au régime le plus strict du RGPD.
Ce n'est pas une question de bonne volonté. C'est une question de conformité effective, documentable, vérifiable.
Ce que j'observe souvent, c'est que la confusion vient moins d'un manque d'intention que d'un manque de carte. On ne sait pas par où commencer, ce qui est vraiment obligatoire, et ce qui peut attendre sans risque majeur. Cet article vise à vous donner cette carte. La conformité se construit par étapes, pas en une journée.
Pourquoi les données de santé sont soumises au régime le plus strict du RGPD
Le RGPD distingue deux grandes catégories de données personnelles. Les données ordinaires (nom, email, adresse) sont soumises aux obligations générales du règlement. Les données dites "sensibles" sont soumises à un régime beaucoup plus exigeant, avec des interdictions de principe et des exceptions strictement encadrées.
Les données de santé font partie de ces catégories sensibles, au même titre que les données génétiques, biométriques, ou relatives aux convictions religieuses. L'article 9 du RGPD interdit en principe leur traitement, sauf exceptions explicites. Pour un professionnel de santé, l'exception applicable est celle de l'article 9, paragraphe 2, point h : le traitement est autorisé à des fins de médecine préventive ou curative, de diagnostic, ou de prise en charge.
En pratique, cela signifie que vous avez le droit de traiter des données de santé dans le cadre de votre exercice. Mais ce droit s'accompagne d'obligations renforcées : hébergement certifié, documentation du traitement, information explicite des patients, et mesures de sécurité proportionnées à la sensibilité des données.
La conformité RGPD, ce n'est pas une contrainte supplémentaire. C'est la traduction concrète du secret professionnel à l'ère numérique. Ce n'est pas anodin.
Les 4 obligations RGPD non négociables pour un cabinet psy libéral
1. Le registre des traitements
Le RGPD (article 30) impose à tout responsable de traitement de tenir un registre documentant ses activités de traitement. Pour un cabinet libéral, ce registre recense au minimum : quelles données vous traitez, dans quel but, sur quelle base légale, combien de temps vous les conservez, et à qui elles sont éventuellement transmises.
Un tableau structuré suffit. Des modèles sont disponibles sur le site de la CNIL. Ce n'est pas un document complexe, mais c'est un document obligatoire. En cas de contrôle, il est le premier élément demandé.
2. L'information des patients
Le RGPD (articles 13 et 14) impose d'informer les personnes concernées sur le traitement de leurs données, au moment de la collecte. Pour votre cabinet, cela signifie que vos patients doivent savoir quelles données vous collectez, pourquoi, combien de temps vous les conservez, et comment exercer leurs droits.
En pratique, une clause dans votre formulaire d'accueil suffit. Elle doit être claire, lisible, et rédigée en langage courant. Pas un roman, pas du jargon juridique. Une ou deux pages, mentionnant l'identité du responsable de traitement, les finalités, les droits, et le contact pour les exercer.
3. L'hébergement chez un prestataire certifié HDS
La loi française (article L. 1111-8 du Code de la santé publique) impose que les données de santé à caractère personnel soient hébergées chez un prestataire certifié HDS (Hébergement de Données de Santé). Le référentiel est porté par l'Agence du Numérique en Santé (ANS), et la certification est délivrée par un organisme accrédité. Elle atteste d'un niveau de sécurité adapté à la sensibilité des données.
Cette obligation concerne tout outil numérique dans lequel vous stockez des données identifiantes sur vos patients, y compris les notes de séance, les anamnèses, les courriers médicaux. C'est le point de vigilance principal, et nous y revenons plus bas.
4. Le contrat de sous-traitance avec vos prestataires
Si vous utilisez des outils numériques pour gérer votre cabinet (logiciel de facturation, agenda en ligne, messagerie sécurisée), le prestataire de ces outils est un sous-traitant au sens du RGPD. L'article 28 impose qu'un contrat de sous-traitance soit conclu entre vous et ce prestataire, précisant les obligations de chaque partie en matière de protection des données.
Ce contrat peut être intégré aux conditions générales d'utilisation du prestataire, ou signé séparément. L'essentiel est qu'il existe, et qu'il couvre les obligations essentielles du RGPD. En l'absence de ce contrat, vous restez responsable des traitements réalisés par votre prestataire.
Hébergement HDS : pourquoi c'est le point de vigilance principal
C'est le point sur lequel j'ai vu le plus d'erreurs. Et souvent, pas par négligence : par méconnaissance des outils concernés.
Voici les situations les plus fréquentes qui ne sont pas conformes à l'obligation HDS :
- Google Drive ou Google Docs personnels :Google n'est pas certifié HDS pour les comptes grand public. Les données stockées sur un Drive personnel ne répondent pas à l'exigence légale, même si elles sont protégées par un mot de passe.
- Notion (version gratuite ou standard) :Notion n'est pas certifié HDS. Les données y sont stockées sur des serveurs américains, ce qui pose également la question des transferts hors UE au regard du RGPD.
- WhatsApp et SMS standard :Ces canaux ne garantissent pas la confidentialité au sens légal. Les sauvegardes WhatsApp sur Google Drive ou iCloud ne sont pas chiffrées de bout en bout. L'utilisation de ces canaux pour des échanges contenant des données de santé est incompatible avec le RGPD.
- Tableurs Excel ou LibreOffice sur ordinateur personnel :Si ces fichiers sont synchronisés via un service cloud non certifié HDS, le stockage est non conforme. Même sans synchronisation, la sécurité d'un fichier local non chiffré reste insuffisante.
- Messageries grand public (Gmail, Outlook standard, ProtonMail) : Ces services ne sont pas certifiés HDS. Ils peuvent convenir pour des échanges administratifs ne contenant pas de données de santé, mais pas pour des échanges cliniques.
Ce que cela implique concrètement : tout logiciel ou service numérique dans lequel vous stockez des données identifiantes sur vos patients doit être hébergé chez un prestataire certifié HDS, ou chez vous, sur un serveur physique sécurisé. La liste des hébergeurs certifiés est publique sur le site de l'ANS.
Moins vous stockez dans des outils non certifiés, plus vous réduisez votre exposition. Ce n'est pas une question d'efficacité, c'est une question de responsabilité juridique.
Ce que vos patients ont le droit de demander (et comment y répondre)
Le RGPD accorde aux personnes concernées un ensemble de droits sur leurs données personnelles. En tant que responsable de traitement, vous êtes tenu d'y répondre. Voici les plus fréquemment sollicités dans le cadre d'un cabinet libéral :
Le droit d'accès (article 15)
Votre patient peut demander à obtenir une copie de toutes les données que vous détenez sur lui. Vous disposez d'un mois pour répondre, ce délai pouvant être prolongé de deux mois pour les demandes complexes. La réponse doit être gratuite, sauf si les demandes sont manifestement répétitives ou abusives.
En pratique : identifiez à l'avance quelles données vous détenez (fiche patient, factures, notes cliniques si elles sont informatisées). Préparez une procédure simple pour répondre à cette demande sans délai.
Le droit de rectification (article 16)
Le patient peut demander la correction de données inexactes ou incomplètes. Pour un cabinet libéral, cela peut concerner ses coordonnées, sa date de naissance, ou des informations administratives. Les notes cliniques restent sous votre responsabilité professionnelle.
Le droit à l'effacement (article 17)
Le droit à l'effacement n'est pas absolu. Pour les données de santé traitées dans le cadre de soins, il peut être limité par des obligations légales de conservation. Mais si un patient vous demande la suppression de données pour lesquelles vous n'avez plus de base légale de traitement (par exemple, les données d'un ancien patient dont le dossier est clos et la durée de conservation expirée), vous devez y donner suite.
Ce que j'observe souvent, c'est que les praticiens ne savent pas exactement ce qu'ils conservent ni depuis combien de temps. La tenue d'un registre des traitements avec des durées de conservation définies permet de répondre à ces demandes sans délai.
Comment répondre concrètement à ces demandes
Désignez un point de contact unique (votre email professionnel ou l'adresse DPO si vous en avez un). Notez la date de réception de chaque demande pour respecter le délai d'un mois. Conservez une trace écrite de votre réponse. Si la demande est complexe ou potentiellement abusive, consultez un confrère ou un conseil juridique avant de répondre.
Par où commencer si vous n'avez encore rien mis en place
La conformité RGPD peut sembler vertigineuse quand on part de zéro. Elle ne l'est pas si on l'aborde par étapes. Voici la séquence que j'aurais aimé avoir quand j'ai commencé.
Checklist progressive en 5 étapes
- Étape 1. Cartographiez ce que vous traitez. Listez tous les outils dans lesquels vous stockez des données sur vos patients : agenda, logiciel de facturation, fichiers Word ou Excel, messageries, cloud. Cette cartographie prend généralement une à deux heures.
- Étape 2. Vérifiez la certification HDS de chaque outil.Pour chacun des outils identifiés à l'étape 1, vérifiez si le prestataire est certifié HDS. Consultez le registre ANS ou interrogez directement le prestataire. Les outils non conformes doivent être remplacés ou les données doivent en être retirées.
- Étape 3. Créez votre registre des traitements. Téléchargez le modèle CNIL et remplissez-le pour chaque traitement identifié. Comptez deux à trois heures la première fois. Ce document doit ensuite être mis à jour à chaque changement d'outil ou de pratique.
- Étape 4. Mettez à jour votre formulaire d'accueil.Ajoutez une clause d'information RGPD, en langage clair, mentionnant vos finalités, vos durées de conservation et le droit de contact pour exercer les droits. Un modèle de clause est disponible sur le site de la CNIL.
- Étape 5. Vérifiez vos contrats de sous-traitance.Pour chaque prestataire numérique identifié à l'étape 1, vérifiez si un contrat de sous-traitance existe. Si non, demandez-le au prestataire ou lisez attentivement ses conditions générales d'utilisation.
Ces cinq étapes ne garantissent pas une conformité parfaite, mais elles couvrent l'essentiel des obligations pour un cabinet libéral individuel. La perfection peut attendre. La documentation des traitements et l'hébergement HDS, non.
Comment PsyKeria gère la conformité RGPD pour votre cabinet
J'ai commencé à utiliser PsyKeria en partie pour cette raison. Pas uniquement, mais c'était un critère important.
Voici ce que PsyKeria met en place concrètement, sans jargon commercial :
- Hébergement chez un hébergeur certifié HDS :les données sont hébergées en France chez un prestataire certifié HDS. Cela couvre l'obligation légale de l'article L. 1111-8 du Code de la santé publique.
- Chiffrement AES-256 : les données sensibles sont chiffrées côté serveur avec un chiffrement AES-256. En cas de violation physique des serveurs, les données restent illisibles sans la clé de déchiffrement.
- Contrat de sous-traitance automatique :en acceptant les conditions générales d'utilisation, vous signez un contrat de sous-traitance conforme à l'article 28 du RGPD. Vous n'avez pas à le réclamer séparément.
- Données hébergées exclusivement en Union européenne : aucun transfert de données hors UE. Tous les prestataires techniques de PsyKeria opèrent en Europe.
PsyKeria ne règle pas la totalité de votre conformité RGPD : vous restez responsable de votre registre des traitements, de l'information de vos patients, et de vos autres outils numériques. Mais il prend en charge la partie la plus technique et la plus exigeante : l'hébergement chez un prestataire certifié HDS et la sécurité des données.
Je ne dis pas que c'est la seule façon de s'organiser. Je dis que depuis que j'utilise PsyKeria, je n'ai plus à vérifier si l'hébergement de mon outil de gestion est couvert par un hébergeur certifié HDS. Et ça, ça libère un espace mental que je préfère garder pour la clinique.
FAQ RGPD pour les psychologues libéraux
Dois-je nommer un DPO (délégué à la protection des données) ?
Non, pour un cabinet libéral individuel. La désignation d'un DPO n'est obligatoire que pour les organismes qui traitent des données sensibles à grande échelle, ou les autorités publiques. Un cabinet individuel n'y est pas soumis. En revanche, désigner un référent RGPD (vous-même, avec une procédure documentée, ou un prestataire externe) est fortement recommandé dès que vous traitez régulièrement des données de santé. Un référent, pas obligatoirement un DPO au sens juridique.
WhatsApp est-il interdit pour les échanges avec mes patients ?
Pas formellement interdit par la loi, mais non conforme au RGPD pour tout échange contenant des données de santé. WhatsApp ne garantit pas la confidentialité au sens du RGPD : les sauvegardes sur Google Drive ou iCloud ne sont pas chiffrées de bout en bout, et des métadonnées peuvent être transmises à des tiers hors UE. La CNIL recommande explicitement l'utilisation de messageries sécurisées pour les professionnels de santé.
En pratique, un SMS ou un WhatsApp pour confirmer un rendez-vous (sans mentionner de données de santé) se situe dans une zone grise. Un échange clinique par ce canal ne l'est pas.
Combien de temps dois-je conserver les dossiers patients ?
Le Code de la santé publique ne fixe pas de durée spécifique pour les psychologues libéraux, contrairement aux médecins (20 ans pour les dossiers médicaux). La règle pratique recommandée par l'Ordre des psychologues est de 5 ans après la dernière séance pour un adulte, et jusqu'aux 28 ans du patient pour un mineur. Les factures doivent être conservées 10 ans (obligation fiscale et comptable). Le registre des traitements, lui, doit être tenu à jour en permanence.
Que se passe-t-il si je subis une violation de données (piratage, perte d'un ordinateur) ?
Le RGPD (article 33) impose de notifier la CNIL dans les 72 heures suivant la découverte d'une violation qui présente un risque pour les droits des personnes concernées. Si la violation est susceptible d'engendrer un risque élevé pour les patients (données de santé exposées), vous devez également les informer directement (article 34). Une violation non notifiée peut entraîner des sanctions allant jusqu'à 4 % du chiffre d'affaires annuel mondial, ou 20 millions d'euros.
En pratique : notez la date et la nature de l'incident, évaluez le risque pour les patients, notifiez la CNIL via le portail CNIL Notifications, et conservez une trace de toutes les démarches effectuées.
Le consentement verbal de mon patient suffit-il au regard du RGPD ?
Pour les traitements de données de santé, le RGPD (article 9) exige un consentement explicite, ce qui implique une forme documentable. Le consentement verbal seul ne suffit pas : il doit être recueilli par écrit ou via un formulaire daté et signé. En pratique, une clause dans le formulaire d'accueil suffit, à condition qu'elle soit claire, séparée des autres mentions, et conservée avec le dossier.
À noter : le consentement n'est qu'une des six bases légales possibles au RGPD. Pour un traitement de données réalisé dans le cadre de soins, la base légale est souvent l'intérêt vital ou l'exécution d'une mission de santé (article 9, paragraphe 2, point h), pas le consentement. Ce point est souvent mal compris, et il peut être utile d'en discuter avec un conseil spécialisé en droit de la santé.
Si cet article vous a donné envie de faire le point sur votre organisation, c'est déjà utile. La suite dépend de votre propre contexte et de votre niveau de conformité actuel.
Si vous souhaitez voir comment PsyKeria gère concrètement la conformité RGPD et l'hébergement HDS pour les cabinets libéraux, une démonstration est disponible sans rendez-vous sur psykeria.com/essai.