Toutes les ressources
RGPDdonnées patientsconfidentialitéprotection donnéesthérapeute libéral

RGPD et données patients : obligations des thérapeutes en 2025

Le RGPD impose des obligations strictes aux thérapeutes qui gèrent des données de santé. Registre de traitement, consentement, sécurité des données : voici tout ce que vous devez savoir pour être en conformité.

14 février 2026
RGPD et données patients : obligations des thérapeutes en 2025

Le RGPD : un cadre incontournable pour les thérapeutes

Le Règlement Général sur la Protection des Données (RGPD) s'applique à tout professionnel qui collecte et traite des données personnelles — y compris les thérapeutes en exercice libéral. En tant que praticien de santé, vous manipulez des données sensibles (données de santé), ce qui renforce encore vos obligations.

En 2025, la CNIL intensifie ses contrôles auprès des professionnels de santé. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires. Même si ces montants concernent principalement les grandes structures, un rappel à l'ordre ou une mise en demeure peut sérieusement nuire à votre réputation.

Les données concernées

En tant que thérapeute, vous traitez plusieurs catégories de données :

  • Données d'identification : nom, prénom, adresse, téléphone, email

  • Données de santé : notes cliniques, diagnostics, comptes-rendus de séances

  • Données financières : factures, moyens de paiement

  • Données de prise de rendez-vous : créneaux, historique de consultations

Les données de santé bénéficient d'un régime de protection renforcé (article 9 du RGPD). Leur traitement n'est autorisé que sous certaines conditions strictes.

Vos 7 obligations essentielles

1. Tenir un registre de traitement

Même sans salarié, vous devez documenter :

  • Les catégories de données collectées

  • La finalité de chaque traitement

  • La durée de conservation

  • Les mesures de sécurité mises en place

2. Informer vos patients

Avant tout recueil de données, le patient doit être informé de :

  • L'identité du responsable de traitement (vous)

  • La finalité du traitement

  • La durée de conservation

  • Ses droits (accès, rectification, suppression, portabilité)

3. Recueillir le consentement

Pour les données de santé, le consentement doit être libre, spécifique, éclairé et univoque. En pratique, un formulaire signé lors de la première consultation est recommandé.

4. Limiter la collecte

Ne collectez que les données strictement nécessaires à votre activité (principe de minimisation). Pas besoin du numéro de sécurité sociale si vous ne faites pas de remboursement.

5. Sécuriser les données

Mesures techniques et organisationnelles obligatoires :

  • Mot de passe robuste sur tous vos appareils

  • Chiffrement des disques durs et clés USB

  • Logiciels à jour (système, antivirus, applications)

  • Sauvegarde régulière des données

  • Verrouillage automatique de l'écran

6. Respecter les durées de conservation

Les recommandations de la CNIL pour les données de santé :

Type de donnéesDurée de conservationDossier patient actifPendant le suivi + 5 ans après la dernière consultationDonnées de facturation10 ans (obligation comptable)Données d'agendaFin de la relation + 3 ans

7. Notifier les violations

En cas de fuite de données (piratage, perte d'un appareil, erreur d'envoi), vous devez :

  • Notifier la CNIL dans les 72 heures

  • Informer les patients concernés si le risque est élevé

  • Documenter l'incident et les mesures correctives

Les erreurs les plus fréquentes

  • Utiliser WhatsApp ou des SMS pour communiquer des informations de santé

  • Stocker des notes sur un ordinateur non chiffré

  • Envoyer des factures par email non sécurisé avec des données de santé visibles

  • Utiliser Google Docs ou des outils non conformes pour les dossiers patients

  • Ne pas disposer de formulaire de consentement documenté

Comment simplifier votre mise en conformité

La mise en conformité RGPD peut sembler complexe, mais elle se résume à des habitudes simples :

  1. Utilisez un logiciel conforme qui centralise vos données de manière sécurisée

  2. Préparez un formulaire de consentement type

  3. Tenez votre registre de traitement à jour

  4. Formez-vous régulièrement aux bonnes pratiques

Theralink est conçu pour les thérapeutes et intègre nativement les exigences du RGPD : chiffrement des données, hébergement sécurisé, gestion du consentement et suppression des données facilité.

Conclusion

Le RGPD n'est pas un frein — c'est une garantie de confiance pour vos patients. En protégeant leurs données, vous renforcez l'alliance thérapeutique et votre posture professionnelle.

Besoin d'un outil conforme ? Découvrez Theralink et sécurisez la gestion de votre cabinet.

Prêt à transformer votre pratique ?

Découvrir Theralink