À retenir

En tant que thérapeute, vous êtes responsable de traitement au sens du RGPD pour les données patient que vous collectez. 5 obligations clés : (1) tenir un registre des traitements, (2) signer un contrat DPA (article 28) avec votre logiciel, (3) garantir un hébergement certifié HDS, (4) informer vos patients de leurs droits, (5) garantir le droit à l'effacement sur simple demande. Sanction maximale CNIL : 20 millions d'euros ou 4 % du CA.

Pourquoi le RGPD vous concerne directement

Le RGPD (règlement européen 2016/679) classe les données de santé en catégorie particulière de données personnelles (art. 9). Cela inclut les données collectées par les thérapeutes, qu'ils soient conventionnés ou non : sophrologues, hypnothérapeutes, naturopathes, kinésiologues, ergothérapeutes, ostéopathes, énergéticiens, etc.

Concrètement, dès que vous notez :

  • Un nom, prénom, téléphone, e-mail patient
  • Un motif de consultation
  • Des antécédents médicaux ou émotionnels
  • Un compte-rendu de séance
  • Un diagnostic ou une hypothèse clinique

...vous traitez des données de santé soumises au RGPD. Cela vaut aussi pour vos enregistrements audio et photos de productions (en art-thérapie par exemple).

1. Le registre des traitements : votre première obligation

L'article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Ce document interne décrit :

  • Quelles données vous collectez
  • Pour quelle finalité
  • Combien de temps vous les conservez
  • Avec qui vous les partagez (votre logiciel, votre comptable, votre messagerie)
  • Quelles mesures de sécurité vous appliquez

Ce registre n'est pas envoyé à la CNIL — il doit être tenu à jour et présenté en cas de contrôle. La CNIL fournit un modèle officiel que vous pouvez compléter en 1 heure.

2. Le contrat DPA : exigez-le de votre logiciel

L'article 28 du RGPD impose un contrat de sous-traitance entre vous (responsable de traitement) et tout sous-traitant qui accède à vos données patient. Cela inclut votre logiciel de gestion de cabinet.

Sans DPA :

  • Vous êtes en infraction RGPD
  • En cas de fuite de données chez votre logiciel, c'est vous qui êtes responsable devant la CNIL
  • Vous risquez une sanction administrative pouvant aller jusqu'à 4 % du CA

Vérifiez que votre éditeur fournit un DPA téléchargeable et signable. therâm met le sien à disposition à l'inscription.

Votre cabinet est-il conforme ?

therâm est hébergé HDS, fournit le DPA, et inclut tous les outils de conformité dès la version Gratuite.

Créer mon cabinet conforme

3. L'hébergement certifié HDS : non négociable

Depuis le décret de 2018, tout hébergeur de données de santé en France doit être certifié HDS (Hébergeur de Données de Santé) par l'Agence du Numérique en Santé (ANS). En 2026, la version applicable est HDS v2.0.

Concrètement, cela signifie que vos données patient ne peuvent pas être stockées :

  • Dans un Google Drive, Dropbox ou iCloud personnel (non certifiés HDS)
  • Sur un serveur OVH ou AWS générique (sauf offre HDS spécifique)
  • Sur un disque dur personnel non chiffré
  • Hors d'Europe (USA, etc.) sans garanties adéquates

Vérifiez que votre logiciel précise sur quel cloud HDS il est hébergé. Les hébergeurs HDS reconnus en 2026 incluent : Google Cloud (HDS v2), Microsoft Azure (HDS v2), OVH (offre HDS), Outscale, AWS (offre dédiée).

therâm est hébergé chez Google Cloud Platform, certifié HDS v2.0 par l'ANS depuis juillet 2025, exclusivement en région europe-west1 (Belgique).

4. Les 6 droits de vos patients

Vous devez informer vos patients (idéalement à l'inscription, à l'oral ou via un document remis) de leurs 6 droits RGPD :

  1. Droit d'accès (art. 15) : le patient peut demander à voir ses données. Vous avez 1 mois pour répondre.
  2. Droit de rectification (art. 16) : il peut corriger une erreur (e-mail, téléphone, etc.).
  3. Droit à l'effacement (art. 17) : il peut demander la suppression de ses données. Sauf obligation légale de conservation, vous devez l'exécuter.
  4. Droit à la limitation du traitement (art. 18) : il peut demander que vous gardiez ses données mais ne les utilisiez plus.
  5. Droit à la portabilité (art. 20) : il peut demander un export de ses données dans un format lisible (CSV, PDF).
  6. Droit d'opposition (art. 21) : il peut s'opposer à certains traitements (newsletter, profilage, etc.).

Concrètement, ajoutez sur votre fiche de consentement (ou votre site web) une mention type : "Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement et de portabilité de vos données. Pour l'exercer : [votre e-mail] ou par courrier à [votre adresse]."

5. La conservation : combien de temps gardez-vous les dossiers ?

Le Code de la santé publique recommande de conserver les dossiers patients 20 ans à compter du dernier acte pour les professions médicales. Pour les thérapeutes du bien-être, il n'y a pas de durée légale stricte, mais le bon sens recommande :

  • Pendant la durée de la relation thérapeutique (en file active)
  • Plus 5 ans après la dernière séance (pour traçabilité légale et fiscale)
  • Au-delà : effacement automatique sauf demande explicite

Pour la facturation, le Code de commerce impose 10 ans de conservation. Pour les enregistrements audio (transcription), ne les gardez que le temps nécessaire à la rédaction du compte-rendu, puis supprimez-les.

6. Que faire en cas de fuite de données ?

Si vous découvrez une fuite (vol de téléphone non chiffré, piratage, e-mail mal envoyé...), vous avez :

  • 72h pour notifier la CNIL via leur formulaire en ligne
  • Sans délai, l'obligation d'informer les patients concernés si la fuite présente un risque

Conserver vos données dans un logiciel HDS chiffré réduit drastiquement ce risque : même en cas de vol de votre téléphone ou ordinateur, les données restent chiffrées et inaccessibles.

7. La checklist RGPD du thérapeute en 2026

  • ☐ Tenir un registre des traitements (modèle CNIL)
  • ☐ Signer un DPA avec votre logiciel de gestion
  • ☐ Vérifier que votre hébergeur est certifié HDS v2.0
  • ☐ Informer vos patients de leurs droits (orale ou écrite)
  • ☐ Mettre en place un mot de passe fort sur votre logiciel
  • ☐ Activer l'authentification à deux facteurs si disponible
  • ☐ Chiffrer votre téléphone et ordinateur (FileVault, BitLocker)
  • ☐ Définir une durée de conservation des données
  • ☐ Connaître la procédure en cas de fuite
  • ☐ Vous tenir informé des évolutions (newsletter CNIL)

Conclusion

Le RGPD peut sembler intimidant, mais en pratique, il se résume à 3 actions pour un thérapeute libéral : (1) choisir un logiciel HDS qui fournit un DPA, (2) tenir un registre des traitements, (3) informer vos patients de leurs droits.

Une fois ces fondations en place, vous êtes conforme et vous pouvez consacrer votre énergie à votre vraie mission : accompagner vos patients.

Démarrer un cabinet conforme RGPD en 30 secondes

therâm fournit DPA, hébergement HDS, et tous les outils RGPD inclus dès la version Gratuite.

Créer mon cabinet gratuitement