Réglementation 17 juillet 2026 · 16 min de lecture

Intelligence artificielle et psychologue : protéger la confidentialité des patients

Peut-on utiliser une IA pour préparer une séance, relire un compte rendu ou structurer des notes cliniques ? Un cadre concret pour profiter de l'outil sans exposer les données des patients.

Audren Bouëssel du Bourg

Audren

Psychologue en libéral à Quimper

Un psychologue peut utiliser l’intelligence artificielle, mais il ne devrait transmettre aucune information clinique identifiable à un service tant qu’il n’a pas vérifié sa nécessité, son contrat, sa sécurité et le devenir des données. L’IA peut aider à préparer un plan, simplifier un texte ou structurer un brouillon. Elle ne remplace ni le raisonnement clinique, ni la relation, ni la responsabilité du professionnel qui relit et signe.

La frontière utile n’oppose donc pas « IA autorisée » et « IA interdite ». Elle sépare les usages sans données patient, souvent simples à encadrer, des usages qui exposent des notes, résultats de tests ou comptes rendus à un tiers technique. Voici le cadre que j’utiliserais au cabinet avant de confier le moindre élément à un outil, avec le RGPD, l’AI Act et la déontologie comme garde-fous.

1

Quels usages sont raisonnables au cabinet ?

La recherche « psychologue intelligence artificielle » recouvre des réalités très différentes. Demander dix idées de titres pour une présentation n’a rien à voir avec faire résumer l’histoire traumatique d’un patient. Avant de choisir un outil, partez de la tâche exacte et de la donnée qu’elle exige.

UsageNiveau de prudenceCadre conseillé
Plan de formation, idées d’exercices génériquesFaibleAucune donnée patient, vérification des références
Reformulation d’une notice d’informationFaible à modéréTexte générique, relecture humaine et juridique
Synthèse de littératureModéréContrôler chaque source, date et citation
Cotation ou interprétation d’un testÉlevéOutil validé, droits d’usage, données protégées, contrôle clinique
Résumé de notes ou rédaction d’un compte renduTrès élevéNécessité démontrée, contrat adapté, sécurité, traçabilité et validation intégrale

Une IA générative produit une suite plausible, pas une vérité clinique. La CNIL rappelle que ces systèmes peuvent fournir des résultats inexacts mais convaincants, couramment appelés hallucinations, et qu’une confiance excessive peut conduire à des décisions erronées [3]. Un résumé peut omettre un élément de risque, transformer une hésitation en certitude ou attribuer au patient des mots qu’il n’a jamais prononcés.

Pour les questionnaires, ne confondez pas calcul et interprétation. Une automatisation transparente peut calculer un score selon une règle publiée. Une IA générative qui improvise une conclusion ajoute une couche d’incertitude. Revenez aux consignes de passation et aux qualités psychométriques présentées dans notre guide des tests psychologiques validés.

2

Notes cliniques et comptes rendus : l’IA reste un brouillon

Les notes cliniques concentrent précisément ce qu’un patient révèle parce qu’il se croit dans un espace protégé. Elles contiennent souvent symptômes, événements de vie, relations, traitements, hypothèses et identité de tiers. Les envoyer à un assistant conversationnel revient potentiellement à créer un nouveau traitement et à donner accès à un nouveau destinataire technique.

La première option est donc de ne rien transmettre. Vous pouvez demander une trame vide de compte rendu, une liste de points de vigilance ou une reformulation à partir d’un cas fictif. Si l’usage exige vraiment des données réelles, un service grand public dont les entrées peuvent être conservées, examinées ou réutilisées pour améliorer le modèle ne convient pas. La CNIL recommande justement d’encadrer les usages autorisés et interdits et, selon le déploiement, d’interdire la fourniture de données confidentielles ou personnelles [3].

Une méthode de relecture en quatre passages

  1. 1Faits : comparer chaque élément au dossier, aux scores et aux observations, sans valider de mémoire.
  2. 2Inférences : repérer les causalités, diagnostics ou degrés de certitude ajoutés par le système.
  3. 3Destinataire : ne garder que les informations nécessaires au but annoncé de l’écrit.
  4. 4Voix professionnelle : réécrire ce que vous ne pourriez pas expliquer et défendre vous-même.

Un service d'IA n'est pas un superviseur confidentiel

Même si l’interface ressemble à une conversation privée, le fournisseur peut traiter les messages sur ses infrastructures et selon ses propres conditions. La pseudonymisation ne remplace ni un contrat de sous-traitance, ni des garanties de sécurité, ni votre propre jugement clinique.

Le Code de déontologie rappelle que le psychologue répond personnellement des méthodes, techniques et avis qu’il met en œuvre. Il exige aussi prudence, mesure, discernement, explicitation raisonnée et protection de la confidentialité des écrits [7]. La signature ne doit jamais devenir une validation automatique du texte proposé par une machine.

3

Données patients : anonymiser ne signifie pas retirer le nom

Remplacer « Marie Dupont » par « patiente A » est une pseudonymisation. Si l’âge, la profession, la ville, la composition familiale, un événement rare ou la date des séances permettent de retrouver la personne, le récit demeure une donnée personnelle. Dans une petite commune ou une situation médiatisée, quelques détails suffisent parfois.

Une information sur la santé mentale, un score, un motif de consultation ou le simple fait d’être suivi peut relever des données de santé. Leur traitement demande une protection renforcée. Pour reprendre le cadre complet, consultez notre guide RGPD du psychologue libéral.

Trois niveaux à ne pas confondre

  • Donnée directement identifiante : nom, courriel, téléphone, numéro de dossier ou document original.
  • Donnée pseudonymisée : identifiants remplacés, mais réidentification encore possible avec le contexte ou une table de correspondance.
  • Donnée réellement anonyme : réidentification raisonnablement impossible, y compris par recoupement. Elle sort alors du RGPD, mais ce seuil est exigeant.

La minimisation consiste à ne transmettre que ce qui est indispensable à la finalité. Elle ne consiste pas à verser tout le dossier puis à demander au système de faire le tri. La CNIL insiste sur des données adéquates, pertinentes et limitées au nécessaire, avec une rigueur particulière pour les données sensibles [4].

Le chiffrement pendant le transport protège la connexion, mais pas contre le fournisseur qui reçoit le texte en clair. Un véritable chiffrement de bout en bout des données patients empêche l’intermédiaire d’accéder au contenu. Vérifiez où le déchiffrement a lieu et qui détient les clés, plutôt que de vous contenter du mot « chiffré » sur une page commerciale.

4

Le RGPD avant le premier copier-coller

Pour la gestion de son cabinet, le psychologue détermine généralement pourquoi et comment les données patients sont traitées. Il est alors responsable du traitement. Le fournisseur qui traite ces données uniquement selon ses instructions peut être sous-traitant, mais l’étiquette commerciale ne suffit pas : il faut lire les finalités réelles, notamment la réutilisation pour l’entraînement ou l’amélioration du service.

Avant le déploiement, documentez au minimum :

  • une finalité précise et une base légale au titre de l’article 6 du RGPD ;
  • l’exception applicable au traitement des données de santé au titre de l’article 9 ;
  • les catégories de données strictement nécessaires et les personnes autorisées ;
  • le contrat de sous-traitance, les sous-traitants ultérieurs et les transferts hors Espace économique européen ;
  • les durées de conservation, la suppression, les journaux, les sauvegardes et la gestion d’une violation ;
  • la nécessité d’une analyse d’impact si le traitement est susceptible d’engendrer un risque élevé.

Le consentement n’est pas une rustine. Demander « acceptez-vous que j’utilise une IA ? » ne compense ni une finalité floue ni un outil qui réutilise les données. La CNIL rappelle aux professionnels libéraux qu’ils doivent sécuriser les dossiers, limiter les accès, informer les personnes et encadrer leurs prestataires [5].

Le test le plus simple

Si vous ne pouvez pas expliquer au patient, en phrases courtes, quelle donnée part, vers qui, pour quoi faire, pendant combien de temps et avec quel moyen de suppression, l’usage n’est pas encore prêt.

5

AI Act : déployeur, fournisseur et niveau de risque

L’AI Act distingue les rôles. Le fournisseur développe ou fait développer un système et le met sur le marché ou en service sous son nom. Le déployeur utilise un système sous sa propre autorité dans un cadre professionnel [2]. Un psychologue qui emploie un outil du marché est donc généralement déployeur. Celui qui commercialise son propre assistant, le met en service sous sa marque ou modifie substantiellement un système peut endosser d’autres obligations.

Surtout, toute IA clinique n’est pas automatiquement à haut risque. L’article 6 qualifie notamment de haut risque un système qui est un composant de sécurité d’un produit couvert par l’annexe I, ou lui-même un tel produit, lorsque ce produit est soumis à une évaluation de conformité par un tiers. Cette voie peut concerner certains dispositifs médicaux. D’autres cas précis figurent à l’annexe III. La qualification dépend de la finalité prévue et du produit, pas simplement du métier de l’utilisateur.

Une aide générique à l’orthographe, un remue-méninges sans données personnelles ou une mise en page ne deviennent donc pas « haut risque » parce qu’un psychologue les utilise. À l’inverse, un logiciel destiné par son fournisseur à établir une recommandation diagnostique ou thérapeutique peut relever d’un cadre bien plus exigeant. Demandez la finalité prévue, le statut réglementaire revendiqué et la documentation, sans déduire la réponse du seul discours marketing.

Pour les systèmes à haut risque, le règlement prévoit notamment gestion des risques, documentation, traçabilité, information du déployeur, exactitude, cybersécurité et contrôle humain. Le déployeur doit suivre la notice, confier le contrôle à une personne compétente et surveiller le fonctionnement [2]. Même hors haut risque, ces principes constituent une bonne discipline clinique.

Enfin, l’article 4 impose aux fournisseurs et déployeurs de prendre des mesures pour assurer un niveau suffisant de maîtrise de l’IA aux personnes qui l’utilisent pour leur compte, selon leur formation et le contexte [2]. Dans un cabinet individuel, cela signifie au minimum comprendre les limites de l’outil, ses données, les biais d’automatisation et les procédures d’arrêt.

6

Consentement, transparence et supervision humaine

La Commission européenne confirme que les règles de transparence de l’AI Act entrent en application en août 2026 [1]. L’article 50 prévoit notamment que les personnes soient informées lorsqu’elles interagissent directement avec un système d’IA, sauf si cela est évident, et impose des obligations pour certains contenus synthétiques [2]. Un agent conversationnel proposé au patient n’est donc pas équivalent à un correcteur utilisé en coulisses.

Il ne faut pas transformer cette règle ciblée en obligation d’annoncer chaque correction orthographique. Mais dès que l’outil traite des données du patient, contribue substantiellement à une évaluation, personnalise une recommandation ou rédige un document qui lui est opposable, une information claire est justifiée par le RGPD et par la loyauté de la relation. Précisez la fonction de l’outil et ses limites, pas seulement sa marque.

La supervision humaine ne consiste pas à cliquer sur « accepter ». Elle exige du temps, un accès aux données sources, la compétence pour contester le résultat et l’autorité pour ne pas l’utiliser. Attention au biais d’automatisation : une formulation fluide et un score précis donnent facilement une impression de fiabilité supérieure à la réalité.

Pour une décision ou un écrit clinique, gardez quatre pouvoirs effectifs :

  • comprendre ce que le système fait et ce qu’il ne fait pas ;
  • retrouver la source de chaque donnée importante ;
  • corriger ou écarter la sortie sans pression organisationnelle ;
  • expliquer au patient votre propre raisonnement.

À distance, ajoutez la confidentialité du lieu, l’identité des participants et l’absence d’enregistrement non prévu. Notre guide de la téléconsultation pour psychologue détaille ce cadre technique et relationnel.

7

Checklist avant de transmettre une information à une IA

Arrêtez le copier-coller tant que vous ne pouvez pas répondre « oui » aux questions nécessaires. Cette vérification vaut pour un texte, un fichier, une image, un enregistrement audio et les métadonnées jointes.

  1. 1Finalité : puis-je nommer le résultat concret attendu et justifier qu’une IA est nécessaire ?
  2. 2Alternative : puis-je obtenir le même résultat avec un modèle vide, un cas fictif ou un outil local ?
  3. 3Identification : ai-je retiré les identifiants et les combinaisons de détails qui permettent une réidentification ?
  4. 4Minimisation : chaque phrase transmise est-elle indispensable à la tâche ?
  5. 5Contrat : le fournisseur agit-il sur mes instructions, sans réutiliser les données pour entraîner ou améliorer son service ?
  6. 6Localisation : sais-je où les données et sauvegardes sont traitées, et quels sous-traitants y accèdent ?
  7. 7Sécurité : accès individuels, authentification multifacteur, chiffrement, journaux et procédure d’incident sont-ils prévus ?
  8. 8Information : ma notice explique-t-elle cet usage lorsque les données du patient sont concernées ?
  9. 9Validation : ai-je le temps, les sources et la compétence pour vérifier intégralement la sortie ?
  10. 10Conséquence : que se passe-t-il si le système se trompe, divulgue une donnée ou devient indisponible ?

Un seul non peut suffire

Si vous ignorez si les messages servent à l’entraînement, si vous ne pouvez pas supprimer les données ou si vous n’avez pas le temps de vérifier le résultat, ne transmettez pas l’information clinique. Changez d’outil ou revenez à une méthode sans IA.

8

Écrire une règle simple pour le cabinet

Une page suffit pour commencer. Listez les outils autorisés, les tâches permises, les données interdites, la personne qui valide, la durée de conservation et la conduite à tenir en cas d’erreur. Si vous travaillez avec un secrétariat, un stagiaire ou des associés, la règle doit être comprise de tous et accompagnée d’exemples.

Un cadre prudent peut tenir en cinq lignes :

  • aucune donnée patient dans un compte d’IA grand public ;
  • usages génériques autorisés uniquement avec vérification des faits et des sources ;
  • outil métier autorisé après analyse RGPD, contrat et test de sécurité ;
  • aucune décision, conclusion diagnostique ou transmission externe sans validation du psychologue ;
  • incident ou doute signalé immédiatement, avec suspension de l’usage concerné.

Réévaluez la règle lorsque le fournisseur change ses conditions, son modèle, ses sous-traitants ou ses lieux de traitement. Les recommandations de l’ANSSI sur les systèmes d’IA générative insistent sur l’analyse de risque, le cloisonnement, les accès et la maîtrise des données [8]. Une évaluation faite une fois n’est pas une autorisation permanente.

Enfin, conservez une trace de la décision : besoin initial, options comparées, garanties retenues, test effectué, information des patients et date de révision. Cette documentation rend votre choix explicable. Elle vous aide aussi à dire non à un usage séduisant mais disproportionné.

Questions fréquentes

Un psychologue peut-il utiliser l'intelligence artificielle ?

Oui, aucun texte n’interdit par principe au psychologue d’utiliser une IA. L’usage doit toutefois rester compatible avec le secret professionnel, le RGPD, la finalité clinique, les conditions du fournisseur et la responsabilité personnelle du praticien [2][7].

Puis-je mettre mes notes cliniques dans ChatGPT ou une autre IA ?

Pas dans un service grand public sans garanties contractuelles et techniques adaptées. Retirer le nom ne suffit pas toujours à anonymiser un récit clinique ; si la personne reste identifiable, il s’agit encore de données personnelles, souvent de santé [3][4].

Une IA peut-elle rédiger un compte rendu psychologique ?

Elle peut aider à structurer ou reformuler un brouillon si les données sont protégées, mais elle ne doit ni inventer des faits ni décider des conclusions. Le psychologue relit chaque phrase, revient aux données sources et assume seul le document qu’il signe [7].

Faut-il demander le consentement du patient avant d'utiliser une IA ?

Il faut distinguer consentement clinique, information RGPD et base légale du traitement. Une signature ne rend pas licite ou sûr un transfert inutile ; si des données patient sont traitées, établissez d’abord une base légale, une exception pour les données de santé et une information claire [4][6].

Le patient doit-il être informé qu'une IA a aidé le psychologue ?

Oui lorsque l’usage traite ses données ou influence de manière significative une évaluation, un écrit ou une décision clinique. Une correction formelle sur un texte réellement anonyme n’appelle pas la même information qu’un agent conversationnel présenté directement au patient, auquel l’article 50 de l’AI Act applique une obligation spécifique [2].

Toute IA utilisée en psychologie est-elle à haut risque selon l'AI Act ?

Non. La qualification dépend de la finalité prévue, du produit et du cas d’usage, pas du seul mot clinique. Une aide à la mise en page n’est pas automatiquement à haut risque ; un système constituant un dispositif médical soumis à évaluation de conformité par un tiers peut l’être [2].

Le psychologue est-il fournisseur ou déployeur au sens de l'AI Act ?

Le psychologue qui utilise sous sa propre autorité un outil commercial est généralement déployeur. Il peut devenir fournisseur s’il développe ou fait développer un système puis le met en service sous son nom, et certaines modifications substantielles peuvent déplacer les responsabilités [2].

Que dit l'ordre des psychologues sur l'intelligence artificielle ?

Il n’existe pas de visa ordinal qui autoriserait globalement un outil d’IA pour les psychologues en France. La requête « ordre psychologue intelligence artificielle » doit donc ramener aux textes applicables, aux repères déontologiques, à la CNIL et à l’analyse concrète de chaque usage.

Sources

  1. [1] Commission européenne, AI Act : approche par les risques et entrée en application des règles de transparence en août 2026
  2. [2] Règlement (UE) 2024/1689 sur l’intelligence artificielle : articles 3, 4, 6, 14, 26 et 50, annexes I et III
  3. [3] CNIL, Questions-réponses sur l’utilisation d’un système d’IA générative, 18 juillet 2024
  4. [4] CNIL, Intelligence artificielle : comment être en conformité avec le RGPD
  5. [5] CNIL, RGPD et professionnels de santé libéraux : ce que vous devez savoir
  6. [6] CNIL, Traitement de données de santé : comment informer les personnes concernées
  7. [7] CERéDéPsy, Code de déontologie des psychologues, version consolidée du 9 septembre 2021
  8. [8] ANSSI, Recommandations de sécurité pour un système d’IA générative, version 1.0

Ces informations générales ne remplacent pas un conseil juridique adapté à votre outil et à votre pratique. Dernière mise à jour : juillet 2026.

Conclusion

L’intelligence artificielle peut faire gagner du temps au psychologue, mais le temps gagné ne justifie jamais de déplacer silencieusement la parole d’un patient vers un tiers. Commencez par les usages génériques sans donnée personnelle. Pour tout usage clinique, vérifiez la finalité, minimisez, contractualisez, sécurisez, informez et relisez à partir des sources. Si l’une de ces étapes manque, la décision la plus professionnelle reste souvent de ne pas transmettre.

La confidentialité ne devrait pas dépendre d’une promesse vague

Deiz protège les informations patients par un chiffrement de bout en bout, conçu pour que le serveur ne puisse pas lire leur contenu.

Essayer gratuitement

Gratuit · Sans engagement · Pas de carte bancaire