Psychologue libéral et RGPD : protéger les données de vos patients
Registre des traitements, hébergement HDS, information des patients, durée de conservation : le guide concret pour être en conformité RGPD quand on est psychologue libéral.
A
Audren
Psychologue en libéral à Quimper
Vous êtes psychologue libéral et le RGPD vous semble abstrait ? Voici l’essentiel : vous traitez des données de santé, classées parmi les plus sensibles par la loi, et vous avez des obligations concrètes à respecter. Pas de déclaration CNIL à remplir, mais un registre des traitements à tenir, une information claire à fournir à vos patients, et surtout des outils numériques conformes pour stocker leurs données.
En 2024, la CNIL a prononcé 87 sanctions pour un total de plus de 55 millions d’euros d’amendes [1]. Les professionnels de santé libéraux ne sont pas épargnés : deux médecins ont été sanctionnés de 3 000 et 6 000 euros pour défaut de sécurisation des données patients [2]. Ce guide vous donne les clés pour vous mettre en conformité, sans jargon juridique et sans y passer des semaines. Si vous en êtes encore aux premières démarches d’installation, commencez par notre guide complet pour s’installer psychologue libéral.
1
Pourquoi le RGPD vous concerne directement
Le RGPD (Règlement Général sur la Protection des Données) s’applique depuis le 25 mai 2018 à toute personne qui collecte et traite des données personnelles. En tant que psychologue libéral, vous êtes concerné à double titre.
D’abord, vous collectez des données d’identification classiques : nom, prénom, adresse, téléphone, email. Ensuite, et c’est là que la réglementation se durcit, vous traitez des données de santé. Le RGPD classe ces données parmi les plus sensibles (article 9) et leur accorde un niveau de protection renforcé.
Ce que la CNIL considère comme « donnée de santé »
Toute information relative à la santé physique ou mentale d’une personne. Pour un psychologue, cela inclut les notes cliniques, le motif de consultation, le diagnostic, les comptes-rendus de séance, les antécédents, et même le simple fait qu’une personne est suivie par un psychologue.
Point important : il n’y a aucune déclaration préalable à faire auprès de la CNIL pour exercer. L’ancienne obligation de déclaration a été supprimée en 2018 avec l’entrée en vigueur du RGPD. En revanche, vous devez être en mesure de démontrer votre conformité à tout moment [3].
2
Quelles données sont concernées ?
En pratique, un psychologue libéral traite trois catégories de données personnelles, chacune avec des exigences de protection différentes.
Données de santé (protection maximale)
Notes cliniques, motif de consultation, antécédents, diagnostic, comptes-rendus de séance, traitements en cours. Ces données nécessitent un hébergement certifié HDS ou un chiffrement de bout en bout.
Données d’identification (protection standard)
Nom, prénom, date de naissance, adresse postale, numéro de téléphone, adresse email. Soumises au RGPD classique.
Données de facturation (protection standard + obligations fiscales)
Montants facturés, mode de paiement, numéro de facture. Conservation obligatoire de 10 ans (voir notre guide sur la facturation).
3
Vos 5 obligations concrètes
Le RGPD peut sembler complexe, mais pour un psychologue libéral en exercice individuel, les obligations se résument à cinq points.
1. Tenir un registre des traitements
C’est l’obligation principale de l’article 30 du RGPD. Ce registre liste tous les traitements de données personnelles que vous réalisez : gestion des patients, agenda, facturation, correspondance par email. Pour chaque traitement, vous indiquez les catégories de données, la finalité, la durée de conservation, et les mesures de sécurité.
La CNIL fournit un modèle téléchargeable au format ODS, adapté aux petites structures [4]. Comptez une heure pour le remplir. Il doit être conservé en interne et mis à jour si vos pratiques changent.
2. Informer vos patients
Vos patients doivent savoir quelles données vous collectez, pourquoi, combien de temps vous les conservez, et quels sont leurs droits. Deux formats acceptés par la CNIL : une affiche en salle d’attente ou un document remis en début de suivi.
Pas besoin de faire signer un consentement formel. Le traitement de vos données repose sur la base légale de la « prise en charge sanitaire » (article 9.2.h du RGPD), pas sur le consentement du patient [3].
3. Sécuriser les données
Vous devez mettre en place des mesures « techniques et organisationnelles » pour protéger les données. Concrètement : mot de passe robuste sur votre ordinateur, verrouillage automatique de l’écran, chiffrement du disque dur, logiciel de gestion sécurisé, et sauvegarde régulière. Si vous utilisez un outil en ligne, il doit être conforme RGPD et idéalement certifié HDS.
4. Respecter les durées de conservation
Chaque type de donnée a une durée de conservation maximale. Les dossiers patients : 20 ans après la dernière consultation (aligné sur les dossiers médicaux). Les factures : 10 ans. Les données d’agenda (historique des rendez-vous) : 5 ans. Au-delà, les données doivent être supprimées ou anonymisées.
5. Documenter votre conformité
En cas de contrôle, la CNIL ne vous demandera pas un dossier parfait. Elle vérifiera que vous avez fait des efforts réels et documentés : registre à jour, information des patients en place, outils sécurisés. La bonne foi et la documentation sont vos meilleurs alliés.
Bonne nouvelle
En exercice individuel, vous n’avez pas besoin de désigner un DPO (Délégué à la Protection des Données). Cette obligation ne s’applique qu’aux structures qui traitent des données de santé « à grande échelle » : hôpitaux, maisons de santé, réseaux pluridisciplinaires [3].
4
Hébergement HDS : ce que ça change pour vous
L’article L1111-8 du Code de la santé publique impose que toute personne qui héberge des données de santé à caractère personnel soit certifiée HDS (Hébergeur de Données de Santé). Cette certification garantit un niveau de sécurité élevé : chiffrement, traçabilité des accès, hébergement sur le territoire européen.
Risque juridique réel
L’hébergement de données de santé sans certification HDS est sanctionné par 3 ans d’emprisonnement et 45 000 euros d’amende (article L1115-1 du Code de la santé publique). Ce n’est pas un risque théorique : la CNIL a qualifié en 2021 l’hébergement de données de santé chez des sociétés américaines de « non adapté » [5].
Concrètement, cela signifie que stocker les noms de vos patients et le type de consultation dans Google Agenda, Google Drive, Dropbox ou iCloud pose un problème juridique. Ces services ne sont pas certifiés HDS.
Le nouveau référentiel HDS 2.0, publié au Journal officiel le 16 mai 2024, renforce encore les exigences : l’hébergement physique des données doit se faire dans l’Espace économique européen, avec transparence sur tout accès depuis un pays tiers [6]. Les hébergeurs ont jusqu’au 16 mai 2026 pour se conformer.
Deux approches pour être conforme
Option 1 : Hébergement certifié HDS
Votre logiciel stocke les données chez un hébergeur certifié HDS (OVH, Scaleway, etc.). L’hébergeur peut techniquement accéder aux données, mais sa certification garantit un cadre de sécurité strict.
Option 2 : Chiffrement de bout en bout
Les données sont chiffrées sur votre appareil avant d’être envoyées au serveur. L’hébergeur ne peut pas les lire, même s’il le voulait. Seul vous (et vos appareils autorisés) détenez la clé de déchiffrement.
Le chiffrement de bout en bout offre un avantage de taille : si l’hébergeur ne peut pas accéder aux données en clair, il n’est pas considéré comme « hébergeur de données de santé » au sens de la loi. C’est l’approche retenue par certains outils spécialisés, dont Deiz. Pour un comparatif détaillé des solutions et de leur conformité, consultez notre comparatif des logiciels de gestion pour praticiens libéraux.
5
Choisir des outils conformes
Le choix de vos outils numériques est la décision la plus structurante pour votre conformité RGPD. Un bon outil vous met en conformité par défaut. Un mauvais choix vous expose en permanence.
Checklist de conformité pour évaluer un outil :
Hébergement en Europe : les données doivent être stockées dans l’UE/EEE, pas aux États-Unis
Certification HDS ou chiffrement E2E : l’un ou l’autre est nécessaire pour les données de santé
Politique de confidentialité claire : l’éditeur doit préciser quelles données il collecte, où elles sont stockées, et qui y a accès
Export des données : vous devez pouvoir récupérer l’intégralité de vos données à tout moment (portabilité)
Suppression effective : quand vous supprimez un dossier patient, il doit disparaitre réellement, pas juste être masqué
Outil
Hébergement UE
HDS / Chiffrement E2E
Adapté données santé
Google Agenda / Drive
Non garanti
Non
Non
Excel / fichier local
Oui (local)
Variable
Risqué
Doctolib
Oui
HDS
Oui
Docorga
Oui
HDS
Oui
Deiz
Oui
Chiffrement E2E
Oui
6
Les droits de vos patients
Le RGPD donne à vos patients des droits précis sur leurs données. Ces demandes sont rares en pratique, mais vous devez être en mesure d’y répondre.
01
Droit d’accès
Le patient peut demander une copie de toutes les données que vous détenez sur lui. Vous avez 1 mois pour répondre.
02
Droit de rectification
Le patient peut demander la correction de données inexactes (adresse, téléphone, etc.).
03
Droit à l’effacement
Le patient peut demander la suppression de ses données. Attention : ce droit a des limites. Vous pouvez refuser si la conservation est nécessaire pour des raisons légales (factures : 10 ans) ou d’intérêt public.
04
Droit à la portabilité
Le patient peut demander à récupérer ses données dans un format lisible pour les transmettre à un autre praticien.
05
Droit d’opposition
Le patient peut s’opposer au traitement de ses données. En pratique, cela revient souvent à mettre fin au suivi.
En pratique
La plupart des psychologues libéraux ne reçoivent jamais de demande d’exercice de ces droits. Mais le simple fait d’y être préparé (savoir où sont vos données, comment les exporter, comment les supprimer) est déjà une preuve de conformité.
7
Sanctions : ce que vous risquez vraiment
Soyons clairs : la CNIL ne va probablement pas débarquer dans votre cabinet demain. Mais les contrôles existent, et les sanctions augmentent chaque année. En 2024, la CNIL a prononcé 87 sanctions pour un total de 55 millions d’euros[1].
1
Rappel à l’ordre (sans amende)
Premier niveau : la CNIL constate un manquement et vous demande de vous mettre en conformité dans un délai donné. C’est le scénario le plus fréquent pour un libéral.
2
Amende CNIL : 3 000 à 6 000 euros (cas réels)
En décembre 2024, deux médecins libéraux ont été sanctionnés de 3 000 et 6 000 euros pour défaut de sécurisation des données patients [2]. Les reproches : accès non sécurisé aux dossiers, absence de chiffrement, partage de données par des canaux non protégés.
3
Sanctions pénales pour hébergement non conforme
L’hébergement de données de santé sans certification HDS est un délit : 3 ans d’emprisonnement et 45 000 euros d’amende. La vente de données de santé identifiables est punie de 5 ans et 300 000 euros[7].
Le secteur santé est une priorité déclarée de la CNIL pour 2025-2026 [1]. Cegedim Santé, un éditeur de logiciels médicaux, a été sanctionné de 800 000 euros en septembre 2024 pour traitement illicite de données de santé [8]. Le message est clair : la CNIL prend le sujet au sérieux, y compris pour les acteurs du numérique en santé.
8
Plan d’action : se mettre en conformité en 5 étapes
Voici un plan concret pour vous mettre en conformité. Comptez une demi-journée pour tout mettre en place, puis quelques minutes par trimestre pour maintenir le tout à jour.
1
1
Créer votre registre des traitements
Télécharger le modèle de la CNIL (format ODS)
Lister vos traitements : gestion patients, agenda, facturation, emails
Pour chaque traitement : finalité, catégories de données, durée de conservation
2
2
Informer vos patients
Rédiger une notice d’information (1 page A4 suffit)
L’afficher en salle d’attente ou la remettre en début de suivi
Contenu : données collectées, finalité, durée, droits du patient, vos coordonnées
3
3
Sécuriser vos outils
Vérifier que votre logiciel est conforme (HDS ou chiffrement E2E)
Activer un mot de passe robuste + verrouillage automatique sur votre ordinateur
Activer l’authentification à deux facteurs sur vos comptes professionnels
Supprimer Google Agenda ou Dropbox pour les données patients si applicable
4
4
Définir votre politique de conservation
Dossiers patients : 20 ans après dernière consultation
Factures : 10 ans (obligation fiscale)
Données d’agenda : 5 ans
Planifier une revue annuelle pour supprimer les données périmées
5
5
Documenter et maintenir
Conserver tous les documents de conformité dans un dossier dédié
Mettre à jour le registre si vos pratiques changent (nouvel outil, nouveau type de donnée)
Faire une revue rapide une fois par an (15 minutes suffisent)
9
Les erreurs à ne pas commettre
Stocker des données patients dans Google Drive ou Dropbox
Ces services ne sont pas certifiés HDS. Stocker ne serait-ce que le nom d’un patient associé à un rendez-vous constitue un risque juridique réel.
Envoyer des comptes-rendus par email non chiffré
Un email classique transite en clair sur Internet. Si vous devez transmettre un document contenant des données de santé, utilisez un service de messagerie sécurisée ou un fichier chiffré avec mot de passe.
Ne jamais informer ses patients
Une affiche en salle d’attente prend 20 minutes à rédiger. Son absence est l’un des premiers points vérifiés en cas de contrôle.
Garder les données indéfiniment « au cas où »
Le RGPD impose une limitation de la durée de conservation. Conserver des dossiers de patients que vous n’avez pas vus depuis 25 ans sans raison légale est contraire au règlement.
Penser que le RGPD ne concerne que les grandes entreprises
Les sanctions de 2024 contre des médecins libéraux prouvent le contraire. La CNIL contrôle aussi les praticiens individuels, surtout quand une plainte de patient déclenche la procédure.
Questions fréquentes
Le RGPD s'applique-t-il aux psychologues libéraux ?
Oui, sans exception. Dès que vous collectez des informations personnelles sur vos patients (nom, coordonnées, notes cliniques), vous êtes soumis au RGPD. Les données de santé bénéficient d’un niveau de protection renforcé : elles font partie des données dites « sensibles » au sens de l’article 9 du RGPD.
Dois-je désigner un DPO (Délégué à la Protection des Données) ?
Non, si vous exercez seul en libéral. La désignation d’un DPO n’est obligatoire que si vous traitez des données de santé à grande échelle, par exemple au sein d’une maison de santé ou d’un réseau pluridisciplinaire. En exercice individuel, la CNIL ne l’exige pas.
Faut-il demander le consentement écrit de chaque patient ?
Non. Le traitement de vos données est fondé sur la « nécessité liée à la prise en charge médicale » (article 9.2.h du RGPD), pas sur le consentement. Vous devez en revanche informer vos patients de manière claire : une affiche en salle d’attente ou un document remis en début de suivi suffit.
Combien de temps puis-je conserver les dossiers patients ?
La durée recommandée est de 20 ans après la dernière consultation, alignée sur la durée de conservation des dossiers médicaux. Pour les patients mineurs, les données doivent être conservées au minimum jusqu’à leur 28e anniversaire.
Puis-je utiliser Google Drive ou Dropbox pour stocker les dossiers patients ?
Non. Ces services ne sont pas certifiés HDS (Hébergement de Données de Santé). Stocker des données de santé sur un hébergeur non certifié est passible de 3 ans d’emprisonnement et 45 000 euros d’amende. Utilisez un outil certifié HDS ou doté du chiffrement de bout en bout.
Que risque un psychologue libéral en cas de contrôle CNIL ?
Pour un libéral, les sanctions vont du simple rappel à l’ordre à une amende pouvant atteindre 20 millions d’euros. En pratique, les amendes pour les praticiens individuels se situent entre 3 000 et 6 000 euros, comme l’ont montré les sanctions prononcées contre deux médecins libéraux en 2024.
Le chiffrement de bout en bout dispense-t-il de la certification HDS ?
Le chiffrement de bout en bout rend les données illisibles pour l’hébergeur. Si celui-ci ne peut pas techniquement accéder aux données en clair, il n’est pas considéré comme « hébergeur de données de santé » au sens de l’article L1111-8 du Code de la santé publique. C’est l’approche retenue par certains outils comme Deiz.
Comment informer mes patients sur le traitement de leurs données ?
Deux options simples : une affiche dans votre salle d’attente résumant les informations essentielles (quelles données, pourquoi, combien de temps, quels droits), ou un document remis en début de suivi. L’information doit être claire, concise et accessible. Pas besoin de faire signer un formulaire de 10 pages.
Les informations juridiques sont à jour en février 2026. La réglementation évolue : vérifiez les sources officielles pour les dernières mises à jour.
Conclusion
La conformité RGPD n’est ni un luxe ni une option pour un psychologue libéral. C’est une obligation légale, mais aussi un gage de sérieux vis-à-vis de vos patients. La bonne nouvelle : la mise en conformité prend une demi-journée, pas des semaines. Un registre, une affiche, un outil conforme, et vous êtes couvert. Le plus important reste le choix de vos outils numériques : un logiciel conforme par défaut vous évite 90 % des risques.
Protégez les données de vos patients
Deiz chiffre les données de vos patients de bout en bout. Même nous, on ne peut pas les lire.