Sécurité & RGPD

RGPD pour therapeutes : Le guide pratique en 10 points

Les 10 obligations RGPD concretes pour les therapeutes liberaux : consentement, minimisation, conservation, droit a l'effacement et outils conformes.

N
Nomisora
5 min de lecture

Le RGPD vous semble abstrait et lointain ? Pourtant, en tant que therapeute, vous traitez quotidiennement des donnees de sante, la categorie la plus sensible selon le reglement europeen. Voici les 10 points concrets a maitriser pour etre en conformite.

1. Le consentement eclaire de vos patients

Avant de collecter les donnees de vos patients, vous devez obtenir leur consentement explicite. Ce consentement doit etre :

  • Libre : le patient ne doit pas subir de pression

  • Specifique : il porte sur un traitement precis de donnees
  • Eclaire : le patient sait exactement ce que vous faites de ses donnees
  • Univoque : une action claire (signature, case a cocher)

En pratique : integrez une clause de consentement dans votre fiche d'accueil patient. Expliquez quelles donnees vous collectez, pourquoi, et combien de temps vous les conservez.

2. La minimisation des donnees

Ne collectez que les donnees strictement necessaires a votre activite. Pour un therapeute, cela signifie :

  • Necessaire : nom, prenom, coordonnees, informations de sante pertinentes pour le traitement

  • Superflu : situation familiale detaillee, revenus, donnees sans lien avec la prise en charge

Principe cle : si vous ne pouvez pas justifier la collecte d'une information pour votre pratique therapeutique, ne la collectez pas.

3. Les durees de conservation

Les donnees de vos patients ne peuvent pas etre conservees indefiniment. Les durees legales pour les therapeutes :

Type de donneeDuree de conservation
Dossier patient (donnees de sante)20 ans apres la derniere consultation
Factures et documents comptables10 ans
Donnees de contact (marketing)3 ans apres le dernier contact
Logs de connexion (securite)1 an

Important : mettez en place une procedure de purge reguliere. Un logiciel comme Nomisora peut automatiser ces rappels.

4. La notification en cas de violation de donnees

En cas de fuite de donnees (piratage, perte d'appareil, envoi a la mauvaise personne), vous avez des obligations strictes :

  • 72 heures pour notifier la CNIL si la violation presente un risque pour les droits des personnes

  • Sans delai pour informer les patients concernes si le risque est eleve
  • Documentation : consigner l'incident, ses effets et les mesures correctives

En pratique : preparez un plan de reponse aux incidents. Sachez qui contacter et quelles etapes suivre avant que le probleme ne survienne.

5. Le droit a l'effacement

Vos patients ont le droit de demander la suppression de leurs donnees personnelles. Vous devez y repondre dans un delai d'un mois.

Limites importantes pour les therapeutes :

  • Les donnees de sante peuvent etre conservees si une obligation legale l'impose (duree de conservation du dossier medical)

  • Les factures doivent etre conservees 10 ans (obligation comptable)
  • Vous pouvez refuser l'effacement si les donnees sont necessaires a l'exercice d'un droit en justice

Bonne pratique : distinguez les donnees soumises a obligation legale de celles que vous pouvez effectivement supprimer.

6. La designation d'un DPO

Le Delegue a la Protection des Donnees (DPO) n'est pas obligatoire pour les therapeutes individuels. Il le devient si :

  • Vous exercez au sein d'un groupement ou cabinet pluridisciplinaire traitant des donnees a grande echelle

  • Votre activite implique un suivi systematique de patients a grande echelle

Pour les praticiens individuels : meme sans obligation de DPO, designez une personne responsable (vous-meme) pour les questions de protection des donnees.

7. Le registre des activites de traitement

Vous devez tenir un registre documentant tous les traitements de donnees que vous effectuez. Ce registre contient :

  • Les categories de donnees traitees (identite, sante, facturation)

  • Les finalites du traitement (soins, facturation, suivi)
  • Les destinataires (mutuelles, comptable, logiciel)
  • Les durees de conservation prevues
  • Les mesures de securite mises en place

Astuce : la CNIL propose un modele simplifie de registre adapte aux professions de sante.

8. L'information des patients (mentions de transparence)

Vous devez informer vos patients de maniere claire et accessible sur :

  • L'identite du responsable de traitement (vous)

  • Les finalites et la base legale du traitement
  • Les destinataires des donnees
  • La duree de conservation
  • Leurs droits (acces, rectification, effacement, portabilite)
  • Comment exercer ces droits (adresse, email)

Support recommande : affichez une notice d'information dans votre salle d'attente et integrez-la a votre fiche d'accueil.

9. Le chiffrement des donnees

Les donnees de sante exigent des mesures de securite renforcees :

  • Chiffrement au repos : les donnees stockees doivent etre chiffrees (AES-256 recommande)

  • Chiffrement en transit : les communications doivent utiliser HTTPS/TLS
  • Acces restreint : seules les personnes habilitees accedent aux donnees
  • Mots de passe robustes et authentification forte (2FA)

Avec Nomisora : toutes les donnees sensibles sont chiffrees en AES-256-CBC, et l'authentification 2FA est integree nativement.

10. Les audits reguliers

La conformite RGPD n'est pas un exercice ponctuel. Vous devez :

  • Revoir annuellement vos pratiques de traitement des donnees

  • Mettre a jour votre registre des traitements
  • Verifier que vos sous-traitants (logiciels, hebergeurs) respectent le RGPD
  • Former les eventuels collaborateurs aux bonnes pratiques
  • Tester votre plan de reponse aux incidents

Calendrier suggere : planifiez un audit interne chaque janvier pour demarrer l'annee en conformite.

Checklist rapide de conformite

Consentement patient formalise
Donnees collectees limitees au necessaire
Durees de conservation definies et respectees
Procedure de notification de violation prete
Processus de reponse aux demandes d'effacement
Registre des traitements a jour
Notice d'information patients affichee
Donnees chiffrees (au repos et en transit)
Audit annuel planifie
Sous-traitants RGPD-conformes

Simplifiez votre conformite avec Nomisora

Nomisora integre nativement les exigences RGPD : chiffrement AES-256, authentification 2FA, journalisation des acces, droit a l'effacement. Essayez gratuitement pendant 14 jours et facturez en toute conformite.

Besoin d'un accompagnement personnalise sur le RGPD ? Notre equipe peut vous guider dans la mise en conformite de votre cabinet.

Partager cet article

Prêt à simplifier votre facturation ?

Essayez Nomisora gratuitement pendant 14 jours. Sans carte bancaire, sans engagement.

Commencer l'essai gratuit Se connecter

Continuez votre lecture

retrocessioncomptabilite

Retrocession : Comment calculer et suivre les honoraires

Tout savoir sur la retrocession d'honoraires : taux habituels, methodes de calcul, suivi mensuel, export comptable et reporting automatise.

Lire
gestionmulti-praticiens

Gerer un cabinet a plusieurs : Organisation et outils

Defis d'un cabinet multi-praticiens : facturation partagee ou separee, retrocession, gestion des acces et reporting par utilisateur.

Lire
gestion-cabinetmicro-entreprise

Micro-entreprise vs BNC : quel statut pour votre cabinet ?

Comparatif complet micro-entreprise vs declaration controlee BNC pour therapeutes liberaux : fiscalite, cotisations, comptabilite, avantages et inconvenients de chaque regime.

Lire