11 min read

RGPD et dossiers patients : le guide complet 2026 pour psychologues et thérapeutes libéraux en France

Tout savoir sur vos obligations RGPD en tant que psychologue, psychothérapeute ou coach libéral en France : registre des traitements, consentement, conservation des données, sécurité, CNIL, sanctions, et pourquoi un logiciel conforme change la donne.

É

Équipe FYL.CARE

Auteur

RGPD et dossiers patients : le guide complet 2026 pour psychologues et thérapeutes libéraux en France

Le Règlement Général sur la Protection des Données (RGPD) s'applique à tout professionnel de santé libéral en France, y compris les psychologues, psychothérapeutes, psychopraticiens et coachs. Depuis son entrée en application le 25 mai 2018, la CNIL a intensifié ses contrôles et ses sanctions — avec plus de 108 000 € d'amendes cumulées en procédure simplifiée depuis mai 2025, et des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel en procédure ordinaire.

Pourtant, une enquête informelle de la CNIL auprès des syndicats professionnels montre que la majorité des psychologues libéraux n'ont toujours pas de registre des traitements, et que beaucoup utilisent des outils non conformes (cahiers papier dans des locaux partagés, sauvegarde sur Dropbox/Google Drive sans chiffrement, ou logiciels métiers hébergés hors UE).

Ce guide vous donne les 7 obligations clés, les erreurs les plus fréquentes, et comment y répondre simplement — y compris avec un outil de gestion de cabinet conforme au RGPD et 100 % gratuit.

Gratuit. Sans carte de crédit. Pour toujours. FYL.care respecte le RGPD et vos données sont hébergées en Europe. Pas de piège, pas de version premium.

1. Le RGPD s'applique à vous, même en libéral

Première idée reçue à dissiper : le RGPD ne concerne pas que les grandes entreprises. Dès que vous collectez des données personnelles dans le cadre de votre activité — nom, prénom, email, téléphone, et surtout données de santé (notes de séance, diagnostics, évaluations psychologiques) — vous êtes responsable de traitement au sens du RGPD.

Le RGPD s'applique :

  • à vos fichiers informatiques (logiciel de gestion, tableur, emails)
  • à vos dossiers papier (notes manuscrites, formulaires d'anamnèse papier)
  • à vos communications (emails avec vos patients, SMS, WhatsApp)

Les données de santé sont classées comme données sensibles (catégorie particulière, article 9 du RGPD) et bénéficient d'une protection renforcée.

2. Vous n'avez plus à déclarer vos fichiers à la CNIL

Bonne nouvelle : depuis l'entrée en vigueur du RGPD, la déclaration préalable auprès de la CNIL n'est plus obligatoire pour les traitements courants de gestion de cabinet. Fini les papiers Cerfa et les formulaires à poster.

En contrepartie, vous devez tenir un registre des activités de traitement (article 30 du RGPD). Ce registre est votre document de référence : il liste tous les traitements de données que vous effectuez, leur finalité, les destinataires, les durées de conservation, et les mesures de sécurité mises en place.

Concrètement, vous devez documenter :

  • La gestion des prises de rendez-vous
  • La tenue des dossiers patients (notes de séance, évaluations)
  • La facturation et les reçus
  • La gestion des emails
  • La gestion de vos comptes sur les réseaux sociaux professionnels

La CNIL met à disposition des modèles de registre simplifiés pour les professionnels de santé libéraux. Vous n'êtes pas obligé de transmettre ce registre, mais vous devez pouvoir le présenter en cas de contrôle.

3. Vous devez informer vos patients — mais pas recueillir leur consentement

Contrairement à une idée répandue, vous n'avez pas à recueillir le consentement explicite de vos patients pour collecter et conserver leurs données de santé. La base légale de ce traitement est l'exécution de la mission d'intérêt public et la fourniture de soins de santé (article 9.2.h du RGPD).

En revanche, vous devez informer clairement vos patients :

  • de la collecte et du traitement de leurs données
  • des finalités (prise en charge thérapeutique, facturation, etc.)
  • de la durée de conservation
  • de leurs droits (accès, rectification, effacement, portabilité)
  • de la possibilité de déposer une réclamation auprès de la CNIL

Comment faire ? Ajoutez une mention d'information dans votre formulaire de premier rendez-vous, votre contrat thérapeutique, ou sur votre site internet. Un simple paragraphe en bas de votre fiche de renseignements suffit — pas besoin d'une politique de confidentialité de 30 pages.

4. Durée de conservation : combien de temps garder les dossiers ?

La question qui revient le plus souvent chez les psychologues libéraux. Les règles sont les suivantes :

Pour les dossiers patients :

  • Les données de santé (notes de séance, comptes rendus) doivent être conservées 20 ans à compter de la dernière consultation (recommandation du Conseil d'État et de la MACSF)
  • Cette durée couvre la prescription de la responsabilité civile (10 ans) et le délai de prescription pour les actions en réparation
  • Certaines sources mentionnent 10 ans comme minimum légal — la recommandation prudente est 20 ans pour les psychologues

Pour les données administratives :

  • Factures et pièces comptables : 10 ans (obligation fiscale)
  • Coordonnées bancaires : à supprimer dès le paiement effectué
  • Listes de diffusion email : jusqu'au désabonnement ou à la fin de la relation

Après ces délais, les données doivent être :

  • Anonymisées si vous souhaitez les conserver à des fins statistiques
  • Détruites de manière sécurisée (destruction papier par broyeur, effacement numérique certifié)

⚠️ Attention aux sauvegardes automatiques ! Si vous conservez des dossiers patients dans un cloud non professionnel (Google Drive, Dropbox, iCloud), vérifiez leur politique de conservation et de suppression. Beaucoup de thérapeutes conservent par erreur des années de données dans des services américains non conformes.

5. Mesures de sécurité : ce que dit la CNIL

La CNIL exige des mesures de sécurité appropriées à la nature des données et aux risques du traitement. Pour un cabinet libéral, cela signifie :

Mesures techniques :

  • Chiffrement des données au repos et en transit (TLS/SSL pour les échanges)
  • Authentification forte (mot de passe robuste + double facteur si possible)
  • Sauvegarde régulière chiffrée, avec restauration testée
  • Journalisation des accès (qui a consulté quel dossier, quand)

Mesures organisationnelles :

  • Accès aux dossiers limité au strict nécessaire (vous seul si vous êtes en solo)
  • Écran de confidentialité si vous travaillez dans un espace partagé ou un co-working
  • Procédure écrite en cas de violation de données (à notifier à la CNIL sous 72h)
  • Mot de passe sur votre ordinateur et vos appareils mobiles

Ce que beaucoup de thérapeutes ignorent : la CNIL a sanctionné en 2025-2026 plusieurs professionnels de santé pour absence de sécurisation élémentaire — mots de passe par défaut, absence de chiffrement, accès partagés. Depuis mai 2025, la procédure simplifiée permet à la CNIL d'infliger des amendes jusqu'à 20 000 € sans publicité, ce qui concerne directement les professionnels libéraux.

6. Logiciel de gestion cabinet : le maillon faible (ou fort)

Le choix de votre outil de gestion est la décision RGPD la plus importante que vous prendrez. Voici ce qu'il faut vérifier :

✅ Ce qu'un logiciel conforme doit offrir :

  • Hébergement des données en Europe (UE/EEE) — hors USA, hors Cloud Act
  • Chiffrement de bout en bout
  • Registre des accès (traçabilité)
  • Clause de sous-traitance conforme à l'article 28 du RGPD
  • Durée de conservation paramétrable
  • Export des données (droit à la portabilité)
  • Suppression définitive possible

❌ Ce qu'il faut éviter :

  • Logiciels hébergés aux États-Unis (même avec "data center UE" — vérifiez les conditions)
  • Outils gratuits grand public (Google Drive, Dropbox, Notion, Trello)
  • Clés USB non chiffrées, disques durs externes sans mot de passe
  • Cahiers papier dans un placard non fermé

FYl.care est hébergé en Europe, conforme RGPD, chiffré de bout en bout, et 100 % gratuit — sans carte de crédit, sans limite, sans version premium. C'est l'outil idéal pour le thérapeute libéral qui veut la conformité sans le casse-tête.

7. Quels sont vos droits et ceux de vos patients ?

Le RGPD accorde 8 droits aux personnes concernées. En tant que thérapeute, vous devez pouvoir y répondre :

DroitDescriptionDélai de réponse
Droit d'accèsLe patient peut demander à voir toutes les données que vous détenez sur lui1 mois
Droit de rectificationLe patient peut faire corriger des données inexactes1 mois
Droit à l'effacementLe patient peut demander la suppression de ses données (sauf obligations légales de conservation)Sans délai excessif
Droit à la limitationLe patient peut demander à "geler" le traitement1 mois
Droit à la portabilitéLe patient peut récupérer ses données dans un format réutilisable1 mois
Droit d'oppositionLe patient peut s'opposer à certains traitementsSans délai excessif
Droit de ne pas faire l'objet d'une décision automatiséePas de scoring ou profiling automatisé

Important pour les psychologues : le droit d'accès du patient à ses notes de séance peut être restreint si la communication des données risque de porter atteinte à sa santé (article L1111-7 du Code de la santé publique). Dans ce cas, orientez le patient vers un médecin de son choix qui consultera les notes à sa place.

8. CNIL 2026 : ce qui change cette année

La CNIL a publié son programme de travail 2026 avec plusieurs évolutions qui concernent les professionnels de santé libéraux :

📋 Recommandation DPI (Dossier Patient Informatisé) La CNIL publiera en 2026 un document consolidant les règles applicables au DPI, après une consultation publique menée en 2025. Ce texte précisera les exigences techniques et juridiques pour les logiciels de gestion de cabinet.

🤖 IA et santé En partenariat avec la HAS, la CNIL a lancé une consultation publique (jusqu'au 16 avril 2026) sur les bonnes pratiques en matière d'IA dans le contexte de soins. Cela inclut les outils de transcription automatique et d'aide à la rédaction de notes.

📊 Contrôles renforcés La CNIL a annoncé un renforcement des contrôles sectoriels en 2026, notamment dans le domaine de la santé. Les professionnels libéraux sont dans le viseur, en particulier ceux qui utilisent des outils hébergés hors UE.

FAQ — Questions fréquentes

Dois-je nommer un Délégué à la Protection des Données (DPO) ?

Non. En tant que psychologue libéral exerçant seul ou en petit cabinet, vous n'êtes pas tenu de désigner un DPO. Cette obligation concerne les organismes publics, les entreprises de plus de 250 salariés, ou celles qui traitent des données sensibles à grande échelle. Vous restez cependant responsable de la conformité et pouvez nommer un DPO externe si vous le souhaitez.

Puis-je utiliser Google Drive ou Dropbox pour stocker les dossiers de mes patients ?

Non. Ces services sont soumis au Cloud Act américain, ce qui signifie que les données peuvent être transmises aux autorités américaines sans votre consentement. Pour des données de santé, c'est une violation du RGPD. Utilisez un outil conforme hébergé en UE, comme FYL.care.

Que faire en cas de vol d'ordinateur ou de violation de données ?

Vous devez notifier la violation à la CNIL dans les 72 heures, via le formulaire de notification en ligne. Si la violation présente un risque élevé pour les droits des patients (données de santé volées), vous devez également informer les patients concernés sans délai. Préparez une procédure écrite à l'avance — c'est une des mesures organisationnelles recommandées par la CNIL.

Quelle est l'amende maximale pour non-conformité au RGPD ?

Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en procédure ordinaire. Pour les professionnels libéraux, la procédure simplifiée (depuis 2025) prévoit des amendes jusqu'à 20 000 € et une astreinte jusqu'à 100 €/jour, sans publicité de la sanction. En 2025-2026, la CNIL a déjà prononcé 16 sanctions simplifiées pour un total de 108 000 €.

Le RGPD s'applique-t-il à mes notes manuscrites ?

Oui. Le RGPD s'applique aux traitements informatisés ET aux traitements papier (fichiers manuels). Si vous prenez des notes manuscrites lors des séances, elles doivent être conservées dans un classeur fermé à clé, dans un meuble verrouillé, dans une pièce dont l'accès est contrôlé. À la fin de leur durée de conservation, elles doivent être détruites par broyeur agréé ou société de destruction sécurisée.

Conclusion

La conformité RGPD n'est pas une option pour les thérapeutes libéraux en France. C'est une obligation légale qui vous protège, vous et vos patients. Les sanctions se durcissent, et la CNIL cible de plus en plus les professionnels de santé.

Mais la bonne nouvelle, c'est qu'avec les bons outils, être conforme est simple et totalement gratuit.

FYL.care : logiciel de gestion de cabinet 100 % gratuit, conforme RGPD, hébergé en Europe. Pas de carte de crédit. Pas de version premium. Pour toujours.

Sources :

  • CNIL — RGPD et professionnels de santé libéraux (2018, mis à jour)
  • CNIL — Programme de travail 2026
  • CNIL — Sanctions prononcées (2025-2026)
  • MACSF — Durée de conservation des dossiers médicaux (2026)
  • IFEMDR — Le RGPD et les données de vos patients
  • Service Public — Obligations RGPD pour les entreprises
  • Conseil d'État — Avis sur conservation des données de santé
É

Équipe FYL.CARE

Publié le 1 juin 2026