Données de santé : êtes-vous vraiment en règle ? Ce que tout thérapeute doit savoir

Vous remplissez soigneusement vos notes de séance dans un fichier Excel partagé sur Google Drive, ou dans un dossier Dropbox. Pratique, accessible depuis votre téléphone, gratuit. Ça fonctionne. Ce que vous ne savez peut-être pas : cette pratique constitue une violation de la réglementation française sur l'hébergement des données de santé. Et si votre client/patient vous le reprochait un jour, c'est votre responsabilité personnelle qui serait engagée.

Pas de panique : vous n'êtes pas seul dans ce cas. Selon une étude relayée par le Conseil européen de la protection des données, près de 45 % des professionnels de santé libéraux ne seraient pas encore conformes au RGPD. La réglementation existe depuis 2018. Elle s'applique à vous, quel que soit votre statut ou votre spécialité.

Dans cet article, on démystifie trois notions qui reviennent souvent : le RGPD, la certification HDS et la souveraineté des données. Et on vous explique concrètement comment Thera-connect vous couvre sur ces trois points.

Le RGPD : ce que ça signifie vraiment pour vous, praticien en libéral

Une loi qui vous concerne directement

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en France le 25 mai 2018. Son objectif : protéger les données personnelles de chaque individu et responsabiliser ceux qui les collectent et les utilisent.

En tant que praticien ou thérapeute bien-être, vous collectez chaque jour des données sensibles sur vos clients/patients : nom, coordonnées, motif de consultation, notes de séance, antécédents, état de santé. Aux yeux de la loi, vous êtes ce qu'on appelle un « responsable de traitement ». C'est-à-dire la personne responsable de la façon dont ces données sont collectées, stockées et protégées.

Ce que le RGPD vous impose concrètement

Pas besoin de devenir juriste. Voici ce que ça implique, traduit simplement :

Principe de minimisation : vous ne collectez que les informations strictement nécessaires...
Principe de sécurité : vous devez protéger ces données contre tout accès non autorisé...
Principe d'information : votre client/patient doit savoir comment ses données sont utilisées...
Principe de durée limitée : vous ne conservez pas les données indéfiniment...

Les sanctions en cas de manquement peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel (article 83 du RGPD). Dans les faits, les amendes maximales s'adressent surtout aux grandes structures. Mais en cas d'incident ou de plainte d'un client/patient, votre responsabilité individuelle est engagée, et l'absence d'outil conforme constitue une faute caractérisée.

HDS : la certification que votre logiciel doit obligatoirement avoir

C'est quoi, exactement ?

HDS signifie « Hébergeur de Données de Santé ». C'est une certification française créée par l'Agence du Numérique en Santé (ANS), obligatoire pour tout prestataire qui stocke des données de santé à caractère personnel.

La loi est claire à ce sujet : l'article L.1111-8 du Code de la Santé Publique impose que toute donnée de santé soit hébergée chez un prestataire certifié HDS. Pas sur un serveur standard. Pas sur un service cloud grand public.

Pourquoi c'est important pour vous ?

Google Drive, Dropbox, Notion, un simple fichier Excel sur votre ordinateur... Ces outils ne sont pas certifiés HDS. Les utiliser pour stocker des informations de santé sur vos clients/patients expose votre responsabilité professionnelle.

Un logiciel certifié HDS, en revanche, garantit que les données sont :

Stockées sur des serveurs sécurisés, en France ou en Europe
Protégées par des protocoles techniques stricts (chiffrement, contrôle d'accès, surveillance continue)
Auditées régulièrement par des organismes indépendants accrédités

Ce n'est pas une formalité administrative de plus. C'est la garantie que la confidentialité de vos séances est réellement protégée.

Souveraineté des données : pourquoi l'hébergement en France n'est pas anodin

Le problème des outils américains

De nombreux outils populaires (Google, Microsoft, Dropbox, Zoom...) sont soumis au Cloud Act, une loi américaine qui autorise les autorités des États-Unis à accéder aux données stockées par des entreprises américaines, où qu'elles soient dans le monde.

Concrètement : si vous utilisez un outil américain pour gérer vos dossiers clients/patients, ces données pourraient théoriquement être accessibles hors du cadre européen. Ce n'est pas un scénario hypothétique : c'est une réalité juridique.

Héberger en France : ce que ça change

Un hébergement en France ou dans l'Union Européenne garantit que vos données restent soumises au droit européen, et uniquement à lui. Vos clients/patients ne risquent pas de voir leurs informations de santé traitées hors du cadre légal qu'ils connaissent.

C'est aussi un signal de confiance que vous pouvez envoyer à votre clientèle : « je prends la protection de vos données au sérieux. »

Ce que Thera-connect met en place concrètement

Thera-connect a été conçu dès le départ avec la sécurité des données comme fondation.

Gilles Kostrzewa, fondateur et lui-même thérapeute, l'explique : dès la première version de l'outil, il s'est entouré d'avocats spécialisés pour construire une solution réellement conforme.

Un hébergement certifié HDS, en France

Les données traitées dans Thera-connect sont hébergées sur les serveurs de Scalingo, basés à Strasbourg. Scalingo est un hébergeur français certifié HDS. Vos données ne partent ni aux États-Unis, ni dans un datacenter dont vous ignoriez l'existence. Elles restent en France, dans un cadre réglementaire connu et audité.

Conformité RGPD intégrée, dès l'offre gratuite

La sécurisation des données et la conformité RGPD sont incluses dans tous les niveaux d'abonnement Thera-connect, y compris l'offre gratuite. Ce n'est pas une option premium. C'est une base.

Cela signifie que dès votre premier client/patient enregistré dans Thera-connect, vous êtes dans un cadre légalement sécurisé.

Un choix qui vous protège, et qui protège vos clients/patients

Choisir un outil conforme, c'est d'abord protéger les personnes qui vous font confiance. Mais c'est aussi vous protéger : en cas de contrôle ou d'incident, vous pouvez démontrer que vous avez utilisé un logiciel certifié. C'est ce qu'on appelle le principe d'accountability dans le RGPD : être en mesure de prouver votre conformité.

FAQ : vos questions sur la sécurité des données en cabinet

Suis-je vraiment concerné par le RGPD si j'exerce seul ?

Oui. Le RGPD s'applique à tout professionnel qui traite des données personnelles, quelle que soit la taille de son cabinet. En libéral, vous êtes considéré comme « responsable de traitement » dès lors que vous gérez des dossiers clients/patients, même sur papier.

Est-ce que mes notes de séance sont considérées comme des données de santé ?

Oui, dès lors qu'elles concernent l'état de santé, les antécédents ou le motif de consultation d'une personne identifiée. Ces données relèvent de la catégorie « sensible » de l'article 9 du RGPD, ce qui implique des obligations renforcées, notamment un hébergement certifié HDS.

Que risque-t-on concrètement en cas de non-conformité ?

En théorie, des amendes importantes (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires, selon le RGPD). En pratique, la CNIL cible d'abord les grandes structures. Mais votre responsabilité civile et professionnelle reste engagée si un incident survient avec un outil non conforme. Choisir un logiciel certifié est votre meilleure protection.

Est-ce que je dois informer mes clients/patients de la façon dont leurs données sont gérées ?

Oui. Vous devez les informer des données collectées, de leur utilisation, de leur durée de conservation et de leurs droits (accès, rectification, suppression). Cette information peut prendre la forme d'une affiche en salle d'attente ou d'une mention dans votre questionnaire de première consultation.

Pourquoi ne pas simplement utiliser un fichier Excel ou Google Drive ?

Ces outils ne sont pas certifiés HDS et ne sont pas conçus pour héberger des données de santé. En cas de problème (piratage, perte de données, contrôle CNIL), vous ne pourriez pas démontrer votre conformité. L'utilisation d'un logiciel métier certifié comme Thera-connect est la solution la plus simple et la plus sûre.

En résumé

Quand un client/patient vous confie ses douleurs, son histoire, ses vulnérabilités, il vous fait confiance. Cette confiance ne s'arrête pas à la porte de votre cabinet : elle inclut la façon dont vous conservez et protégez les informations qu'il vous a transmises.

Avec Thera-connect, la réponse est claire : des serveurs français certifiés HDS, une conformité RGPD intégrée dès le départ, et un outil pensé par un thérapeute pour des praticiens et thérapeutes bien-être. Pas par une équipe de développeurs n'ayant pas une connaissance terrain d'un cabinet.

C'est peut-être la différence la plus importante entre un outil généraliste et une solution faite pour votre métier.

👉 Testez Thera-connect gratuitement pendant 30 jours Ou planifiez une démonstration avec notre équipe.

Vous êtes acupuncteur, naturopathe, énergéticien, nutritionniste, orthophoniste, ostéopathe, praticien en médecine chinoise ou en shiatsu, psychologue, psychomotricien, psychothérapeute, réflexologue, sophrologue... ou toute autre discipline du soin et de l'accompagnement thérapeutique ? Thera-connect a été conçu pour vous. Cette liste n'est pas exhaustive : si votre pratique relève du bien-être, du soin ou de l'accompagnement, Thera-connect est fait pour votre métier.