Réglementation8 mai 2026· 8 min de lecture

RGPD et dossier patient : ce que doit savoir chaque psychologue

Données de santé, durée de conservation, droit d'accès… Le RGPD s'applique à votre cabinet. Voici ce qui est obligatoire et comment vous mettre en conformité simplement.

Le RGPD concerne-t-il vraiment les psychologues en libéral ?

Oui, sans exception. Dès lors que vous traitez des données personnelles de vos patients — ce qui est inévitable — le Règlement Général sur la Protection des Données (RGPD) s'applique. Les données de santé mentale sont même considérées comme des données sensibles de catégorie spéciale, soumises à des règles renforcées.

Ce que vous êtes obligé de faire

1. Informer vos patients

Chaque patient doit être informé, de manière claire, de :

  • Quelles données vous collectez
  • Pourquoi vous les collectez (finalités)
  • Combien de temps vous les conservez
  • Leurs droits (accès, rectification, effacement)

En pratique : un formulaire de consentement signé en début de suivi couvre la majorité de ces obligations.

2. Tenir un registre des traitements

Le RGPD exige un registre listant tous vos "traitements de données" : dossier patient, agenda, facturation, email. Ce n'est pas un document complexe — un tableau Excel suffit — mais il doit exister.

3. Sécuriser les données

Les données de santé doivent être stockées de façon sécurisée :

  • Chiffrement des fichiers numériques
  • Accès protégé par mot de passe fort
  • Hébergeur certifié HDS (Hébergeur de Données de Santé) si vous utilisez un logiciel cloud

4. Durée de conservation

Pour les psychologues, la CNIL recommande une conservation minimale de 5 ans après la fin du suivi pour les dossiers adultes, et jusqu'à la majorité + 5 ans pour les mineurs. Au-delà, les données doivent être supprimées ou anonymisées.

Ce que vous ne devez PAS faire

  • Utiliser Gmail ou Google Drive pour stocker des dossiers patients : ces services ne sont pas certifiés HDS en France
  • Conserver des enregistrements audio sans consentement explicite du patient
  • Partager des informations avec des tiers (famille, médecin) sans accord du patient, sauf exception légale
  • Céder à une demande d'accès du patient sans vérifier son identité au préalable

En cas de violation de données

Si vos données sont compromises (piratage, perte d'un disque dur, email envoyé au mauvais destinataire), vous avez 72 heures pour le signaler à la CNIL si le risque pour les personnes est élevé.

Les outils conformes

Pour être serein, privilégiez :

  • Un hébergeur certifié HDS (OVH Healthcare, Thales, AWS France avec accord)
  • Un logiciel métier respectant le RGPD (Eclio est hébergé sur infrastructure HDS)
  • Une messagerie sécurisée pour les échanges avec les patients

Ressources utiles

La conformité RGPD n'est pas une contrainte administrative de plus — c'est une extension naturelle du secret professionnel que vous respectez déjà.

Vous passez trop de temps sur vos notes ?

Eclio les génère automatiquement depuis votre transcription. Rejoignez la liste d'attente.

Accès anticipé gratuit