Protection des données en cabinet médical : guide pratique du lundi matin

La plupart des guides sur la protection des données sont écrits par des juristes, pour des juristes. Celui-ci est écrit pour la personne qui ouvre réellement le cabinet médical le lundi matin. Le cadre légal compte, mais ce qui compte plus encore c'est le traitement quotidien des informations patients : qui voit quoi, combien de temps on les conserve, et que faire quand un patient appelle pour dire « supprimez mon dossier ».

Ce guide vise les cabinets médicaux en Suisse, mais les principes s'appliquent aux cabinets en France, en Belgique et dans le reste de l'Europe francophone. Lorsque les règles suisses et européennes divergent, nous le précisons.

Les cinq catégories de données patient

Tout cabinet médical, même le plus petit, conserve cinq catégories distinctes de données. Les traiter comme un seul bloc indifférencié est la première source d'ennuis. Classez-les mentalement — et idéalement dans votre logiciel — en :

1. Données d'identité — nom complet, date de naissance, numéro AVS / sécurité sociale, numéro de pièce d'identité.
2. Données de contact — adresse, téléphone, courriel, contact en cas d'urgence.
3. Données cliniques — diagnostics, notes de traitement, prescriptions, résultats de laboratoire, imagerie, allergies. C'est la catégorie « particulièrement sensible ».
4. Données financières — factures, numéros de police d'assurance, IBAN si vous prélevez, soldes impayés.
5. Données de consentement marketing — accord du patient pour recevoir newsletters, suivis post-traitement ou messages d'anniversaire, et date du consentement (ou de son retrait).

Chaque catégorie obéit à des règles d'accès différentes, à des durées de conservation différentes et à des risques différents. Les confondre, c'est se retrouver avec une secrétaire qui voit le statut sérologique d'un patient en cherchant un numéro de téléphone.

Qui peut voir quoi : les rôles d'accès

Le principe légal est la minimisation des données : chaque membre de l'équipe ne doit voir que ce que sa fonction exige.

Un paramétrage par défaut viable pour un petit cabinet médical :

• Secrétaires / personnel administratif — identité, contact, créneaux de rendez-vous, statut des factures. Pas les notes cliniques. Pas les diagnostics.
• Praticiens — dossier clinique complet pour leurs propres patients ; accès complet pour les cas partagés ; lecture seule sur les cas non partagés des collègues lorsque cliniquement nécessaire.
• Propriétaire / gérant du cabinet médical — rapports financiers, journaux d'audit, gestion des utilisateurs. Notes cliniques uniquement s'il exerce aussi comme praticien.
• Fiduciaire / comptable — factures et synthèses financières. Jamais de contenu clinique. Contrat de sous-traitance écrit obligatoire.

Votre logiciel doit rendre ce paramétrage trivial. Si tout le monde se connecte avec le même compte, c'est un problème de conformité — et de sécurité.

Les durées de conservation à retenir vraiment

La conservation des dossiers médicaux suisses est régie par un mélange de droit cantonal de la santé, du Code des obligations et de la nLPD. Les chiffres à mémoriser :

• Dossiers de patients adultes : 10 ans après la fin du traitement dans la plupart des cantons (certains — Zurich notamment — exigent 20 ans). En cas de doute, partir sur 20 ans.
• Dossiers de patients mineurs : 20 ans après la majorité du patient, donc jusqu'à ses 38 ans.
• Factures et pièces comptables : 10 ans selon le Code des obligations (art. 958f CO).
• Consentements marketing : aussi longtemps que le consentement est actif, plus une fenêtre de preuve raisonnable (3 ans en règle).

En France, l'équivalent (Code de la santé publique, art. R. 1112-7) est en règle générale de 20 ans à compter de la dernière consultation, avec exceptions. Les cabinets médicaux de l'UE doivent suivre leur droit national de la conservation médicale, qui prévaut toujours sur le principe RGPD du « pas plus longtemps que nécessaire ».

À l'expiration de la durée, vous avez l'obligation de supprimer ou anonymiser — pas de « garder au cas où ». Conserver plus longtemps est une violation en soi.

Quand un patient demande son dossier : un parcours en 5 étapes

Les patients disposent d'un droit d'accès (art. 25 nLPD, art. 15 RGPD). La première fois c'est stressant ; avec une procédure, cela prend 30 minutes.

1. Vérifiez l'identité. Demandez une copie de pièce d'identité si la personne n'est pas devant vous. Ne transmettez jamais un dossier sur la base d'une simple signature de courriel.
2. Accusez réception par écrit dans les 5 jours ouvrés. Une réponse courte suffit : « Nous avons bien reçu votre demande le [date], nous y répondrons dans le délai légal de 30 jours. »
3. Préparez le dossier. Utilisez la fonction d'export de votre logiciel. Incluez identité, contact, notes cliniques, résultats de laboratoire, prescriptions et liste des destinataires avec qui les données ont été partagées.
4. Caviardez ce qui doit l'être. Vous pouvez occulter les éléments qui identifient un tiers (par exemple un membre de la famille mentionné dans les notes) ou qui nuiraient à la santé mentale du patient (rare ; documentez la raison).
5. Livrez dans un format exploitable et tracez. Le PDF convient. Notez la demande et la réponse dans votre journal d'audit. Première demande gratuite.

Quand un patient demande la suppression

Le droit à l'effacement existe (art. 32 nLPD, art. 17 RGPD), mais pour les dossiers médicaux il est presque toujours écarté par l'obligation légale de conservation. La bonne réponse est rarement une suppression totale.

Réponses pratiques :

• Consentement marketing — oui, retrait immédiat des envois, sans question.
• Anciennes coordonnées — oui, remplacer par une fiche minimale (« patient vu pour la dernière fois en 2017, désinscription marketing »).
• Dossier clinique pendant la durée de conservation — non. Expliquez par écrit que la conservation est obligatoire au titre du droit médical cantonal ; proposez de geler le dossier hors usage actif.
• Dossier clinique après expiration de la durée — oui. C'est de l'entretien de routine, pas une demande spéciale.

Documentez chaque refus par écrit avec la base légale. Refuser sans motif, c'est ce qui fait que les cabinets médicaux finissent dénoncés au PFPDT.

La liste sécurité ennuyeuse mais obligatoire

La plupart des violations en santé ne sont pas des cyberattaques sophistiquées. Ce sont des ordinateurs portables volés, des mots de passe partagés et des « j'ai juste laissé l'écran ouvert une seconde ».

• Chiffrement au repos et en transit — AES-256 sur la base, TLS 1.2+ sur chaque connexion. Votre logiciel doit le faire ; vérifiez par écrit.
• Comptes nominatifs, jamais partagés — chaque membre de l'équipe a son propre identifiant. Les comptes partagés rendent les journaux d'audit inutiles.
• Mots de passe forts, uniques, et 2FA — au minimum sur les rôles praticien et administrateur. Un gestionnaire de mots de passe coûte moins cher qu'une violation.
• Verrouillage automatique de session — 5 minutes d'inactivité sur les postes partagés.
• Sauvegardes régulières hors site — quotidiennes au minimum, chiffrées, testées par une vraie restauration une fois par an.
• Systèmes à jour — mises à jour automatiques Windows / macOS, antivirus installé.
• Armoires fermées à clé pour le papier qu'on garde encore, et destructeur de documents pour ce qu'on jette.

Le piège du courriel et de WhatsApp

Envoyer un rappel de rendez-vous par courriel ou WhatsApp est un transfert de données vers un pays tiers. Gmail comme WhatsApp stockent leurs données sur des serveurs américains ; les deux relèvent du CLOUD Act.

Le piège : un SMS qui dit « Rappel : rendez-vous mardi 14h00 avec Dr Müller pour votre contrôle dermatologique » combine en un seul message identité, contact et donnée clinique. C'est un transfert de donnée sensible vers une infrastructure américaine.

Schémas plus sûrs :

• Utilisez SMS ou notifications in-app via un prestataire suisse ou européen (la plupart des logiciels de cabinet médical le proposent).
• Gardez le contenu du rappel non clinique : « Rappel : rendez-vous mardi 14h00. Répondez STOP pour annuler. » Pas de spécialité, pas de nom de médecin si évitable.
• Recueillez un consentement explicite pour les rappels par WhatsApp / courriel, documentez-le, et proposez le SMS par défaut.
• Ne mettez jamais un diagnostic, une prescription ou un résultat dans un courriel ou un WhatsApp. Utilisez votre portail patient.

La question du lieu d'hébergement, en un paragraphe

Quand vous signez avec un éditeur de logiciel pour cabinet médical, vous ne choisissez pas seulement un outil — vous choisissez un pays dont la loi s'appliquera aux données de vos patients. Lisez le contrat et posez une seule question, par écrit : « Dans quels centres de données physiques, et dans quels pays, les données patient sont-elles stockées, sauvegardes comprises ? » Si la réponse est « Suisse et uniquement Suisse », vous êtes dans la position la plus solide. Si c'est « UE », c'est très bien. Si c'est « États-Unis » ou « nous ne savons pas », vous avez votre réponse.

La liste d'actions sur une page

Si vous ne faites rien d'autre ce mois-ci :

• Paramétrez les rôles dans votre logiciel pour que seuls les praticiens voient les notes cliniques.
• Auditez qui détient le mot de passe administrateur — et changez-le si quelqu'un est parti.
• Confirmez par écrit où votre logiciel stocke les données.
• Cessez tout contenu clinique par courriel et WhatsApp ; passez au portail ou à des SMS non cliniques.
• Rédigez une note de confidentialité d'une page et affichez-la à l'accueil.
• Posez un rappel de calendrier l'an prochain pour purger les dossiers expirés.

La protection des données en cabinet médical n'est pas glamour. Mais les cabinets médicaux qui s'en occupent sérieusement sont aussi ceux que les patients recommandent — et c'est ce type de conformité qui finit par se rentabiliser.