Retour au blog
ConformitéProtection des donnéesSuisseLPDnLPD

nLPD et logiciels de cabinet médical : ce que tout propriétaire doit savoir

Clinika OS··8 min de lecture

Si votre cabinet médical stocke la moindre information sur ses patients dans un logiciel — ne serait-ce que des noms, des numéros de téléphone et des rendez-vous — vous êtes soumis à la nouvelle Loi fédérale sur la protection des données (nLPD, en allemand nDSG). Le texte est en vigueur depuis le 1er septembre 2023, les obligations sont plus strictes qu'avant, les sanctions peuvent être personnelles, et l'argument « je ne savais pas » n'est pas recevable.

Ce guide s'adresse aux propriétaires de cabinet médical, pas aux juristes. Il explique ce qui a changé, ce que vous devez réellement faire, et ce que votre logiciel doit prendre en charge à votre place.

Ce qui a changé le 1er septembre 2023

L'ancienne LPD datait de 1992, à une époque où le dossier patient électronique n'existait pas. La nouvelle LPD modernise le cadre et le rapproche du RGPD européen, tout en conservant des spécificités suisses.

Les principaux changements pour un cabinet médical :

  • Les données de santé sont des « données personnelles sensibles » au sens de l'art. 5 let. c nLPD, ce qui déclenche des obligations renforcées dès leur traitement.
  • Un registre des activités de traitement est désormais obligatoire pour la plupart des responsables (art. 12 nLPD).
  • La protection des données dès la conception et par défaut devient une exigence légale (art. 7 nLPD).
  • Les devoirs d'information lors de la collecte ont été élargis (art. 19 nLPD).
  • Les violations de la sécurité des données doivent être annoncées au Préposé fédéral à la protection des données et à la transparence (PFPDT) « dans les meilleurs délais » (art. 24 nLPD).
  • Des sanctions pénales personnelles pouvant atteindre 250 000 CHF sont prévues pour les personnes qui violent intentionnellement certaines obligations (art. 60 nLPD).

Ce qui compte comme donnée personnelle ou sensible dans un cabinet médical

Selon l'art. 5 nLPD :

  • Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable — nom, téléphone, courriel, IBAN, et même un créneau de rendez-vous lié à un nom.
  • Une donnée personnelle sensible englobe notamment la santé, les convictions religieuses, les opinions politiques, les données biométriques et génétiques, et les données concernant l'aide sociale.

Presque tout ce qu'un cabinet médical conserve sur un patient est au minimum une donnée personnelle. Dès qu'un traitement, un diagnostic, une prescription ou une orientation est consigné, vous traitez des données sensibles — donc soumises à des règles plus strictes en matière de consentement, de contrôle d'accès et de sécurité.

Le registre des traitements (art. 12)

La plupart des cabinets médicaux doivent désormais tenir un registre des activités de traitement. Les entreprises de moins de 250 collaborateurs en sont dispensées uniquement si leur traitement présente un risque faible — or, traiter des données de santé n'est par définition jamais un risque faible.

Votre registre doit indiquer, pour chaque activité :

  • La finalité (rendez-vous, facturation, notes cliniques, newsletter marketing, etc.).
  • Les catégories de personnes concernées (patients, personnel, fournisseurs).
  • Les catégories de données personnelles.
  • Les destinataires (votre fiduciaire, votre éditeur logiciel, votre assureur, etc.).
  • Les durées de conservation.
  • Une description générale des mesures de sécurité.

Un bon éditeur de logiciel pour cabinet médical vous fournira un modèle de registre couvrant déjà la partie traitée par la plateforme.

Protection des données dès la conception et par défaut (art. 7)

Vous devez concevoir vos processus de manière à ce que, par défaut, le minimum de données personnelles soit collecté et accessible. Concrètement :

  • Le personnel ne voit que les données strictement nécessaires à sa fonction.
  • Les données anciennes sont supprimées ou anonymisées à l'échéance des durées de conservation.
  • Les nouvelles fonctionnalités démarrent avec les réglages les plus protecteurs et exigent un choix actif pour partager davantage.

C'est pour partie le rôle de votre logiciel et pour partie le vôtre. Le logiciel doit offrir un contrôle d'accès basé sur les rôles et des durées de conservation paramétrables ; à vous de définir qui a quel rôle.

Devoirs d'information (art. 19)

Lors de la collecte de données — premier rendez-vous, formulaire en ligne, fiche d'admission papier — vous devez informer la personne concernée :

  • De votre identité et de vos coordonnées en tant que responsable du traitement.
  • De la finalité du traitement.
  • Des destinataires (ou catégories de destinataires).
  • D'une éventuelle communication des données à l'étranger, et du pays concerné.

Une note de confidentialité courte, en langage clair, affichée à l'accueil et sur votre site internet suffit en principe. Inutile de rédiger un document juridique de douze pages.

Notification des violations (art. 24)

Si une violation est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, vous devez l'annoncer au PFPDT dans les meilleurs délais. La nLPD ne fixe pas le délai strict de 72 heures du RGPD, mais en pratique vous devez le considérer comme un plafond — le PFPDT a confirmé que tout retard injustifié vous sera reproché.

Vous pouvez également avoir à informer directement les patients concernés, en termes clairs, lorsque cela est nécessaire à leur protection ou que le PFPDT l'exige.

Le rôle du PFPDT

Le Préposé fédéral à la protection des données et à la transparence est l'autorité de surveillance. Il instruit les plaintes, audite les organisations et peut ordonner des mesures correctives. Contrairement aux autorités RGPD, le PFPDT ne peut pas infliger directement d'amendes administratives — mais les autorités pénales cantonales peuvent infliger des sanctions personnelles allant jusqu'à 250 000 CHF au titre de l'art. 60.

Pourquoi l'hébergement en Suisse compte

L'emplacement physique des données détermine le gouvernement qui peut légalement en exiger l'accès.

  • Hébergement en Suisse : les données restent sous juridiction suisse, protégées par la Constitution et par la LSCPT, qui impose un contrôle judiciaire de tout accès étatique.
  • Hébergement dans l'UE : les données tombent sous le RGPD — un régime solide, mais les autorités américaines peuvent atteindre les filiales européennes des fournisseurs cloud américains via le CLOUD Act.
  • Hébergement aux États-Unis : les données sont exposées au CLOUD Act et au FISA 702.

Pour un cabinet médical, la conclusion pratique est claire : privilégier la Suisse, accepter l'UE par défaut, éviter l'hébergement strictement américain pour les données cliniques.

nLPD ou RGPD : la version courte

Si vous êtes déjà conforme au RGPD, vous êtes à environ 90 % de la conformité nLPD. Les différences à connaître :

  • La nLPD ne s'applique qu'aux données des personnes physiques ; le RGPD couvre aussi les personnes morales selon certaines lectures.
  • Les sanctions nLPD sont personnelles et pénales ; les sanctions RGPD sont organisationnelles et administratives.
  • La nLPD ne prévoit pas de délai formel de 72 heures pour les violations, mais « dans les meilleurs délais » reste la norme.
  • La nLPD impose un représentant en Suisse pour certains responsables étrangers (art. 14).

Liste de contrôle pour le propriétaire de cabinet médical

À utiliser comme une vraie liste de tâches du lundi matin. Chaque point correspond à une obligation légale ou à une bonne pratique forte.

  • Cartographiez vos données. Listez tous les systèmes contenant des données patient — logiciel de cabinet, fiduciaire, messagerie, classeurs papier.
  • Rédigez votre registre des traitements (art. 12). Une page par système suffit.
  • Publiez une note de confidentialité dans les langues de vos patients, sur le site internet et visiblement à l'accueil.
  • Signez un contrat de sous-traitance avec chaque prestataire qui touche aux données patient — éditeur logiciel, hébergeur, fiduciaire, service de transcription externe.
  • Vérifiez le lieu d'hébergement. Demandez par écrit à votre éditeur où sont stockées les données. Faites-le inscrire au contrat.
  • Configurez les rôles et accès dans votre logiciel pour que les secrétaires ne voient pas les notes cliniques et inversement.
  • Activez le chiffrement au repos et en transit (AES-256 ou équivalent). La plupart des logiciels modernes le font — confirmez-le.
  • Définissez les durées de conservation par écrit (en règle générale 10 ans après traitement pour les adultes, 20 ans pour les mineurs — voir l'article suivant).
  • Formez votre équipe au moins une fois par an sur la manipulation des données, le phishing et la déclaration des violations.
  • Préparez un plan de réponse aux violations avec une personne désignée, une échéance mentale de 72 heures et le formulaire en ligne du PFPDT en favori.

Ce que cela implique pour le choix de votre logiciel

Votre logiciel de gestion de cabinet médical n'est pas un outil neutre : c'est un sous-traitant au sens de la nLPD, et les obligations qu'il remplit (ou pas) deviennent les vôtres. Avant de signer, vérifiez que la plateforme propose un hébergement en Suisse, le chiffrement AES-256, un contrôle d'accès basé sur les rôles, des journaux d'audit, l'export des données pour les demandes d'accès patient, et un contrat de sous-traitance écrit.

La conformité n'est plus facultative. Mais avec le bon logiciel et un registre d'une page, elle n'est pas non plus aussi lourde qu'on le craint.

nLPD et logiciels de cabinet médical : ce que tout propriétaire doit savoir | Clinika OS