nLPD et données de santé : ce que votre cabinet doit respecter

Vos dossiers patients contiennent des données de santé, c'est-à-dire ce que la loi suisse protège le plus. Depuis le 1er septembre 2023, la nouvelle loi sur la protection des données (nLPD) est en vigueur, sans période transitoire. Voici ce qu'elle attend concrètement d'un cabinet de thérapie.

Par l'équipe Lymon · 2 juillet 2026 · 7 min de lecture

Pourquoi vous êtes concerné, même en cabinet individuel

La nLPD s'applique à toute personne qui traite des données personnelles en Suisse, sans seuil de taille. Un cabinet individuel avec trente dossiers papier est aussi concerné qu'un centre de dix thérapeutes. Et vos données ne sont pas des données ordinaires : les informations sur la santé font partie des « données sensibles », qui bénéficient d'une protection renforcée. En tant que thérapeute, vous êtes le « responsable du traitement » : c'est vous qui répondez de la conformité.

Les principes à respecter au quotidien

  • Proportionnalité : ne collectez que ce qui est nécessaire au suivi et à la gestion administrative. Une anamnèse fouillée est légitime ; un champ « sans lien avec le soin » ne l'est pas.
  • Transparence : le patient doit savoir quelles données vous collectez et pourquoi. Une information claire à la première séance suffit dans la plupart des cas.
  • Consentement explicite pour la transmission : communiquer des données sensibles à un tiers (médecin, autre thérapeute, assurance au-delà de la facture) requiert un consentement libre, éclairé et explicite, que le patient peut retirer.
  • Exactitude et durée : les données doivent être exactes et ne pas être conservées au-delà du nécessaire. Pour les dossiers de santé, les législations sanitaires cantonales imposent souvent une conservation de 10 ans, parfois plus : vérifiez la règle de votre canton.
  • Sécurité : accès protégés, sauvegardes, chiffrement pour les outils numériques ; armoire fermant à clé pour le papier.

Les nouvelles obligations formelles

  • Registre des activités de traitement : il recense vos traitements de données (dossiers patients, facturation, agenda...). Les entreprises de moins de 250 employés en sont exemptées si leurs traitements présentent un risque limité, mais avec des données de santé, tenir ce registre reste vivement recommandé, et il est vite rédigé pour un cabinet.
  • Annonce des violations : en cas de fuite ou de perte de données présentant un risque élevé pour les personnes, le Préposé fédéral à la protection des données (PFPDT) doit être informé rapidement.
  • Protection dès la conception : les outils que vous choisissez doivent intégrer la protection des données par défaut. C'est un critère de choix de logiciel, pas une option.

En pratique : la checklist du cabinet

  • Un mot de passe robuste et une session par personne sur chaque outil.
  • Des dossiers patients hébergés en Suisse ou dans un cadre offrant un niveau de protection adéquat.
  • Une information patients rédigée une fois (affiche ou document remis à la première séance).
  • Un réflexe : ne jamais envoyer de données de santé par un canal non sécurisé sans consentement.
  • La corbeille et les sauvegardes de vos outils vérifiées : la perte de données est aussi une violation.

Sources

À lire ensuite