lémansoin
Le journal
Allée d'un centre de données avec des baies de serveurs
Protection des données

Données patients et nLPD : ce que tout cabinet doit savoir en 2026

lémansoin
Par Maxime Maadoune-Meloni20 mai 202615 min de lecture

Depuis septembre 2023, la nLPD (nouvelle loi fédérale sur la protection des données) encadre plus strictement le traitement des données personnelles en Suisse. Pour un cabinet, les données de santé figurent parmi les plus sensibles qui soient, et la responsabilité qui pèse sur le praticien est réelle. Ce guide fait le tour, sans jargon, de ce que la nLPD attend concrètement de votre cabinet, de ce que vous risquez en cas de fuite, et des bonnes questions à poser à vos prestataires.

L'essentiel en bref

  • Le cabinet est le responsable du traitement : c'est lui qui répond, même quand la cause technique vient d'un prestataire (le « sous-traitant »).
  • Pour des données de santé, l'hébergement en Suisse (ou à défaut dans l'UE avec garanties) est le choix le plus sûr et le plus simple à défendre.
  • Le secret médical (art. 321 du Code pénal) s'ajoute à la nLPD et s'étend à vos prestataires : il doit figurer au contrat.
  • La nLPD ne demande pas la perfection technique, mais des mesures proportionnées, de la traçabilité et de la transparence.
  • Retenez une chose : vous restez responsable des données de vos patients, même quand vous déléguez la technique.

1. Responsable du traitement ou sous-traitant : la distinction clé

C'est le point le plus important, et le plus souvent mal compris.

  • Le cabinet est le responsable du traitement. C'est lui qui décide pourquoi et comment les données de ses patients sont traitées. La responsabilité juridique lui revient.
  • Le prestataire technique est un sous-traitant. L'hébergeur, l'éditeur du logiciel ou le créateur du site agissent pour le compte du cabinet, selon ses instructions.

La conséquence est nette : en cas de problème, c'est le cabinet qui répond vis-à-vis du patient et de l'autorité, même quand la cause technique vient d'un prestataire. D'où l'importance d'encadrer ce prestataire par un contrat clair (souvent appelé contrat de sous-traitance) qui précise où sont les données, comment elles sont sécurisées, et ce qu'il advient d'elles à la fin du contrat.

2. Quelles données êtes-vous en train de traiter ?

On pense « dossier médical », mais le périmètre est plus large. Voici les principales catégories qu'un cabinet manipule.

Type de donnéeExemplesSensibilité
Données d'identitéNom, adresse, date de naissance, téléphonePersonnelle
Contact et rendez-vousEmail, créneaux, historique de visitesPersonnelle
Données de santéDiagnostics, traitements, notes, documentsSensible (protection renforcée)
Données administrativesAssurance, facturationPersonnelle à sensible

Les données de santé bénéficient d'une protection renforcée par la nLPD. Mais même un simple agenda de rendez-vous, qui révèle que telle personne consulte tel spécialiste, est déjà une donnée à protéger sérieusement.

3. Où doivent être hébergées les données ?

La nLPD n'interdit pas en soi l'hébergement à l'étranger, mais elle impose un niveau de protection adéquat et de la transparence. En pratique, pour des données de santé, héberger en Suisse (ou à défaut dans l'Union européenne avec de vraies garanties) est le choix le plus sûr et le plus simple à défendre.

La vraie prudence consiste à éviter les solutions où la donnée part chez un acteur soumis à des lois extra-européennes d'accès aux données. Pour un cabinet, pouvoir dire « les données de mes patients ne quittent pas la Suisse » n'est pas un argument marketing : c'est une position solide en cas de question.

4. Le secret médical s'ajoute à la nLPD

La protection des données n'est pas le seul cadre. Le secret médical (art. 321 du Code pénal) s'applique aussi. Toute personne qui traite ces données pour le compte du cabinet, y compris un prestataire technique, en devient un auxiliaire tenu au secret. Cela doit figurer noir sur blanc dans le contrat avec le prestataire. Un sous-traitant sérieux l'accepte sans difficulté.

À retenir : la nLPD ne demande pas la perfection technique. Elle demande des mesures proportionnées, de la traçabilité et de la transparence. Un cabinet qui sait OÙ sont ses données, QUI y accède et qui dispose de sauvegardes est déjà très au-dessus de la moyenne.

5. Ce que risque concrètement un cabinet

En cas de fuite (vol d'un ordinateur, rançongiciel, mauvaise configuration, email envoyé au mauvais destinataire), le cabinet a des obligations. Au-delà de la sanction possible, le vrai risque est ailleurs : la confiance des patients et l'atteinte au secret médical. Une fuite de données de santé ne se « répare » pas comme une carte bancaire bloquée. Ce qui est exposé l'est durablement.

Que faire si une fuite survient ? Les bons réflexes, dans l'ordre :

  • Contenir : couper l'accès, changer les mots de passe, isoler ce qui peut l'être.
  • Évaluer : quelles données, combien de personnes, quel risque pour elles.
  • Notifier si nécessaire : selon la gravité, informer le Préposé fédéral à la protection des données et à la transparence (PFPDT) ainsi que les personnes concernées.
  • Documenter : garder une trace de ce qui s'est passé et des mesures prises.

Anticiper ces étapes à froid, avant tout incident, fait toute la différence le jour où cela arrive.

6. Les bonnes questions à poser à votre prestataire

Vous n'avez pas besoin d'être juriste ni informaticien. Il suffit de poser les bonnes questions et d'écouter si les réponses sont claires :

  • Où sont hébergées les données de mes patients (pays et région) ?
  • Qui y a accès, et comment cet accès est-il tracé ?
  • Y a-t-il des sauvegardes automatiques, et sont-elles régulièrement testées ?
  • La connexion à mon espace de gestion est-elle protégée par une double sécurité ?
  • Que deviennent mes données si j'arrête le contrat (restitution, suppression) ?
  • Le secret médical (art. 321 CP) est-il prévu au contrat ?

Un prestataire qui répond clairement à ces six questions vous protège. Un prestataire qui élude ou qui noie la réponse dans le jargon doit vous alerter.

Questions fréquentes

La nLPD s'applique-t-elle aussi à un petit cabinet ?

Oui. La taille du cabinet ne change rien au principe : dès que vous traitez des données de patients, vous êtes responsable de leur protection. Les mesures attendues sont proportionnées, mais l'obligation existe.

Suis-je responsable même si c'est mon prestataire qui a fait l'erreur ?

Vis-à-vis du patient et de l'autorité, c'est le cabinet qui répond en tant que responsable du traitement. D'où l'importance de choisir des prestataires sérieux et de les encadrer par contrat. Entre vous, le contrat peut prévoir les responsabilités de chacun.

Mes données peuvent-elles être hébergées à l'étranger ?

Ce n'est pas interdit, à condition d'un niveau de protection adéquat et de transparence. Mais pour des données de santé, l'hébergement en Suisse reste le choix le plus simple à défendre, et le plus rassurant pour vos patients.

Faut-il chiffrer les données ?

Le chiffrement (en transit et au repos) fait partie des mesures techniques attendues pour des données sensibles. Demandez à votre prestataire comment il protège les données, sans avoir besoin d'en maîtriser tous les détails techniques.

Que veut dire « tenir un registre des traitements » ?

C'est documenter quelles données vous traitez, pourquoi, où elles sont et qui y accède. Pour un cabinet, cela peut rester court et concret, et c'est un excellent moyen d'y voir clair sur sa propre organisation.

L'essentiel à retenir

La nLPD n'est pas un piège, c'est un cadre. Le cabinet qui le prend au sérieux protège ses patients et se protège lui-même. Si vous ne deviez retenir qu'une seule chose : vous restez responsable des données de vos patients, même quand vous déléguez la technique. Choisissez donc des prestataires capables de répondre, clairement et sans détour, aux questions ci-dessus.

Sources

Un projet de site pour votre cabinet ?

Échangeons 20 minutes. Analyse personnalisée et devis gratuit, sans engagement.

Discutons de votre projet