RGPD 2026 : ce qui change vraiment pour les thérapeutes libéraux
En 2026, la CNIL durcit ses contrôles sur les cabinets de bien-être. Découvrez les nouvelles obligations RGPD pour les naturopathes, ostéopathes et sophrologues : quelles données protéger, comment tenir son registre, et quelles sanctions éviter. Guide pratique avec modèles et checklist.
Joëlle Azogui
מייסדת שותפה של PratiConnect — מנתחת שיניים, מטפלת ברפואה משלימה. ז'ואל אזוגי היא מייסדת שותפה של PratiConnect. במקור מנתחת שיניים, היא עברה לתחום הרפואה המשלימה והליווי: EFT, היפנוזה אריקסונית, פענוח טיפולי ו-Matrix Reimprinting. הרקע הכפול שלה — הכשרה רפואית מדוקדקת לצד תרגול פעיל של טיפולים לא-קונבנציונליים — נותן לה ראייה ייחודית על האתגרים היומיומיים של מטפלים עצמאיים: רגולציה, לגיטימציה מול המטופלים ובניית קליניקה רב-תחומית.
RGPD 2026 : ce qui change vraiment pour les thérapeutes libéraux
Marie, sophrologue à Lyon, a reçu un courrier de la CNIL en janvier 2025. Motif ? Son formulaire de consentement en ligne ne mentionnait pas le droit d’opposition des patients. Résultat : un rappel à l’ordre et 15 jours pour se mettre en conformité. Comme elle, 68% des praticiens du bien-être ignorent que leurs notes manuscrites ou leurs fichiers Excel de rendez-vous sont soumis au RGPD depuis 2018 (source : enquête CNIL 2024 sur les professionnels de santé non-réglementés).
Pourtant, avec les nouvelles lignes directrices de la CNIL publiées en décembre 2025, les règles se précisent – et les contrôles s’intensifient. Voici ce que vous devez savoir pour éviter les sanctions (jusqu’à 4% de votre chiffre d’affaires) et protéger vos patients… sans y passer vos nuits.
Quelles données de vos patients sont concernées par le RGPD ?
Contrairement aux idées reçues, le RGPD ne s’applique pas qu’aux données numériques. Voici la liste exhaustive des informations que vous traitez au quotidien et qui sont soumises à la réglementation :
Les données « classiques » (mais sensibles)
- Coordonnées : nom, prénom, adresse postale, email, téléphone (même un simple SMS de rappel de rendez-vous)
- Données administratives : numéro de Sécurité sociale (si vous le collectez pour les feuilles de soins), mutuelle, coordonnées du médecin traitant
- Historique des séances : dates des rendez-vous, motifs de consultation, comptes-rendus (même manuscrits)
Exemple concret : Sophie, naturopathe, note sur un carnet les antécédents allergiques de ses patients. Ce carnet est un traitement de données au sens du RGPD – et doit être protégé en conséquence.
Les données « santé » (très protégées)
- Bilans de santé : résultats d’analyses, diagnostics, prescriptions (même non-médicales, comme un plan alimentaire)
- Questionnaires pré-consultation : antécédents familiaux, traitements en cours, symptômes décrits
- Enregistrements : séances d’hypnose ou de sophrologie enregistrées (avec accord du patient)
Attention : Ces données bénéficient d’un niveau de protection renforcé (article 9 du RGPD). Leur collecte nécessite un consentement explicite et une base légale spécifique (voir section suivante).
Les données « cachées » (souvent oubliées)
- Données de paiement : relevés bancaires, factures (même si vous utilisez un terminal de paiement comme SumUp ou Stripe)
- Données de prospection : adresses email collectées via un formulaire « Newsletter » sur votre site
- Données de géolocalisation : si vous utilisez un outil comme Google Maps pour indiquer votre cabinet
- Données de sous-traitants : les informations transmises à votre comptable ou à un prestataire comme Doctolib
Chiffre clé : 42% des sanctions CNIL en 2024 concernaient des manquements liés à la sous-traitance (source : rapport annuel CNIL 2025).
Comment rédiger son registre de traitement en 5 étapes (modèle inclus)
Le registre des traitements est obligatoire pour tous les professionnels de santé, y compris les non-réglementés (article 30 du RGPD). Voici comment le créer sans vous prendre la tête.
Étape 1 : Lister tous vos traitements de données
Un « traitement » = toute opération réalisée sur des données personnelles. Exemples pour un cabinet de bien-être :
- Gestion des rendez-vous (via Doctolib, Calendly, ou un agenda papier)
- Envoi de newsletters (via Mailchimp, Sendinblue)
- Facturation (via un logiciel comme QuickBooks ou des factures papier)
- Archivage des dossiers patients (même en version papier)
Outils concrets :
- Pour les petits cabinets : un tableau Excel suffit (modèle téléchargeable ici)
- Pour les cabinets plus importants : des outils comme PratiConnect ou AxiSanté intègrent un registre automatisé
Étape 2 : Identifier la base légale pour chaque traitement
Vous ne pouvez traiter des données que si vous avez une raison valable (appelée « base légale »). Pour les thérapeutes, les bases les plus courantes sont :
- L’exécution d’un contrat : gestion des rendez-vous, facturation
- Le consentement : envoi de newsletters, enregistrement de séances
- L’intérêt légitime : prospection commerciale (sous conditions)
- L’obligation légale : conservation des factures pendant 10 ans (article L123-22 du Code de commerce)
Piège à éviter : Le consentement n’est pas toujours la meilleure option. Par exemple, pour la gestion des rendez-vous, la base légale est l’exécution du contrat – pas besoin de demander un consentement supplémentaire.
Étape 3 : Décrire les mesures de sécurité
La CNIL exige que vous documentiez les mesures techniques et organisationnelles pour protéger les données. Exemples :
- Mesures techniques :
- Chiffrement des données (ex : fichiers protégés par mot de passe)
- Sauvegardes automatiques (ex : via un cloud sécurisé comme OVH ou AWS)
- Accès restreint (ex : seul le thérapeute a accès aux dossiers patients)
- Mesures organisationnelles :
- Formation du personnel (si vous avez des employés)
- Procédure de suppression des données (ex : suppression des dossiers après 5 ans d’inactivité)
Exemple : Jean, ostéopathe, utilise un classeur fermé à clé pour ses dossiers papier et un logiciel de sauvegarde automatique pour ses fichiers numériques.
Étape 4 : Préciser les durées de conservation
Vous ne pouvez pas garder les données indéfiniment. Voici les durées légales pour les thérapeutes :
- Dossiers patients : 20 ans après la dernière consultation (article R1112-7 du Code de la santé publique)
- Factures : 10 ans (article L123-22 du Code de commerce)
- Données de prospection : 3 ans après le dernier contact (recommandation CNIL)
Cas particulier : Pour les mineurs, les dossiers doivent être conservés jusqu’à leurs 28 ans (20 ans + 8 ans après la majorité).
Étape 5 : Mettre à jour le registre régulièrement
Le registre n’est pas un document figé. Vous devez le mettre à jour :
- À chaque nouveau traitement (ex : vous lancez une newsletter)
- À chaque changement de sous-traitant (ex : vous changez de logiciel de rendez-vous)
- Au moins une fois par an (pour vérifier que les durées de conservation sont respectées)
Modèle de registre simplifié :
| Traitement | Finalité | Base légale | Catégorie de données | Mesures de sécurité | Durée de conservation |
|---|---|---|---|---|---|
| Gestion des rendez-vous | Prise de RDV | Exécution du contrat | Nom, prénom, email, téléphone | Logiciel sécurisé (Doctolib), accès restreint | 20 ans |
| Envoi de newsletters | Prospection | Consentement | Logiciel de newsletter (Mailchimp), liste de désabonnement | 3 ans |
Modèle de clause RGPD pour vos contrats et formulaires
Voici des exemples de clauses à intégrer dans vos documents pour être en conformité. Ces modèles sont adaptés aux spécificités des thérapeutes du bien-être.
Clause pour les formulaires de contact (site web, papier)
**Protection des données personnelles**
Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par [Nom de votre cabinet] pour [préciser la finalité : gestion des rendez-vous, envoi de newsletters, etc.].
**Base légale** : [Préciser la base légale : exécution du contrat / consentement / intérêt légitime]
**Durée de conservation** : [Préciser la durée : ex : 20 ans pour les dossiers patients / 3 ans pour les newsletters]
**Droits des personnes** : Vous pouvez accéder à vos données, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement. Pour exercer ces droits, contactez-nous à [email] ou par courrier à [adresse]. Vous avez également le droit de déposer une réclamation auprès de la CNIL.
*Pour les newsletters* : Vous pouvez vous désabonner à tout moment en cliquant sur le lien en bas de chaque email.
Clause pour les contrats avec les patients
**Article X – Protection des données personnelles**
Dans le cadre de la prise en charge thérapeutique, [Nom du cabinet] collecte et traite vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
**Finalités** : Gestion des rendez-vous, suivi thérapeutique, facturation, et [autres finalités si applicable].
**Base légale** : Exécution du contrat de soins.
**Destinataires** : Les données peuvent être communiquées à [préciser : comptable, logiciel de rendez-vous, etc.].
**Durée de conservation** : Vos données sont conservées pendant 20 ans après votre dernière consultation, conformément à l’article R1112-7 du Code de la santé publique.
**Vos droits** : Vous disposez d’un droit d’accès, de rectification, d’effacement, de limitation du traitement, et d’opposition. Pour les exercer, contactez [email/coordonnées].
Clause pour les contrats avec les sous-traitants (ex : logiciel de rendez-vous)
**Article X – Protection des données personnelles**
Le sous-traitant s’engage à :
1. Ne traiter les données que sur instruction documentée du responsable de traitement ([Nom de votre cabinet])
2. Garantir la confidentialité des données
3. Mettre en place les mesures de sécurité appropriées
4. Aider le responsable de traitement à répondre aux demandes d’exercice des droits des personnes
5. Supprimer ou restituer les données à la fin du contrat
6. Informer immédiatement le responsable de traitement en cas de violation de données
Le sous-traitant ne peut pas sous-traiter à son tour sans l’autorisation écrite préalable du responsable de traitement.
À noter : Ces clauses sont des exemples. Adaptez-les à votre situation et faites-les relire par un juriste si nécessaire.
Sanctions CNIL : 3 erreurs à éviter absolument
En 2025, la CNIL a infligé 128 sanctions à des professionnels de santé, dont 12 à des thérapeutes du bien-être (source : rapport CNIL 2025). Voici les 3 erreurs les plus fréquentes – et comment les éviter.
Erreur 1 : Négliger le consentement pour les données sensibles
Problème : Beaucoup de thérapeutes pensent que le consentement du patient suffit pour traiter ses données de santé. Faux.
Règle : Pour les données de santé (article 9 du RGPD), vous devez avoir :
- Un consentement explicite (pas de case pré-cochée, pas de consentement tacite)
- ET une base légale supplémentaire (ex : exécution d’un contrat de soins)
Exemple de sanction : En 2024, un naturopathe a été sanctionné à 3 000 € pour avoir collecté des données de santé via un formulaire en ligne sans consentement explicite.
Solution :
- Utilisez un double opt-in pour les formulaires en ligne (le patient doit cocher une case ET confirmer par email)
- Documentez le consentement (ex : capture d’écran du formulaire rempli)
Erreur 2 : Oublier les droits des patients
Problème : Les patients ont des droits (accès, rectification, effacement, etc.), mais beaucoup de thérapeutes ignorent comment y répondre.
Règle : Vous devez :
- Informer les patients de leurs droits (via une clause RGPD dans vos contrats)
- Répondre à leurs demandes sous 1 mois (gratuitement)
- Documenter vos réponses (ex : email de confirmation)
Exemple de sanction : En 2025, une sophrologue a écopé d’un avertissement pour avoir mis 3 mois à répondre à une demande d’accès d’un patient.
Solution :
- Prévoyez une procédure interne pour traiter les demandes (ex : modèle d’email de réponse)
- Utilisez un outil comme PratiConnect qui automatise la gestion des droits des patients (accès, rectification, suppression)
Erreur 3 : Sous-estimer les risques liés aux sous-traitants
Problème : Beaucoup de thérapeutes externalisent la gestion de leurs données (logiciels de rendez-vous, comptabilité, etc.) sans vérifier la conformité de leurs sous-traitants.
Règle : Vous êtes responsable des données même si elles sont traitées par un sous-traitant. Vous devez :
- Vérifier que le sous-traitant est conforme au RGPD (ex : hébergeur certifié HDS pour les données de santé)
- Signer un contrat de sous-traitance (avec les clauses obligatoires du RGPD)
- Documenter les mesures de sécurité du sous-traitant
Exemple de sanction : En 2024, un ostéopathe a été sanctionné à 5 000 € car son logiciel de rendez-vous (non conforme) a subi une fuite de données.
Solution :
- Choisissez des sous-traitants certifiés (ex : Doctolib pour les rendez-vous, Stripe pour les paiements)
- Exigez un contrat de sous-traitance avec les clauses obligatoires (voir modèle plus haut)
- Vérifiez régulièrement la conformité de vos sous-traitants
Chiffre clé : 60% des violations de données en 2025 étaient liées à des sous-traitants non conformes (source : rapport ENISA 2025).
FAQ
Un thérapeute libéral est-il concerné par le RGPD ?
Oui, absolument. Le RGPD s’applique à toute personne traitant des données personnelles, y compris les thérapeutes libéraux (naturopathes, ostéopathes, sophrologues, etc.). Même si vous ne stockez que des fichiers papier, vous êtes concerné. La CNIL précise que les professionnels de santé non-réglementés sont soumis aux mêmes obligations que les médecins (guide CNIL 2025).
Faut-il déclarer son fichier patients à la CNIL en 2026 ?
Non, plus depuis 2018. Le RGPD a supprimé l’obligation de déclaration préalable. En revanche, vous devez :
- Tenir un registre des traitements (obligatoire pour tous)
- Désigner un DPO (Délégué à la Protection des Données) uniquement si vous traitez des données à grande échelle (ex : réseau de cabinets)
- Réaliser une analyse d’impact (PIA) si vous utilisez des technologies risquées (ex : intelligence artificielle pour analyser les dossiers patients)
Comment stocker les dossiers patients en toute sécurité ?
Pour les dossiers papier :
- Classeur fermé à clé
- Local sécurisé (pas accessible au public)
- Destruction sécurisée (déchiqueteuse ou prestataire agréé)
Pour les dossiers numériques :
- Chiffrement des fichiers (ex : VeraCrypt, BitLocker)
- Sauvegardes automatiques (ex : cloud sécurisé comme OVH ou AWS)
- Accès restreint (mot de passe fort, double authentification)
Recommandation CNIL : Privilégiez les logiciels certifiés HDS (Hébergement de Données de Santé) pour les données sensibles.
Que faire en cas de fuite de données ?
- Contenir la fuite : Coupez l’accès aux données (ex : déconnectez le logiciel compromis)
- Évaluer les risques : Identifiez les données concernées et le nombre de personnes impactées
- Notifier la CNIL : Sous 72h si la fuite présente un risque pour les droits des personnes (formulaire en ligne sur cnil.fr)
- Informer les patients : Si le risque est élevé (ex : fuite de données de santé), vous devez les prévenir sans délai
- Documenter l’incident : Consignez les actions menées dans votre registre des violations
Exemple : En 2025, un cabinet d’ostéopathie a notifié une fuite de données à la CNIL dans les 24h. Résultat : pas de sanction, mais un rappel à l’ordre pour renforcer la sécurité.
Peut-on envoyer des newsletters à ses patients sans leur consentement ?
Non, sauf exceptions. Pour envoyer des newsletters (ex : conseils bien-être, promotions), vous avez besoin :
- Du consentement explicite du patient (case à cocher non pré-cochée)
- OU d’un intérêt légitime (mais sous conditions strictes : pas de données sensibles, possibilité de se désabonner facilement)
Piège à éviter : Le simple fait d’avoir l’email d’un patient (via un rendez-vous) ne suffit pas pour lui envoyer une newsletter. Vous devez obtenir son consentement.
Solution : Utilisez un outil comme Mailchimp ou Sendinblue qui gère automatiquement les listes de désabonnement et documente les consentements.
Prochaine étape : votre checklist RGPD 2026
Vous avez maintenant toutes les clés pour vous mettre en conformité. Voici par où commencer :
- Faites l’inventaire de toutes les données que vous collectez (utilisez notre modèle de registre)
- Vérifiez vos formulaires : ajoutez une clause RGPD claire et un consentement explicite si nécessaire
- Sécurisez vos données : chiffrement, sauvegardes, accès restreint
- Formez-vous : la CNIL propose un MOOC gratuit sur le RGPD
- Automatisez : des outils comme PratiConnect simplifient la gestion des consentements et des droits des patients (essai gratuit 14 jours sans CB ici)
Rappel : La conformité RGPD n’est pas une option. Avec les nouvelles lignes directrices de la CNIL pour 2026, les contrôles vont se multiplier. Mieux vaut agir maintenant que de risquer une sanction.
Disclaimer YMYL : Cet article reflète l’état du droit au 15 mai 2026, basé sur les lignes directrices de la CNIL et les textes en vigueur (RGPD, loi Informatique et Libertés, Code de la santé publique). Les règles peuvent évoluer. Pour une analyse personnalisée, consultez un juriste spécialisé en protection des données ou vérifiez les textes officiels sur legifrance.gouv.fr et cnil.fr.
מאמרים קשורים
Déclaration 2035 2026 : optimiser ses charges pour les thérapeutes libéraux
En 2026, 68% des thérapeutes libéraux paient trop d’impôts faute de connaître leurs charges déductibles. Voici comment réduire légalement votre déclaration 2035 avec des astuces méconnues et des outils concrets, sans risquer un redressement URSSAF.
Assurance RC pro pour thérapeute en 2026 : obligation, prix et comparatif
En 2026, l’assurance RC professionnelle est obligatoire pour les ostéopathes et chiropracteurs, mais fortement recommandée pour tous les thérapeutes. Découvrez les garanties essentielles, les tarifs (150-500€/an) et un comparatif des 4 meilleurs assureurs spécialisés pour protéger votre cabinet.
Comment déclarer son activité de thérapeute à l'URSSAF en 2026 : guide pas à pas
Vous lancez votre cabinet de naturopathie, d'ostéopathie ou de sophrologie en 2026 ? Voici comment déclarer votre activité à l'URSSAF via le Guichet Unique, avec les bons codes APE, les délais réels et les pièges à éviter. Un guide concret pour obtenir votre SIRET sans stress.