Pourquoi le RGPD concerne chaque neuropsychologue
Un compte-rendu WISC-V contient le nom de l’enfant, sa date de naissance, ses scores cognitifs, vos observations cliniques et vos recommandations. Ce sont des données de santé au sens du RGPD (article 9) — la catégorie la plus protégée. La CNIL peut sanctionner les manquements ; les plafonds théoriques (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires) visent les grands groupes — pour un·e praticien·ne libéral·e, le risque concret est surtout la mise en demeure et l’atteinte à la confiance des patients.
Que vous exerciez en libéral ou en structure, vous êtes responsable de traitement. Cela signifie que c’est vous — pas l’éditeur du logiciel — qui êtes juridiquement responsable de la protection des données de vos patients.
Les données concernées dans un bilan
Chaque bilan neuropsychologique génère plusieurs catégories de données sensibles :
| Catégorie | Exemples | Qualification RGPD |
|---|---|---|
| Identité | Nom, prénom, date de naissance | Données personnelles (art. 4) |
| Scores cognitifs | QIT, indices, notes standard | Données de santé (art. 9) |
| Observations cliniques | Comportement, attention, fatigue | Données de santé (art. 9) |
| Recommandations | Aménagements, orientation, prise en charge | Données de santé (art. 9) |
| Antécédents | Médicaux, scolaires, familiaux | Données de santé (art. 9) |
| Coordonnées parents | Téléphone, email, adresse | Données personnelles (art. 4) |
Hébergement HDS : ce que dit la loi
En France, l’article L.1111-8 du Code de la santé publique impose que les données de santé à caractère personnel soient hébergées par un prestataire certifié HDS (Hébergeur de Données de Santé).
Ce que la certification HDS implique
- Localisation — Le serveur doit être situé en France ou dans l’UE. Les hébergeurs américains ne suffisent pas, même avec le Data Privacy Framework (DPF), car les lois FISA/CLOUD Act permettent l’accès aux données par les autorités US.
- Certification valide — La certification HDS est délivrée par un organisme accrédité (AFNOR, Bureau Veritas, BSI). Elle est valide 3 ans, avec un audit de surveillance annuel. Demandez le certificat et vérifiez la date.
- Chiffrement — AES-256 au repos + TLS 1.3 en transit. Le chiffrement doit couvrir les bases de données, les sauvegardes et les fichiers.
- Isolation — Row Level Security (RLS) : aucun·e praticien·ne ne doit pouvoir accéder aux données d’un autre, même par erreur technique.
- Sauvegardes — Sauvegardes automatiques, chiffrées, avec un plan de reprise d’activité (PRA) documenté.
Les droits des patients
Le RGPD accorde aux patients (ou à leurs représentants légaux pour les mineurs) 6 droits que votre logiciel doit permettre d’exercer :
| Droit | Article RGPD | Ce que votre logiciel doit permettre |
|---|---|---|
| Accès | Art. 15 | Exporter une copie complète des données du patient |
| Rectification | Art. 16 | Modifier les informations inexactes |
| Effacement | Art. 17 | Supprimer un patient (sous réserve des délais de conservation) |
| Portabilité | Art. 20 | Fournir les données dans un format structuré, lisible par machine |
| Opposition | Art. 21 | Cesser le traitement sur demande motivée |
| Limitation | Art. 18 | Geler les données sans les supprimer (en cas de litige) |
Durée de conservation
Les comptes-rendus neuropsychologiques doivent être conservés pendant une durée qui dépend du contexte :
- Mineurs — Jusqu’à la majorité de l’enfant + 10 ans (Code de la santé publique, R.1112-7)
- Adultes — 20 ans à compter du dernier passage (même référence)
- En pratique — Le droit à l’effacement ne s’applique pas pendant cette période de conservation obligatoire
Votre logiciel doit gérer cette distinction : un patient ne peut pas demander la suppression de son dossier si la durée de conservation n’est pas écoulée.
Le registre de traitement
Tout responsable de traitement doit tenir un registre des activités de traitement (article 30 RGPD). Pour un neuropsychologue libéral, ce registre doit documenter :
- La finalité du traitement (réalisation de bilans neuropsychologiques)
- Les catégories de données traitées (identité, scores, observations)
- Les destinataires (parents, école, médecin prescripteur)
- La durée de conservation (voir ci-dessus)
- Les mesures de sécurité (chiffrement, hébergeur HDS, accès)
- Les sous-traitants (l’éditeur du logiciel, l’hébergeur)
La CNIL met à disposition un modèle de registre simplifié pour les TPE/PME, applicable aux libéraux.
IA et données de santé : les 3 risques
Si votre logiciel utilise l’IA générative pour rédiger les comptes-rendus, trois risques juridiques se posent :
- Transfert hors UE — Si les scores et observations sont envoyés à un LLM hébergé aux États-Unis (OpenAI, Anthropic), c’est un transfert de données de santé hors UE. Même avec des clauses contractuelles types, les autorités européennes considèrent ce transfert problématique depuis Schrems II (2020).
- Entraînement du modèle — Si les données servent à entraîner le modèle, c’est un détournement de finalité (article 5-1-b RGPD) et une violation du consentement.
- Absence de traçabilité — Un LLM ne peut pas expliquer pourquoi il a formulé une interprétation clinique. En cas de contestation, vous ne pourrez pas justifier la source de l’analyse.
Pour approfondir la distinction déterministe vs IA, consultez Algorithme vs IA en neuropsychologie.
Checklist conformité pour votre logiciel
| Vérification | Référence légale | À demander à l’éditeur |
|---|---|---|
| Hébergement HDS certifié France/UE | L.1111-8 CSP | Certificat HDS avec date |
| Chiffrement AES-256 + TLS 1.3 | Art. 32 RGPD | Documentation technique |
| Isolation par praticien·ne (RLS) | Art. 32 RGPD | Architecture de sécurité |
| Pas d’entraînement IA sur les données | Art. 5-1-b RGPD | Clause contractuelle |
| Export données patient | Art. 20 RGPD | Format de l’export |
| Suppression compte + données | Art. 17 RGPD | Délai et procédure |
| Contrat de sous-traitance | Art. 28 RGPD | DPA (Data Processing Agreement) |
| Sauvegardes chiffrées | Art. 32 RGPD | Fréquence et rétention |
| Registre de traitement fourni | Art. 30 RGPD | Modèle ou template |
Ce que Prisme met en place
Prisme est hébergé en France sur OVHcloud, à Gravelines (certifié HDS). L’architecture de sécurité comprend :
- Chiffrement — AES-256 au repos, TLS 1.3 en transit, clés gérées par l’hébergeur
- Isolation — Row Level Security (RLS) sur PostgreSQL : chaque praticien·ne ne voit que ses données
- Sauvegardes — Automatiques, chiffrées, avec rétention configurable
- IA optionnelle — La reformulation par modèle de langage est désactivable section par section. Les données sont anonymisées côté client avant envoi. Un compte-rendu complet peut être produit sans jamais l’activer.
- Conformité contractuelle — DPA inclus dans les CGU, engagement de non-entraînement IA, sous-traitants listés
Pour connaître les critères complets d’évaluation d’un logiciel de bilan, consultez Logiciel pour neuropsychologue : ce qu’il faut vraiment regarder. Pour découvrir les formules, rendez-vous sur la page tarifs.