·
Documentation clinique
Santé mentale
Propriétaire de cabinet privé
RGPD (GDPR) et enregistrement de séances de thérapie : ce que les thérapeutes doivent savoir
Guide essentiel de conformité RGPD (GDPR) pour les thérapeutes utilisant des outils de documentation IA. Consentement, hébergement des données au sein de l'UE, accords de sous-traitance et droits des patients expliqués

Enregistrer ou transcrire une séance de thérapie à distance n'est pas simplement une décision technique. C'est une décision juridique. En vertu du Règlement général sur la protection des données (RGPD), les informations relatives à la santé mentale se situent au niveau le plus élevé de sensibilité des données. Les obligations qui découlent de cette classification concernent chaque praticien privé et chaque clinicien institutionnel qui utilise un outil de documentation numérique. Alors que les outils de documentation IA deviennent plus accessibles, les thérapeutes à travers l'Europe sont confrontés à des questions auxquelles leur formation les a rarement préparés : Quelle base juridique dois-je avoir ? Puis-je stocker une transcription ? Que dois-je dire à mon patient ? Les réponses sont précises, lourdes de conséquences et, dans certains cas, entraînent des sanctions financières importantes en cas de non-conformité.
Pourquoi le RGPD s'applique avec une rigueur accrue aux données de séances de thérapie
Les données de santé mentale sont classées comme une catégorie particulière de données à caractère personnel en vertu de l'article 9 du RGPD. Elles bénéficient du même niveau de protection que les données génétiques, les données biométriques et les données concernant l'origine raciale ou ethnique. La position par défaut en vertu de l'article 9(1) est que le traitement de cette catégorie de données est interdit à moins que l'une des dix exceptions énumérées à l'article 9(2) ne s'applique. Il s'agit d'un seuil matériellement plus élevé que la base juridique standard de l'article 6 requise pour les données à caractère personnel ordinaires.
Cette classification élevée s'applique quel que soit le cadre de pratique. Même un cabinet de psychothérapie unipersonnel doit se conformer pleinement aux exigences de l'article 9, car il traite par définition des données de santé de catégorie particulière. La sensibilité du contenu des séances de thérapie peut inclure des révélations de traumatismes, d'idées suicidaires, d'identité sexuelle ou de consommation de substances. Les autorités nationales de protection des données considèrent toute incapacité à établir une base valide au titre de l'article 9(2) comme une violation grave.
Le RGPD fonctionne comme un plancher, pas comme un plafond. Les États membres peuvent imposer des obligations supplémentaires au niveau national. L'article 203 du Code pénal allemand, par exemple, impose aux thérapeutes des obligations de secret professionnel qui interagissent directement avec la manière dont les données de séance peuvent être traitées ou partagées. Les thérapeutes doivent vérifier leurs exigences nationales spécifiques auprès de leur autorité de protection des données compétente avant de déployer tout outil de documentation.
Ce qui constitue un « traitement » lorsque vous enregistrez ou transcrivez une séance
En vertu du RGPD, le terme « traitement » couvre toute opération effectuée sur des données à caractère personnel, qu'elle soit automatisée ou manuelle. Dans le contexte d'une séance de thérapie à distance, les éléments suivants constituent tous un traitement :
Enregistrement audio ou vidéo de la séance
Génération d'une transcription en temps réel ou post-séance
Stockage d'un résumé ou d'une note clinique générée par IA
Transmission du contenu de la séance via un outil de documentation IA tiers
Téléversement d'un enregistrement vers un service de stockage cloud
Le traitement s'applique également aux outils entièrement automatisés et à la transcription manuelle assistée par la technologie. Il n'y a pas d'exemption pour les outils décrits comme « d'assistance » ou « de soutien » plutôt que totalement autonomes. Si le contenu de la séance est traité de quelque manière que ce soit par un système ou un service, les obligations du RGPD s'appliquent dès ce moment.
La base juridique que les thérapeutes doivent établir avant d'utiliser tout outil de documentation
Parce que les données de séance de thérapie sont des données de catégorie particulière, les thérapeutes doivent satisfaire simultanément deux exigences juridiques distinctes : une base juridique en vertu de l'article 6, et une condition distincte en vertu de l'article 9(2).
Les deux conditions de l'article 9(2) les plus pertinentes pour les thérapeutes sont :
Article 9(2)(a) : Consentement explicite de la personne concernée
Article 9(2)(h) : Traitement nécessaire à la fourniture de soins de santé ou de soins sociaux, sous réserve d'obligations de secret professionnel
L'article 9(2)(h) est la condition la plus largement applicable pour les organisations de soins fournissant des soins cliniques directs. Elle est soumise à la condition que le traitement soit effectué par un professionnel lié par une obligation légale de secret. Elle ne s'étend pas automatiquement à chaque utilisation en aval des données de séance, comme la transmission de contenu à un outil IA exploité par un tiers.
Pour les praticiens privés, se fier uniquement aux intérêts légitimes est rarement suffisant pour les données de catégorie particulière. Le consentement explicite en vertu de l'article 9(2)(a) est généralement la voie la plus défendable, car il documente directement l'accord du patient pour l'activité de traitement spécifique. Quelle que soit la base choisie, elle doit être documentée avant le début de tout traitement. Le thérapeute, en tant que responsable du traitement, porte la charge de démontrer qu'une base valide existe.
Ce que le consentement explicite exige réellement dans ce contexte
Un consentement explicite valide en vertu du RGPD a une signification juridique précise. Il doit être :
Donné librement : Le patient ne doit subir aucun préjudice en cas de refus
Spécifique : Le consentement à l'enregistrement n'implique pas le consentement à la transcription, au traitement par IA ou au partage avec un superviseur. Chaque finalité nécessite un consentement distinct
Éclairé : Le patient doit comprendre à quoi il consent, y compris qui traitera ses données et comment
Sans ambiguïté : Une case pré-cochée ou une acceptation passive ne répond pas à la norme
Explicite : Pour les données de catégorie particulière, le consentement doit être exprimé clairement et activement. Le consentement implicite est insuffisant
Le consentement enfoui dans un document général de conditions générales ne répond pas à cette norme. Les orientations du Comité européen de la protection des données précisent que le consentement doit être granulaire et spécifique à la finalité. Un thérapeute qui obtient la signature d'un patient sur un accord de thérapie général n'a pas pour autant obtenu le consentement pour faire passer l'audio de la séance par un service de transcription IA.
Le consentement doit également être obtenu avant le début de tout enregistrement ou transcription. Le consentement rétroactif (demander à un patient après la séance s'il était gêné d'être enregistré) ne satisfait pas à l'exigence.
Minimisation des données : ne capturer que ce dont vous avez réellement besoin
L'article 5(1)(c) du RGPD établit le principe de minimisation des données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Appliqué à la documentation thérapeutique, cela a des implications pratiques directes.
Si une note clinique structurée capture tout ce qui est cliniquement nécessaire d'une séance, conserver l'enregistrement audio complet ou la transcription intégrale peut ne pas être justifiable en vertu de ce principe. La question pertinente est de savoir si les données plus granulaires servent un objectif que les données moins granulaires ne peuvent pas servir.
En pratique, cela signifie :
Les outils de documentation IA doivent être configurés pour générer une note structurée puis supprimer la transcription sous-jacente, sauf s'il existe une raison clinique ou juridique spécifique de la conserver
Les enregistrements complets de séances ne doivent pas être stockés par défaut par commodité administrative
La portée de ce que l'outil capture doit être examinée par rapport à ce que le thérapeute utilise réellement
Une revue de 2025 des outils de génération de notes pilotés par IA dans les soins de santé mentale a révélé que les informations critiques sur le traitement des données (y compris ce qui est conservé après la génération d'une note) étaient fréquemment absentes des communications des fournisseurs. Les thérapeutes doivent poser des questions spécifiques plutôt que de se fier aux descriptions générales des produits.
Où les données de séance peuvent être stockées et traitées : règles d'hébergement des données au sein de l'UE
En vertu du RGPD, le transfert de données à caractère personnel en dehors de l'Espace économique européen (EEE) est restreint à moins que le pays de destination n'offre un niveau adéquat de protection des données, ou qu'une garantie appropriée telle que les clauses contractuelles types (CCT) ne soit en place. Pour les données de santé mentale de catégorie particulière, cette exigence revêt un poids supplémentaire.
Les plateformes grand public telles que les applications générales de visioconférence (même bien connues) traitent et stockent fréquemment des données sur des serveurs en dehors de l'EEE. Elles peuvent ne pas offrir les garanties contractuelles que le RGPD exige pour les données de santé. Un thérapeute utilisant une telle plateforme pour une séance à distance, avec la transcription automatique activée, peut transférer des données de catégorie particulière vers un pays tiers sans mécanisme juridique valide.
Lors de l'évaluation de tout outil de transcription ou de documentation IA, les thérapeutes doivent demander directement aux fournisseurs :
Où les données de séance sont-elles traitées ? (Quel pays, quelle région cloud ?)
Où les données sont-elles stockées au repos ?
Y a-t-il des sous-traitants situés en dehors de l'EEE ?
Si les données sont traitées en dehors de l'EEE, quel mécanisme de transfert s'applique ?
L'hébergement des données au sein de l'UE est un critère de conformité clé pour tout outil traitant le contenu de séances de thérapie. Les fournisseurs doivent être en mesure de répondre à ces questions par écrit.
La relation de sous-traitant : vos obligations lors de l'utilisation d'un outil tiers
Lorsqu'un thérapeute utilise un outil IA ou de transcription externe, ce fournisseur devient un sous-traitant en vertu du RGPD. Le thérapeute, en tant que responsable du traitement, reste légalement responsable de s'assurer que le sous-traitant traite les données conformément aux exigences du RGPD.
L'article 28 du RGPD exige un accord de traitement des données (DPA) signé entre le thérapeute et tout fournisseur qui traite les données des patients en leur nom. Un accord de traitement des données conforme aux exigences du RGPD doit spécifier :
L'objet, la durée et la finalité du traitement
Le type de données à caractère personnel et les catégories de personnes concernées
Les obligations et les droits du responsable du traitement
Que le sous-traitant n'agira que sur instructions documentées du responsable du traitement
Les mesures de sécurité que le sous-traitant a mises en œuvre
Les obligations du sous-traitant concernant les sous-traitants ultérieurs
Les dispositions relatives à la suppression ou au renvoi des données à la fin du contrat
L'absence d'accord de traitement des données ne rend pas le traitement licite. Elle en fait une violation. Les thérapeutes ne doivent utiliser aucun outil qui traite les données de séance des patients sans avoir d'abord obtenu un accord de traitement des données signé. Si un fournisseur n'est pas disposé ou incapable d'en fournir un, c'est en soi un signal d'alerte en matière de conformité.
Ce que vous devez divulguer aux patients avant d'utiliser un outil de documentation IA
Les obligations de transparence du RGPD en vertu des articles 13 et 14 exigent que les patients soient informés du traitement de leurs données au moment de la collecte. Pour les séances de thérapie, cela signifie que les patients doivent être informés :
Quelles catégories de données sont collectées (par exemple, enregistrement audio, transcription, note générée par IA)
L'identité du responsable du traitement (le thérapeute ou le cabinet)
L'identité de tout sous-traitant (le fournisseur de l'outil IA)
La base juridique du traitement
Où les données sont stockées et pour combien de temps
Leurs droits, y compris le droit d'accès, de rectification et de demande de suppression de leurs données
Cette divulgation doit être fournie d'une manière véritablement informative, et non enfouie dans un long document. Les meilleures pratiques pour les thérapeutes utilisant des outils de documentation IA comprennent :
Mettre à jour l'avis de confidentialité du cabinet pour aborder spécifiquement la documentation assistée par IA
Fournir une explication verbale avant la première séance au cours de laquelle l'outil est utilisé
Offrir une confirmation écrite (par exemple, un résumé d'une page) que le patient peut conserver
Documenter que la divulgation a été faite et que le consentement a été obtenu
L'analyse juridique de la télémédecine et des obligations de protection des données confirme que les exigences de transparence s'appliquent pleinement aux interactions de santé numériques, y compris les séances de thérapie à distance menées via des plateformes vidéo.
Périodes de conservation : combien de temps pouvez-vous conserver les transcriptions ou les notes générées par IA
Le principe de limitation de la conservation en vertu de l'article 5(1)(e) exige que les données à caractère personnel soient conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Pour les transcriptions de séances de thérapie et les notes générées par IA, les thérapeutes doivent définir et documenter une période de conservation, puis l'appliquer.
Plusieurs considérations interagissent ici :
Les directives de l'organisme de réglementation professionnelle sur la conservation des dossiers cliniques établissent un plancher minimum (par exemple, les exigences de conservation varient selon le pays et l'organisme professionnel. Les thérapeutes doivent consulter leur organisme de réglementation national pour la période minimale applicable)
Les notes générées par IA et les transcriptions de séances ne sont pas automatiquement soumises aux mêmes règles de conservation que les dossiers cliniques formels. Une transcription intégrale peut avoir une période de conservation justifiable beaucoup plus courte que la note clinique qui en est dérivée
Lorsqu'une transcription n'est conservée que pour générer une note, elle doit être supprimée une fois cet objectif atteint
Les thérapeutes doivent documenter leur politique de conservation par écrit, en spécifiant des périodes différentes pour différents types de données (enregistrement, transcription, note structurée, courrier patient). Ils doivent s'assurer que les pratiques de suppression de données de leur fournisseur d'outils IA s'alignent sur cette politique.
Exigences de sécurité pour le stockage des données de séances de santé mentale
L'article 32 du RGPD exige que les responsables du traitement et les sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées au risque. Pour les données de santé mentale de catégorie particulière, le niveau de risque est élevé par défaut. Les mesures requises reflètent cela.
Les attentes minimales en matière de sécurité pour les outils traitant les données de séances de thérapie comprennent :
Chiffrement au repos et en transit : Les enregistrements de séances, les transcriptions et les notes doivent être chiffrés à la fois lorsqu'ils sont stockés et lorsqu'ils sont transmis
Contrôles d'accès : Seules les personnes autorisées doivent pouvoir accéder aux données de séance, avec des autorisations basées sur les rôles et des exigences d'authentification
Pistes d'audit : Les systèmes doivent enregistrer qui a accédé à quelles données et quand
Réponse aux incidents : Les fournisseurs doivent avoir des procédures documentées pour détecter et signaler les violations de données
Les outils grand public (y compris les applications générales de visioconférence avec transcription automatique activée) sont peu susceptibles de répondre à ces exigences sans accords spécifiques d'entreprise ou de niveau santé en place. Le fait qu'une plateforme soit largement utilisée dans des contextes cliniques ne signifie pas qu'elle est conforme au RGPD pour le traitement de données de catégorie particulière sans garanties contractuelles et techniques appropriées.
Une revue par les pairs de 2025 des outils de génération de notes IA dans les soins de santé mentale a révélé que bien que la plupart des fournisseurs fournissaient des informations sur les mesures de protection et de confidentialité des données sur leurs sites Web, des détails critiques (y compris les certifications de sécurité spécifiques, les listes de sous-traitants et les pratiques de suppression de données) étaient fréquemment absents. Les thérapeutes ne doivent pas présumer de la conformité. Ils doivent la vérifier.
Étapes pratiques pour les praticiens privés sélectionnant un outil de documentation conforme
Les praticiens privés évaluant les outils de documentation IA le font généralement sans support informatique ou juridique institutionnel. La liste de contrôle suivante couvre la diligence raisonnable minimale que le RGPD exige :
Confirmer l'hébergement des données au sein de l'UE : Demandez au fournisseur par écrit où les données de séance sont traitées et stockées. Confirmez qu'aucun sous-traitant n'est situé en dehors de l'EEE, ou que des mécanismes de transfert adéquats sont en place
Obtenir un accord de traitement des données signé : N'utilisez aucun outil qui traite les données des patients sans un accord de traitement des données signé répondant aux exigences de l'article 28
Vérifier la certification ISO 27001 : La certification ISO 27001 indique que le fournisseur a mis en œuvre un système de gestion de la sécurité de l'information reconnu internationalement. Ce n'est pas une garantie RGPD, mais c'est un indicateur de référence significatif
Examiner la liste des sous-traitants : Les fournisseurs s'appuient généralement sur des sous-traitants (par exemple, des fournisseurs d'infrastructure cloud). Demandez la liste complète et évaluez si l'emplacement et la posture de sécurité de chaque sous-traitant sont acceptables
Comprendre la politique de suppression des données : Confirmez combien de temps le fournisseur conserve les données après une séance, ce qui déclenche la suppression, et si vous pouvez demander la suppression d'enregistrements spécifiques
Vérifier que l'outil prend en charge les demandes de droits des patients : Le système doit être en mesure de répondre aux demandes d'accès et aux demandes de suppression dans les délais requis par le RGPD
Le manque de transparence dans les communications des fournisseurs identifié dans la recherche évaluée par les pairs signifie que les thérapeutes doivent poser des questions spécifiques et écrites plutôt que de se fier aux supports marketing. Un fournisseur qui ne peut pas répondre clairement à ces questions n'est pas un choix conforme.
Lorsqu'un patient retire son consentement ou demande la suppression
Les patients ont des droits exécutoires en vertu du RGPD que les thérapeutes doivent être opérationnellement prêts à honorer. Deux sont particulièrement pertinents pour la documentation assistée par IA.
Droit de retirer son consentement (Article 7(3)) : Un patient peut retirer son consentement au traitement de ses données à tout moment. Le retrait n'affecte pas la licéité du traitement effectué avant le retrait, mais il doit prendre effet à l'avenir. La recherche sur la mise en œuvre du retrait du consentement dans les contextes de données de santé souligne la complexité opérationnelle : les données peuvent exister sur plusieurs systèmes (l'outil IA, une sauvegarde cloud, une copie locale) et doivent être identifiées et traitées dans chacun.
Droit à l'effacement (Article 17) : Lorsque le traitement était fondé sur le consentement, un patient qui retire son consentement a le droit de demander la suppression de ses données. Le thérapeute, en tant que responsable du traitement, doit donner suite à cette demande dans un délai d'un mois. Il doit demander à tout sous-traitant (y compris le fournisseur de l'outil IA) de supprimer les données pertinentes de leurs systèmes.
En pratique, les thérapeutes doivent :
Documenter le retrait du consentement par écrit et enregistrer la date
Contacter immédiatement le fournisseur de l'outil IA et demander la suppression de toutes les données de séance associées à ce patient
Obtenir une confirmation écrite du fournisseur que la suppression a été effectuée
Vérifier si des copies locales (par exemple, des transcriptions téléchargées) doivent également être supprimées
Le droit à l'effacement n'est pas absolu. Lorsque les données doivent être conservées pour se conformer à une obligation légale (telle que les exigences réglementaires professionnelles de maintenir des dossiers cliniques pendant une période minimale), cette obligation peut l'emporter sur la demande d'effacement en ce qui concerne le dossier clinique formel. Les transcriptions ou enregistrements bruts qui vont au-delà de ce que le dossier clinique exige sont peu susceptibles de bénéficier de cette exception. Ils doivent généralement être supprimés sur demande.
Les cadres d'éthique professionnelle dans la pratique de la santé mentale identifient systématiquement la documentation et la gouvernance des données comme des composantes essentielles de la responsabilité du clinicien. La capacité de répondre aux demandes de droits des patients fait de plus en plus partie de cette attente dans un environnement clinique numérique.
Foire aux questions
▶ Le RGPD s'applique-t-il aux enregistrements et transcriptions de séances de thérapie
Oui. En vertu du Règlement général sur la protection des données, les données de santé mentale sont classées comme une catégorie particulière de données à caractère personnel en vertu de l'article 9. Elles bénéficient du niveau le plus élevé de sensibilité des données. Enregistrer une séance, générer une transcription, stocker une note clinique générée par IA ou transmettre le contenu d'une séance via un outil tiers constituent tous un traitement en vertu du RGPD. Cela s'applique à chaque praticien qui traite des données de séance numériquement, y compris les cabinets de psychothérapie unipersonnels.
▶ Quelle base juridique les thérapeutes doivent-ils avoir avant d'utiliser un outil de documentation IA
Les thérapeutes doivent satisfaire simultanément deux exigences juridiques : une base juridique en vertu de l'article 6 du RGPD, et une condition distincte en vertu de l'article 9(2). Les deux conditions de l'article 9(2) les plus pertinentes sont le consentement explicite du patient (article 9(2)(a)) et le traitement nécessaire à la fourniture de soins de santé ou de soins sociaux, sous réserve d'obligations de secret professionnel (article 9(2)(h)). Pour les praticiens privés, le consentement explicite est généralement la voie la plus défendable, car il documente directement l'accord du patient pour l'activité de traitement spécifique. Quelle que soit la base choisie, elle doit être documentée avant le début de tout traitement.
▶ Qu'exige un consentement explicite valide lors de l'enregistrement ou de la transcription d'une séance de thérapie
Un consentement explicite valide en vertu du RGPD doit être donné librement, spécifique, éclairé, sans ambiguïté et exprimé activement. Le consentement à l'enregistrement n'implique pas le consentement à la transcription, au traitement par IA ou au partage avec un superviseur. Chaque finalité nécessite un consentement distinct. Le consentement enfoui dans un document général de conditions générales ne répond pas à cette norme. Il doit également être obtenu avant le début de tout enregistrement ou transcription. Le consentement rétroactif ne satisfait pas à l'exigence.
▶ Qu'est-ce que le principe de minimisation des données et comment s'applique-t-il à la documentation thérapeutique
L'article 5(1)(c) du RGPD exige que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En pratique, si une note clinique structurée capture tout ce qui est cliniquement nécessaire d'une séance, conserver l'enregistrement audio complet ou la transcription intégrale peut ne pas être justifiable. Les outils de documentation IA doivent être configurés pour générer une note structurée puis supprimer la transcription sous-jacente, sauf s'il existe une raison clinique ou juridique spécifique de la conserver. Les enregistrements complets de séances ne doivent pas être stockés par défaut par commodité administrative.
▶ Les données de séances de thérapie peuvent-elles être stockées ou traitées en dehors de l'Espace économique européen
Le transfert de données à caractère personnel en dehors de l'Espace économique européen est restreint en vertu du RGPD à moins que le pays de destination n'offre un niveau adéquat de protection des données, ou qu'une garantie appropriée telle que les clauses contractuelles types ne soit en place. Les plateformes grand public, y compris les applications générales de visioconférence, traitent et stockent fréquemment des données sur des serveurs en dehors de l'Espace économique européen. Elles peuvent ne pas offrir les garanties contractuelles que le RGPD exige pour les données de santé. Les thérapeutes doivent demander aux fournisseurs par écrit où les données de séance sont traitées et stockées, si des sous-traitants sont situés en dehors de l'Espace économique européen, et quel mécanisme de transfert s'applique si les données quittent la région.
▶ Qu'est-ce qu'un accord de traitement des données et les thérapeutes en ont-ils besoin
Lorsqu'un thérapeute utilise un outil IA ou de transcription externe, ce fournisseur devient un sous-traitant en vertu du RGPD. L'article 28 du RGPD exige un accord de traitement des données signé entre le thérapeute et tout fournisseur qui traite les données des patients en leur nom. L'accord doit spécifier la finalité et la durée du traitement, les mesures de sécurité en place, les obligations du sous-traitant concernant les sous-traitants ultérieurs, et les dispositions relatives à la suppression ou au renvoi des données à la fin du contrat. L'absence d'accord de traitement des données ne rend pas le traitement licite. Elle en fait une violation. Les thérapeutes ne doivent utiliser aucun outil qui traite les données de séance des patients sans un accord signé en place.
▶ Que doivent dire les thérapeutes aux patients avant d'utiliser un outil de documentation IA
Les obligations de transparence du RGPD en vertu des articles 13 et 14 exigent que les patients soient informés du traitement de leurs données au moment de la collecte. Les thérapeutes doivent informer les patients des catégories de données collectées, de l'identité du responsable du traitement et de tout sous-traitant, de la base juridique du traitement, de l'endroit où les données sont stockées et pour combien de temps, et des droits du patient, y compris l'accès, la rectification et la suppression. Les meilleures pratiques comprennent la mise à jour de l'avis de confidentialité du cabinet pour aborder spécifiquement la documentation assistée par IA, la fourniture d'une explication verbale avant la première séance au cours de laquelle l'outil est utilisé, et la documentation que la divulgation a été faite et que le consentement a été obtenu.
▶ Combien de temps les thérapeutes peuvent-ils conserver les transcriptions et les notes générées par IA
Le principe de limitation de la conservation en vertu de l'article 5(1)(e) du RGPD exige que les données à caractère personnel soient conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Les thérapeutes doivent définir et documenter une période de conservation pour chaque type de données et l'appliquer de manière cohérente. Les notes générées par IA et les transcriptions de séances ne sont pas automatiquement soumises aux mêmes règles de conservation que les dossiers cliniques formels. Lorsqu'une transcription n'est conservée que pour générer une note, elle doit être supprimée une fois cet objectif atteint. Les thérapeutes doivent confirmer que les pratiques de suppression de données de leur fournisseur d'outils IA s'alignent sur leur politique de conservation documentée.
▶ Que se passe-t-il si un patient retire son consentement ou demande la suppression de ses données de séance
Un patient peut retirer son consentement au traitement de ses données à tout moment en vertu de l'article 7(3) du RGPD. Lorsque le traitement était fondé sur le consentement, le patient a également le droit de demander la suppression de ses données en vertu de l'article 17. Le thérapeute doit donner suite à une demande de suppression dans un délai d'un mois. Il doit demander au fournisseur de l'outil IA de supprimer les données pertinentes de leurs systèmes, en obtenant une confirmation écrite que la suppression a été effectuée. Le droit à l'effacement n'est pas absolu : lorsque les données doivent être conservées pour se conformer à une obligation légale, telle que les exigences réglementaires professionnelles pour les dossiers cliniques, cette obligation peut l'emporter sur la demande d'effacement en ce qui concerne le dossier clinique formel. Les transcriptions ou enregistrements bruts qui vont au-delà de ce que le dossier clinique exige sont peu susceptibles de bénéficier de cette exception.
▶ Quelles normes de sécurité les thérapeutes doivent-ils rechercher lors du choix d'un outil de documentation IA
L'article 32 du RGPD exige que les responsables du traitement et les sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées au risque. Pour les données de santé mentale de catégorie particulière, le niveau de risque est élevé par défaut. Les attentes minimales comprennent le chiffrement des enregistrements de séances, des transcriptions et des notes à la fois au repos et en transit, des contrôles d'accès basés sur les rôles, des pistes d'audit enregistrant qui a accédé aux données et quand, et des procédures documentées de réponse aux incidents. La certification ISO 27001 indique qu'un fournisseur a mis en œuvre un système de gestion de la sécurité de l'information reconnu internationalement et sert d'indicateur de référence significatif, bien qu'elle ne soit pas une garantie RGPD en soi. Une revue par les pairs de 2025 des outils de génération de notes IA dans les soins de santé mentale a révélé que des détails de sécurité critiques, y compris les certifications spécifiques, les listes de sous-traitants et les pratiques de suppression de données, étaient fréquemment absents des communications des fournisseurs. Les thérapeutes doivent vérifier la conformité directement plutôt que de se fier aux supports marketing.