Retour au journal
Conformité & nLPD

nLPD et site web de cabinet : ce que la loi attend vraiment de vous

La nouvelle loi fédérale sur la protection des données, la nLPD, est entrée en vigueur le 1er septembre 2023. Elle remplace un texte qui datait de 1992, à une époque où un cabinet n’avait ni site web, ni formulaire de contact, ni agenda en ligne. Aujourd’hui, dès qu’un cabinet collecte le nom d’un patient sur une page de contact, il traite des données personnelles. La loi s’applique.

L’objet de cet article n’est pas de vous transformer en juriste. C’est de vous donner une vue claire de ce que la nLPD attend d’un site de cabinet de santé, et de ce qui relève réellement de votre responsabilité.

Pourquoi un cabinet de santé est un cas particulier

La nLPD distingue les données ordinaires des données dites sensibles. Les données relatives à la santé font partie de cette seconde catégorie. Le simple fait qu’une personne prenne rendez-vous chez un ostéopathe, un psychologue ou un dentiste révèle une information sur sa santé. Un cabinet manipule donc des données sensibles en permanence, parfois sans en avoir conscience.

Concrètement, cela élève le niveau d’exigence. Le consentement doit être plus explicite, la sécurisation plus sérieuse, et l’information donnée au patient plus précise que pour un site commercial ordinaire.

Ce que la loi demande concrètement à un site

Une déclaration de protection des données

Votre site doit présenter une déclaration de protection des données accessible depuis chaque page, généralement en pied de page. Elle explique quelles données vous collectez, dans quel but, où elles sont hébergées, combien de temps vous les conservez et quels sont les droits du patient. Ce document n’est pas un copier-coller générique : il doit correspondre à ce que votre site fait réellement.

Un consentement clair pour les formulaires

Si votre site propose un formulaire de contact ou de demande de rendez-vous, le patient doit comprendre ce qu’il transmet et y consentir librement. En pratique, cela passe par une mention explicite à côté du bouton d’envoi et par une case que le patient coche lui-même, jamais pré-cochée.

Une sécurisation des échanges

Le chiffrement HTTPS est le minimum. Un cadenas dans la barre d’adresse n’est plus un détail technique : c’est la garantie que les informations saisies dans un formulaire ne circulent pas en clair. Pour les échanges plus sensibles, des solutions complémentaires existent, comme une messagerie sécurisée de type HIN.

Un registre des activités de traitement

La nLPD demande à de nombreux responsables de tenir un registre de leurs traitements de données. Ce document interne recense ce que vous faites des données, et n’a pas vocation à être publié. La FMH et HIN mettent des modèles à disposition, et il peut être adapté à un petit cabinet en quelques heures.

La question de l’hébergement

Contrairement à une idée répandue, la nLPD n’impose pas formellement d’héberger les données en Suisse. Mais elle maintient le praticien responsable du traitement, où que se trouvent les serveurs. Si votre hébergeur est situé hors de Suisse et de l’Union européenne, des garanties contractuelles supplémentaires sont nécessaires.

C’est pourquoi un hébergement suisse, chez un prestataire comme Infomaniak ou Hostpoint, simplifie considérablement la situation. Les données restent sous droit suisse, la chaîne de responsabilité est courte, et vous pouvez l’expliquer simplement à vos patients. Le surcoût est modeste, de l’ordre de quelques centaines de francs par an.

Ce que vous risquez réellement

La nLPD prévoit des amendes pouvant atteindre 250 000 francs. Un point mérite attention : cette amende vise la personne physique responsable, et non l’entreprise. Pour un cabinet indépendant, cela signifie le praticien lui-même. L’objectif n’est pas de vous inquiéter, mais de rappeler que la conformité n’est pas une formalité décorative.

Dans les faits, les sanctions concernent les manquements graves et intentionnels, pas la petite imperfection de bonne foi. Mais un site construit sans aucune attention à la nLPD vous expose inutilement, et envoie un signal de négligence à vos patients.

La conformité se construit, elle ne s’ajoute pas

La différence se joue souvent au moment de la conception. Un site pensé dès le départ pour la nLPD intègre naturellement la déclaration de protection, le consentement, l’hébergement adapté et la sécurisation. Un site générique livré sans cette attention demande ensuite des correctifs, facturés à chaque étape, et reste fragile.

C’est le principe de la protection des données dès la conception, que la loi appelle « privacy by design ». Il coûte moins cher de bien faire d’emblée que de réparer ensuite.

En résumé

Pour un cabinet de santé, un site conforme à la nLPD repose sur quelques piliers simples : une déclaration de protection des données fidèle à la réalité, un consentement clair sur les formulaires, une sécurisation sérieuse des échanges, un hébergement maîtrisé et un registre des traitements. Aucun de ces éléments n’est hors de portée. Ensemble, ils protègent vos patients, et vous protègent vous.