Par Anne T. T. · Publié le 12 avril 2026 · 9 min de lecture
Dicter ses notes de séance, résumer un bilan, rédiger un courrier au médecin traitant en trente secondes : les outils d'intelligence artificielle générative promettent un gain de temps considérable pour les thérapeutes. Et la promesse est réelle — à condition de ne pas sacrifier la confidentialité de vos patients au passage.
Car derrière chaque requête envoyée à ChatGPT, Claude ou Gemini se pose une question fondamentale : où partent les données de vos patients ? En Suisse, la réponse à cette question n'est pas qu'une affaire d'éthique. C'est une obligation légale, encadrée par la nLPD, le Code pénal et les règles déontologiques de votre profession.
Lorsque vous saisissez une note de séance dans ChatGPT, le texte est transmis aux serveurs d'OpenAI, hébergés principalement aux États-Unis. Or la nLPD (art. 16 et suivants) impose des conditions strictes pour tout transfert de données personnelles vers un pays qui n'offre pas un niveau de protection adéquat.
Les États-Unis ne figurent pas sur la liste du Conseil fédéral des pays offrant une protection adéquate (annexe 1 de l'OPDo). Un transfert nécessite donc des garanties supplémentaires — clauses contractuelles types, consentement explicite du patient, ou autre mécanisme reconnu. En pratique, un thérapeute qui tape ses notes dans ChatGPT ne remplit aucune de ces conditions.
La nLPD (art. 9) exige qu'un contrat de sous-traitance des données (DPA) soit conclu avec tout tiers qui traite des données personnelles pour votre compte. OpenAI propose un DPA, mais uniquement pour les comptes Enterprise et les abonnements API avec facturation. Un compte ChatGPT Plus individuel ne bénéficie d'aucun DPA.
La nLPD (art. 5 let. c) définit les données sensibles comme incluant explicitement les données sur la santé. Les notes de séance d'un thérapeute — diagnostics, contenus évoqués, observations cliniques — entrent pleinement dans cette catégorie. Le traitement de données sensibles est soumis à des exigences renforcées.
Risque pénal : l'art. 321 du Code pénal suisse punit la violation du secret professionnel d'une peine privative de liberté de trois ans au plus ou d'une amende. Transmettre des informations couvertes par le secret professionnel à un service cloud étranger, sans consentement éclairé du patient, constitue un risque pénal réel.
Depuis son entrée en vigueur le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) s'applique à tout thérapeute exerçant en Suisse. Voici les principes directement pertinents pour l'utilisation d'outils d'IA.
Seules les données nécessaires à la finalité du traitement doivent être collectées et traitées. Envoyer l'intégralité d'une note de séance à un LLM pour corriger trois fautes d'orthographe viole ce principe.
Les données ne peuvent être traitées que pour la finalité annoncée au moment de leur collecte. Vos patients vous confient leurs informations pour recevoir un traitement thérapeutique, pas pour alimenter l'entraînement d'un modèle de langage.
Le traitement de données sensibles nécessite un consentement explicite (art. 6 al. 7 nLPD). Ce consentement doit être éclairé : le patient doit comprendre que ses données seront envoyées à un service tiers, dans quel pays, et à quelle fin. Un consentement générique au traitement thérapeutique ne couvre pas l'utilisation d'outils d'IA externes.
Le transfert de données personnelles vers un pays sans protection adéquate n'est autorisé que si des garanties appropriées sont en place (art. 16 al. 2 nLPD). Copier-coller une note dans ChatGPT ne satisfait aucune de ces exigences.
L'IA n'est pas incompatible avec la confidentialité. Plusieurs approches permettent de bénéficier de ses avantages sans compromettre la conformité légale.
Certains modèles de langage peuvent fonctionner directement sur votre ordinateur, sans aucune connexion à un serveur externe. Des outils comme Ollama ou LM Studio permettent d'exécuter des modèles open source (Llama, Mistral) en local. Les données ne quittent jamais votre machine.
Avantage : confidentialité maximale. Limite : nécessite un ordinateur puissant, configuration technique, et performances en deçà des modèles cloud les plus avancés.
Une alternative plus accessible consiste à utiliser des services d'IA hébergés dans des centres de données suisses, soumis au droit suisse. C'est le cas par exemple d'Infomaniak AI Tools, qui propose des modèles de langage open source (Mistral, Qwen) hébergés exclusivement dans ses centres de données à Genève et Winterthour.
C'est l'approche retenue par Therago pour sa fonctionnalité de dictée vocale et d'assistance à la rédaction. Le traitement IA s'effectue via des modèles hébergés chez Infomaniak, à Genève. Les données vocales et textuelles sont chiffrées (AES-256-GCM) et ne sont jamais transmises à OpenAI, Google ou Amazon.
Pour en savoir plus sur la dictée vocale : Dictée vocale pour thérapeutes : comment gagner 1h par jour.
Si vous souhaitez malgré tout utiliser un outil comme ChatGPT pour des tâches précises (reformulation, recherche bibliographique), anonymisez systématiquement vos données avant toute saisie. Remplacez les noms, dates de naissance, lieux et tout élément identifiant par des codes ou des termes génériques.
Cette approche reste imparfaite : dans un contexte thérapeutique, même des détails apparemment anodins peuvent permettre une réidentification (pathologie rare, situation familiale particulière). La prudence est de mise.
Avant d'adopter un outil d'IA dans votre pratique, posez-vous ces questions :
1. Où les données sont-elles traitées ?
Le traitement doit avoir lieu en Suisse ou dans un pays reconnu comme offrant une protection adéquate. Si les serveurs sont aux États-Unis, des garanties contractuelles supplémentaires sont indispensables (art. 16 nLPD).
2. Existe-t-il un contrat de sous-traitance (DPA) ?
La nLPD (art. 9) l'exige. Sans DPA, vous n'avez aucune garantie contractuelle sur la manière dont vos données sont traitées, stockées ou supprimées.
3. Puis-je supprimer les données ?
Le droit à l'effacement fait partie des droits de la personne concernée (art. 32 nLPD). Vérifiez que le fournisseur permet la suppression effective des données — pas simplement leur archivage.
4. Mes données servent-elles à entraîner le modèle ?
La plupart des LLM grand public utilisent les conversations des utilisateurs pour améliorer leurs modèles. OpenAI le fait par défaut. Ce réentraînement constitue un traitement supplémentaire non couvert par le consentement initial de vos patients.
5. Le chiffrement est-il en place ?
Les données doivent être chiffrées en transit (TLS) et au repos. Un chiffrement par utilisateur (où chaque thérapeute dispose de sa propre clé) offre une protection supplémentaire.
6. L'outil est-il compatible avec le secret professionnel (art. 321 CP) ?
Au-delà de la protection des données, demandez-vous si la transmission d'informations à ce service constitue une divulgation au sens de l'art. 321 CP. Un hébergement suisse avec DPA réduit significativement ce risque.
Règle d'or : si vous répondez « non » ou « je ne sais pas » à l'une de ces questions, ne saisissez pas de données patients dans cet outil.
Pour une vue complète de vos obligations en matière de protection des données : Checklist LPD/nLPD 2026 pour thérapeutes.
Désactiver l'historique empêche OpenAI d'utiliser vos conversations pour entraîner ses modèles futurs. Cependant, les données sont toujours transmises aux serveurs américains et conservées pendant 30 jours. Cela ne résout ni le problème du transfert transfrontalier (art. 16 nLPD) ni celui du secret professionnel (art. 321 CP).
En théorie, un consentement explicite et éclairé pourrait couvrir le transfert transfrontalier. Mais ce consentement devrait être véritablement libre, spécifique et éclairé. En pratique, cette voie est fragile juridiquement et déconseillée par la doctrine.
Les comptes API Enterprise offrent un DPA, un engagement de non-utilisation des données pour l'entraînement, et des contrôles de sécurité renforcés. Mais les données sont toujours traitées aux États-Unis. Le problème du transfert transfrontalier et de l'art. 321 CP subsiste. Une solution hébergée en Suisse reste préférable.
La nLPD prévoit des amendes jusqu'à CHF 250'000 pour les personnes physiques responsables (art. 60 ss nLPD). La violation du secret professionnel (art. 321 CP) est passible d'une peine privative de liberté de trois ans au plus. Une fuite de données peut également entraîner des procédures disciplinaires auprès de votre association professionnelle (FSP, ASP).
L'intelligence artificielle a sa place dans la pratique thérapeutique. La dictée vocale, l'aide à la rédaction de bilans, le résumé de notes : ces fonctionnalités font gagner un temps précieux. Mais le choix de l'outil compte autant que la fonctionnalité.
Un thérapeute suisse qui saisit des notes de séance dans ChatGPT prend un risque juridique concret — violation de la nLPD, transfert transfrontalier non autorisé, atteinte potentielle au secret professionnel. Ce n'est pas une question de paranoïa, c'est une question de conformité avec des lois qui existent pour protéger les personnes les plus vulnérables : vos patients.
Le critère est simple : si vous ne pouvez pas expliquer à votre patient exactement où vont ses données et qui y a accès, ne les saisissez pas dans cet outil.
Therago intègre une IA hébergée en Suisse (Infomaniak, Genève) avec chiffrement AES-256-GCM par thérapeute. Aucune donnée n'est transmise à OpenAI, Google ou Amazon. Découvrir Therago.
L'IA pour thérapeutes, sans compromettre la confidentialité. Hébergée en Suisse, chiffrée, conforme.
Essai gratuit 30 joursSans carte bancaire. Données hébergées en Suisse.