← Blog

Protection des données patients : checklist LPD/nLPD 2026

Publié le 29 mars 2026 · 8 min de lecture

La nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1) est entrée en vigueur le 1er septembre 2023. Pour les thérapeutes, elle renforce considérablement les obligations en matière de traitement des données de santé — des données classées « sensibles » par la loi.

Ce guide vous offre une checklist claire et actionnable, adaptée à la réalité d’un cabinet de thérapie en Suisse.

Ce qui a changé avec la nLPD

Devoir d’information renforcé (art. 19 nLPD)

Vous devez informer vos patients de manière proactive sur la collecte et le traitement de leurs données. Cette information doit être claire, compréhensible et facilement accessible.

Registre des activités de traitement (art. 12 nLPD)

Tout thérapeute traitant régulièrement des données de santé devrait tenir un registre listant les catégories de données, les finalités, les destinataires et les mesures de sécurité.

Notification des violations (art. 24 nLPD)

En cas de violation de la sécurité des données, vous devez notifier le Préposé fédéral (PFPDT) dans les meilleurs délais. Si le risque est élevé, les patients concernés doivent également être informés.

Sanctions pénales (art. 60-66 nLPD)

La nLPD prévoit des amendes pouvant aller jusqu'à CHF 250 000 pour les personnes physiques responsables. Les sanctions visent les individus, pas les entreprises.

1. Information et consentement

  • Rédiger une déclaration de protection des données claire et accessible
  • Informer chaque nouveau patient sur : les données collectées, leur finalité, la durée de conservation, ses droits
  • Obtenir un consentement explicite pour le traitement des données de santé
  • Conserver la preuve du consentement (signature, horodatage numérique)
  • Prévoir une procédure pour le retrait du consentement

2. Stockage et sécurité des données

  • Chiffrer les données de santé au repos (AES-256 recommandé)
  • Chiffrer les communications (email chiffré ou portail patient sécurisé)
  • Héberger les données en Suisse ou dans un pays reconnu par le Conseil fédéral
  • Mots de passe forts et authentification à deux facteurs
  • Sauvegarder régulièrement les données (backup chiffré, hors site)
  • Limiter l’accès aux données au strict nécessaire (principe de minimisation)

3. Droits des patients

  • Permettre au patient d’accéder à ses données sur demande (art. 25 nLPD)
  • Permettre la rectification des données inexactes
  • Permettre la suppression (dans les limites des obligations de conservation)
  • Répondre aux demandes dans un délai de 30 jours
  • Documenter chaque demande et votre réponse

4. Registre des traitements

  • Lister toutes les catégories de données collectées (identité, santé, facturation)
  • Documenter la finalité de chaque traitement
  • Indiquer les destinataires (assurances, laboratoires, logiciels)
  • Préciser la durée de conservation
  • Identifier les mesures de sécurité en place

5. Sous-traitants et transferts

  • Identifier tous les sous-traitants traitant des données patients
  • Vérifier que chaque sous-traitant offre des garanties suffisantes
  • Conclure un contrat de sous-traitance (art. 9 nLPD) avec chaque prestataire
  • Vérifier la localisation des données (Suisse, UE, autre)

Durée de conservation des données

Type de donnéesDurée minimaleBase légale
Dossier patient10 ans après dernière consultationArt. 26 LPMéd
Factures10 ansArt. 958f CO
ConsentementsDurée du traitement + 10 ansRecommandation PFPDT
Correspondance10 ansArt. 958f CO

Attention : les cantons peuvent prévoir des durées plus longues. Genève, par exemple, impose 20 ans pour les dossiers médicaux dans certains cas.

Cas pratiques

Un patient demande la suppression de ses données

Vous devez supprimer les données non soumises à une obligation légale de conservation. Le dossier patient doit être conservé 10 ans, mais vous pouvez supprimer les données non médicalement nécessaires.

Vous perdez votre ordinateur portable

C’est une violation de la sécurité. Si les données étaient chiffrées, le risque est limité. Sinon, vous devez notifier le PFPDT et potentiellement vos patients.

Votre logiciel stocke les données à l’étranger

Vérifiez que le pays figure sur la liste du Conseil fédéral (UE = ok). Sinon, des garanties supplémentaires sont nécessaires. Pour les données de santé, privilégiez un hébergement en Suisse.

Comment Therago vous aide

Therago a été conçu avec la nLPD au coeur de son architecture :

  • Chiffrement individuel AES-256-GCM : chaque dossier patient est chiffré avec une clé propre au thérapeute
  • Hébergement exclusif en Suisse : serveurs à Genève, certifié ISO 27001
  • Consentement numérique intégré : recueil et archivage automatique des consentements
  • Droits des patients : accès, rectification et export des données en quelques clics
  • Backup chiffré : sauvegarde automatique quotidienne, chiffrée et hors site

Soyez en conformité avec la nLPD sans y passer des heures.

Essai gratuit 30 jours

Sans carte bancaire. Données hébergées en Suisse.

Protection des données patients : checklist LPD/nLPD 2026 | Therago