· Guide · 9 min read
Confidentialité des consultations psy en ligne : sécurité des données
Garanties de confidentialité des plateformes de psy en ligne, RGPD, secret médical et sécurisation des échanges.
Les consultations psy en ligne sont soumises aux mêmes obligations de confidentialité qu’une séance en cabinet : secret médical, RGPD et chiffrement des données. Les plateformes sérieuses opèrent sous la législation française et européenne, avec des garanties techniques et légales précises. Voici ce que vous devez savoir avant de vous confier en ligne.
Pourquoi la confidentialité est-elle un enjeu crucial en téléconsultation psy ?
Parler de sa santé mentale en ligne implique de partager des données extrêmement sensibles : motif de consultation, diagnostics, histoires personnelles. Ces informations appartiennent à la catégorie des données de santé, qui bénéficient du niveau de protection le plus élevé prévu par la loi.
En France, une violation de ces données peut entraîner des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour une entreprise, selon le RGPD. C’est dire l’importance du cadre légal.
La crainte de ne pas être “vraiment protégé” est l’une des principales réticences à consulter en ligne. Comprendre les garanties existantes permet souvent de dépasser ce frein.
Qu’est-ce que le secret médical et s’applique-t-il aux séances en ligne ?
Le secret médical est un principe fondamental du droit français, inscrit dans le Code de la santé publique (article L. 1110-4). Il s’applique à tous les professionnels de santé, qu’ils reçoivent en cabinet ou via vidéo.
Un psychologue qui pratique en téléconsultation est tenu exactement aux mêmes obligations :
- Il ne peut divulguer aucune information partagée en séance
- Il ne peut pas partager vos données sans votre consentement explicite
- Même les compagnies d’assurance ne peuvent pas y accéder sans accord
- L’obligation s’étend aux notes cliniques et comptes-rendus écrits
La différence avec une séance physique : le support numérique crée des risques supplémentaires (piratage, interception, fuite de données). C’est là que les protocoles techniques entrent en jeu.
Comment les plateformes psy sécurisent-elles vos échanges ?
Le chiffrement de bout en bout : la base minimale
Toute plateforme sérieuse utilise le chiffrement de bout en bout (E2EE). Concrètement, vos échanges vidéo, audio ou par messagerie sont convertis en code illisible pendant le transfert. Seuls vous et votre thérapeute pouvez les déchiffrer.
Le protocole de référence est le TLS 1.3 pour les connexions web, et des protocoles spécifiques comme ZRTP pour les appels vidéo. Sans ces protocoles, n’importe qui sur le même réseau Wi-Fi pourrait théoriquement intercepter la conversation.
L’hébergement des données de santé (HDS)
En France, depuis 2018, les données de santé doivent obligatoirement être hébergées par un prestataire certifié HDS (Hébergeur de Données de Santé). Cette certification, délivrée par la COFRAC, garantit :
- Des serveurs physiquement sécurisés sur le territoire européen
- Des procédures de sauvegarde et de restauration rigoureuses
- Des audits réguliers indépendants
- Une traçabilité de tous les accès aux données
Exemple concret : Serenis, l’une des principales plateformes françaises, héberge ses données sur des serveurs AWS certifiés HDS en région Europe (Irlande), conformément aux exigences de la CNIL.
Que dit le RGPD sur la protection des données psy ?
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, classe les données de santé mentale comme données à caractère sensible (article 9). Leur traitement est interdit sauf exceptions strictes, dont le consentement explicite du patient.
Vos droits concrets en tant que patient :
- Droit d’accès : obtenir une copie de toutes vos données détenues
- Droit de rectification : corriger une information inexacte
- Droit à l’effacement : demander la suppression de vos données après la fin du suivi
- Droit à la portabilité : récupérer vos données dans un format lisible
- Droit d’opposition : refuser certains traitements (usage commercial, notamment)
En 2025, la CNIL a prononcé plusieurs sanctions contre des applications de santé ne respectant pas le consentement éclairé pour les données sensibles. Les montants varient de 50 000 € à plusieurs millions selon la gravité et la taille de la structure.
Comment comparer les plateformes sur leurs garanties de confidentialité ?
Toutes les plateformes ne se valent pas. Voici un tableau comparatif des critères de sécurité des principales plateformes françaises (données 2025-2026) :
| Plateforme | Certification HDS | Chiffrement E2EE | Serveurs UE | DPO désigné | Conformité RGPD |
|---|---|---|---|---|---|
| Serenis | ✅ Oui | ✅ Oui | ✅ Oui (Irlande) | ✅ Oui | ✅ Complète |
| Moka Care | ✅ Oui | ✅ Oui | ✅ Oui (France) | ✅ Oui | ✅ Complète |
| Livi | ✅ Oui | ✅ Oui | ✅ Oui (Suède/UE) | ✅ Oui | ✅ Complète |
| Doctolib | ✅ Oui | ✅ Oui | ✅ Oui (France/All.) | ✅ Oui | ✅ Complète |
| Plateforme non certifiée | ❌ Non | ⚠️ Partiel | ❌ Variable | ❌ Non | ⚠️ Partielle |
Pour approfondir votre comparaison, consultez notre comparatif Serenis, Moka Care et Livi pour la thérapie en ligne en France.
Quels signes indiquent qu’une plateforme n’est pas fiable ?
Plusieurs indicateurs doivent éveiller votre vigilance :
- Absence de mention HDS dans les CGU ou la politique de confidentialité
- Serveurs hors UE sans justification (notamment aux États-Unis soumis au Cloud Act)
- Pas de DPO (Délégué à la Protection des Données) identifiable et joignable
- Consentement vague pour le traitement des données de santé
- Application mobile demandant des accès inutiles (microphone en permanence, contacts, géolocalisation)
- Absence de politique de conservation des données précise
En 2026, un test simple : recherchez le nom de la plateforme + “RGPD” ou “politique de confidentialité”. Si le document fait moins de 3 pages ou ne mentionne pas explicitement les données de santé, fuyez.
Votre connexion internet est-elle aussi un facteur de sécurité ?
Oui, et c’est souvent négligé. Même si la plateforme est parfaitement sécurisée, une connexion non protégée peut créer des vulnérabilités.
Bonnes pratiques côté patient :
- Évitez les Wi-Fi publics (café, hôpital, bibliothèque) pour vos séances
- Utilisez votre connexion personnelle ou un réseau mobile 4G/5G
- Un VPN de qualité ajoute une couche de protection supplémentaire
- Fermez les autres onglets et applications pendant la séance
- Consultez dans un espace privé — la confidentialité physique est aussi importante que numérique
Quid des enregistrements et des notes de séance ?
C’est une question cruciale que peu de patients pensent à poser. En règle générale :
- Les séances ne sont pas enregistrées par les plateformes sérieuses, sauf consentement explicite et documenté
- Les notes cliniques du thérapeute sont protégées au même titre que les données de santé
- La durée de conservation est encadrée : 10 ans après la fin du suivi pour les adultes, 10 ans après la majorité pour les mineurs
- Vous pouvez demander à voir vos notes de séance (droit d’accès RGPD)
Certaines plateformes proposent un espace patient sécurisé où vous pouvez consulter vos ordonnances (si psychiatre), comptes-rendus et historique de consultation. Cet espace doit être protégé par authentification forte (double facteur recommandé).
La thérapie en ligne est-elle plus ou moins confidentielle qu’en cabinet ?
La réponse honnête : ni plus, ni moins, mais différemment.
En cabinet, les risques sont physiques : quelqu’un pourrait vous voir entrer/sortir, entendre une conversation à travers une cloison fine. En ligne, les risques sont numériques : piratage, fuite de données, infrastructure insuffisante.
Les deux environnements offrent une confidentialité solide si les bonnes pratiques sont respectées. L’avantage de la téléconsultation : vous choisissez votre environnement physique, ce qui peut parfois être plus intime que la salle d’attente d’un cabinet.
Pour les personnes souffrant de phobie sociale ou de stress post-traumatique, consulter depuis chez soi peut réduire l’anxiété liée à l’exposition sociale et faciliter l’ouverture lors des séances.
Comment vérifier concrètement qu’une plateforme respecte vos données ?
Voici une checklist pratique avant de vous inscrire :
Documents à consulter obligatoirement :
- Politique de confidentialité (chercher “données de santé”, “HDS”, “durée de conservation”)
- Conditions Générales d’Utilisation (chercher les clauses sur le partage de données tiers)
- Mentions légales (identifier le DPO et ses coordonnées)
Questions à poser au support avant toute inscription :
- Vos données sont-elles hébergées sur un serveur certifié HDS en Europe ?
- Les séances sont-elles enregistrées ? Si oui, par qui, pendant combien de temps ?
- Comment exercer mon droit à l’effacement une fois le suivi terminé ?
Vérifications techniques :
- L’URL du site commence-t-elle par HTTPS (cadenas dans le navigateur) ?
- L’application mobile demande-t-elle uniquement les permissions nécessaires (caméra, micro) ?
Pour aller plus loin sur le choix d’une plateforme, notre guide comment choisir sa plateforme de téléconsultation psy en France vous accompagne étape par étape.
Cas pratiques : que se passe-t-il en cas de violation de données ?
Cas 1 — Fuite de données d’une application (2025) : Une plateforme européenne de santé mentale subit une cyberattaque. Elle est légalement tenue de notifier la CNIL dans les 72 heures et d’informer chaque utilisateur concerné. Défaut de notification = amende pouvant atteindre 4 % du CA annuel mondial.
Cas 2 — Demande d’un employeur : Votre employeur vous demande un certificat médical prouvant que vous suivez une thérapie. Votre thérapeute ne peut en aucun cas fournir ce document sans votre accord. Et même avec votre accord, seul un certificat d’aptitude (par un médecin du travail) a une valeur légale dans ce contexte.
Cas 3 — Séparation, procédure judiciaire : Un juge pourrait-il accéder aux notes de séance ? En pratique, le secret médical prime dans la quasi-totalité des cas civils. Seul un juge d’instruction dans le cadre d’une procédure pénale grave peut lever partiellement ce secret, et uniquement auprès du médecin lui-même.
Que vous consultiez pour de l’anxiété liée au sommeil ou pour des troubles alimentaires, ces protections s’appliquent de la même façon.
Questions fréquentes
Mes séances psy en ligne peuvent-elles être enregistrées à mon insu ?
Non, sur une plateforme conforme au RGPD et au droit français. Tout enregistrement nécessite votre consentement explicite et préalable. Si une plateforme enregistre sans consentement, elle commet une infraction pénale (article 226-1 du Code pénal) passible de un an d’emprisonnement et 45 000 € d’amende. Vérifiez toujours les CGU pour confirmer l’absence d’enregistrement par défaut.
Est-ce que ma mutuelle peut savoir que je consulte un psy en ligne ?
Votre mutuelle peut savoir que vous avez effectué une téléconsultation si elle prend en charge le remboursement et que vous soumettez la facture. En revanche, elle n’a pas accès au contenu des séances, ni au diagnostic. La mention sur la feuille de soins indique généralement “consultation psychologue” sans précision thérapeutique.
Puis-je consulter en ligne depuis l’étranger en restant protégé par le RGPD ?
Si la plateforme est française ou européenne, le RGPD s’applique indépendamment de votre localisation géographique au moment de la séance. En revanche, si vous utilisez une plateforme américaine (BetterHelp, Talkspace) depuis la France, la protection est moins solide : ces services sont soumis au droit américain, moins protecteur sur les données de santé.
Que faire si je suspecte que mes données ont été compromises ?
Contactez d’abord le DPO de la plateforme par email. Si vous n’obtenez pas de réponse satisfaisante sous 30 jours, déposez une plainte auprès de la CNIL (formulaire en ligne sur cnil.fr). Vous pouvez aussi vous faire accompagner par une association de défense des droits numériques comme La Quadrature du Net.
Les échanges par messagerie texte avec mon thérapeute sont-ils aussi protégés que la vidéo ?
Oui, si la messagerie est intégrée à la plateforme certifiée HDS. En revanche, si votre thérapeute communique avec vous par SMS classique, email standard ou WhatsApp, ces canaux ne sont pas adaptés aux données de santé. Un professionnel sérieux utilisera uniquement les outils sécurisés de la plateforme pour tout échange lié au suivi thérapeutique.