Quels sont les risques d'utiliser un logiciel non certifié HDS pour un psychologue ?

Les sanctions potentielles incluent : amende CNIL jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, signalement à l'ordre professionnel, action en responsabilité civile en cas de violation de données. Au-delà des sanctions, une violation de données (fuite, vol, accès non autorisé) porte atteinte à la confidentialité des patients, qui est le fondement éthique de la pratique psychologique.

Google Drive ou Dropbox peuvent-ils être utilisés pour stocker des données patients ?

Non. Google Drive et Dropbox ne sont pas certifiés HDS en France. Leurs serveurs sont localisés hors de France, soumis au droit américain (Cloud Act). Stocker des données patients de psychologie sur ces services est illégal au regard du RGPD et de l'article L.1111-8 du CSP.

Guide pratique — Mars 2026

Logiciel HDS et données de santé : ce que les psychologues doivent savoir

Q: Qu'est-ce que la certification HDS et pourquoi est-elle obligatoire ?

La certification HDS (Hébergeur de Données de Santé) est une certification délivrée par des organismes accrédités et encadrée par l'article L.1111-8 du Code de la santé publique. Elle impose à tout hébergeur de données de santé à caractère personnel de disposer d'une certification démontrant la sécurité et la conformité de ses infrastructures. Pour les psychologues, utiliser un logiciel dont l'hébergeur est certifié HDS est une obligation légale.

Q: Les données de psychologie sont-elles vraiment des données de santé au sens légal ?

Oui. Les données consignées par un psychologue — notes de séance, évaluations cliniques, comptes rendus, hypothèses diagnostiques — sont des données relatives à la santé mentale d'une personne. Elles constituent des données de santé au sens de l'article 9 du RGPD et de l'article L.1111-8 du Code de la santé publique, soumises aux obligations renforcées de traitement et d'hébergement.

Certification HDS, obligations légales, risques d'un logiciel non conforme, sanctions CNIL — le guide complet pour comprendre et respecter la réglementation sur les données patients en psychologie.

La question de la conformité des outils numériques est l'une des plus importantes et des moins bien comprises par les psychologues libéraux. Utiliser le mauvais logiciel pour stocker des données patients n'est pas seulement une question de bonne pratique professionnelle : c'est une obligation légale dont le non-respect expose à des sanctions sévères. Ce guide explique les fondements de la réglementation HDS et ses implications concrètes pour le cabinet libéral.

Qu'est-ce que la certification HDS ?

HDS signifie « Hébergeur de Données de Santé ». C'est une certification française encadrée par l'article L.1111-8 du Code de la santé publique, délivrée par des organismes de certification accrédités (comme Bureau Veritas ou BSI). Cette certification atteste que l'hébergeur respecte un référentiel de sécurité exigeant, adapté aux spécificités des données de santé : sécurité physique des datacenters, chiffrement des données, contrôle des accès, plans de continuité d'activité, audits réguliers.

La certification HDS comporte deux niveaux :

Niveau 1 (infrastructure) : hébergement physique (datacenters), gestion des serveurs
Niveau 2 (hébergeur managé) : plateforme logicielle, édition du logiciel

Un éditeur de logiciel santé doit être certifié HDS niveau 2 et s'appuyer sur un prestataire d'infrastructure certifié niveau 1. En France, les principaux prestataires certifiés HDS niveau 1 sont : AWS eu-west-3 (Paris), OVHcloud HDS, Microsoft Azure France Central, et quelques opérateurs français spécialisés.

Pourquoi les données de psychologie sont-elles concernées ?

Une confusion fréquente consiste à croire que les obligations HDS ne s'appliquent qu'aux médecins, aux hôpitaux ou aux pharmaciens. Cette confusion est dangereuse. L'article L.1111-8 du Code de la santé publique s'applique à tout hébergement de données de santé à caractère personnel, indépendamment de la profession de celui qui les collecte.

Les notes de séance d'un psychologue contiennent des données relatives à la santé mentale d'une personne identifiée. Ces données sont explicitement listées comme données de santé au sens de l'article 9 du RGPD et de l'article L.1111-8. Elles ne peuvent légalement être hébergées en ligne que sur une infrastructure certifiée HDS.

Ce qui est concerné concrètement

Notes de séance (contenu des entretiens, thèmes abordés)
Évaluations et hypothèses diagnostiques
Comptes rendus de bilan neuropsychologique
Résumés de suivi thérapeutique
Données de suivi de l'humeur et questionnaires standardisés
Journal du patient (même si rédigé par le patient lui-même)
Messages sécurisés praticien-patient sur des sujets cliniques

Ce qui n'est pas nécessairement concerné (à la marge) : l'agenda seul avec des codes anonymisés, les données comptables sans lien avec l'identité des patients.

Les risques d'un logiciel non certifié HDS

Les sanctions CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de violation du RGPD liée à un hébergement non conforme. Pour un psychologue libéral, une sanction de 10 000 à 50 000 euros est envisageable en cas de contrôle avec manquement caractérisé.

La responsabilité civile

En cas de violation de données (piratage, fuite, accès non autorisé), le praticien ayant utilisé un logiciel non conforme engage sa responsabilité civile envers les patients dont les données ont été compromises. Les patients peuvent obtenir des dommages et intérêts devant les juridictions civiles.

La responsabilité déontologique

Le Code de déontologie des psychologues impose le respect de la confidentialité. Utiliser sciemment un logiciel non conforme pour héberger des données sensibles constitue un manquement déontologique pouvant entraîner des sanctions de l'ordre professionnel.

Comment vérifier si un logiciel est conforme HDS

Avant de souscrire à un logiciel de gestion de cabinet, posez les questions suivantes à l'éditeur :

Votre logiciel est-il hébergé par un prestataire certifié HDS niveau 1 ?
Votre entreprise est-elle certifiée HDS niveau 2 comme hébergeur managé ?
Les données sont-elles hébergées exclusivement en France ou dans l'UE ?
Disposez-vous d'un DPA (Data Processing Agreement) RGPD signable ?
Comment sont chiffrées les données au repos et en transit ?

Un éditeur sérieux doit pouvoir répondre précisément à chacune de ces questions et vous fournir les documents de conformité correspondants.

PsyLib : certifié HDS, hébergé en France

PsyLib est hébergé sur infrastructure certifiée HDS en France (AWS eu-west-3 Paris pour le compute et la base de données, OVHcloud HDS pour l'authentification et les backups). Les données cliniques sont chiffrées en AES-256-GCM au niveau applicatif. L'assistant IA ne traite jamais de données identifiantes sans consentement explicite du patient. Un DPA RGPD est disponible sur demande.

Essayez PsyLib gratuitement pendant 14 jours

Hébergement certifié HDS en France, chiffrement AES-256-GCM, conformité RGPD intégrée. Sans carte bancaire.

Commencer l'essai gratuit

Questions fréquentes

Qu'est-ce que la certification HDS et pourquoi est-elle obligatoire ?

HDS est une certification encadrée par l'article L.1111-8 du CSP. Elle est obligatoire pour tout hébergeur de données de santé en ligne. Pour les psychologues, utiliser un logiciel dont l'hébergeur est certifié HDS est une obligation légale.

Quels risques encourt un psychologue utilisant un logiciel non certifié HDS ?

Amende CNIL jusqu'à 20 millions d'euros, responsabilité civile envers les patients en cas de violation de données, sanctions déontologiques. Ces risques sont réels et documentés.

Les données de psychologie sont-elles vraiment des données de santé ?

Oui. Les notes de séance, évaluations, bilans et hypothèses diagnostiques d'un psychologue sont des données de santé mentale au sens du RGPD (art. 9) et du Code de la santé publique (art. L.1111-8).

Google Drive ou Dropbox peuvent-ils être utilisés pour les données patients ?

Non. Ces services ne sont pas certifiés HDS. Leurs serveurs sont soumis au droit américain (Cloud Act). Leur utilisation pour stocker des données patients est illégale.

Comment PsyLib garantit-il la conformité HDS ?

PsyLib est hébergé sur AWS eu-west-3 Paris (certifié HDS) et OVHcloud HDS. Les données sont chiffrées en AES-256-GCM au niveau applicatif. Un DPA RGPD est disponible. L'IA ne traite jamais de données identifiantes sans consentement.