Transcription Thérapeutique par IA en Suisse (2026) : Checklist de Conformité LPD pour Thérapeutes
Une checklist pratique de conformité LPD pour les thérapeutes en Suisse adoptant la transcription par IA en 2026. Consentement, hébergement des données, contrôle d'accès, durées de conservation et exigences d'AIPD.
Écrit par
Équipe Dya Clinical
Experts en Documentation Clinique
De plus en plus de thérapeutes en Suisse adoptent la transcription par IA pour réduire le temps consacré à la documentation et rester pleinement présents avec leurs patients. Mais dans un pays où les données de santé bénéficient de protections juridiques strictes, « activer un outil » ne suffit pas. La Loi fédérale sur la protection des données (LPD) — en vigueur depuis septembre 2023 et activement appliquée — classe les informations de santé comme des données personnelles sensibles, ce qui implique des seuils de consentement plus élevés, des analyses d'impact obligatoires et des sanctions significatives en cas de non-conformité (jusqu'à 250 000 CHF).
Cet article propose une checklist pratique, étape par étape, pour les thérapeutes et responsables de cabinet qui souhaitent déployer la transcription par IA en Suisse tout en respectant pleinement la LPD en 2026.
Pourquoi une Conformité Spécifique à la Suisse Est Essentielle
La LPD n'est pas une copie du RGPD. Bien qu'elle partage des principes fondamentaux — limitation de la finalité, minimisation des données, transparence — plusieurs différences affectent directement la mise en place de la transcription par IA :
- Les données sensibles exigent un consentement explicite. En vertu des articles 6(6) et 6(7) LPD, le traitement de données de santé requiert un consentement exprès, éclairé et librement donné. Un consentement implicite ou des cases pré-cochées ne sont pas valides.
- Le traitement automatisé implique des obligations d'information. L'article 21 LPD exige d'informer les patients lorsqu'une décision repose exclusivement sur un traitement automatisé et produit un effet significatif sur eux.
- Les amendes visent les personnes physiques, pas uniquement les organisations. Contrairement au RGPD, les sanctions LPD peuvent être infligées à la personne physique responsable — c'est-à-dire le ou la thérapeute ou le directeur du cabinet, et pas seulement l'entité juridique.
- Le PFPDT a confirmé que la LPD s'applique à l'IA. En mai 2025, le Préposé fédéral à la protection des données et à la transparence a explicitement déclaré que la LPD, technologiquement neutre, couvre tous les traitements de données basés sur l'IA, y compris la transcription.
Avec la signature par la Suisse de la Convention-cadre du Conseil de l'Europe sur l'IA en mars 2025, et un projet de loi sur l'IA attendu en consultation d'ici fin 2026, les exigences réglementaires ne feront qu'augmenter.
La Checklist de Conformité LPD 2026
Utilisez la checklist suivante pour évaluer et configurer votre flux de travail de transcription par IA. Chaque point correspond à une exigence spécifique de la LPD.
1. Consentement du Patient
Base LPD : Articles 6, 7, 8, 19
Avant d'enregistrer toute séance, vous devez disposer d'un consentement documenté et explicite. Voici ce que signifie « explicite » en droit suisse :
- Formulaire de consentement séparé. N'intégrez pas le consentement à la transcription dans un accord de soin général. Créez un document distinct ou une section clairement identifiée.
- Langage clair. Décrivez le processus dans des termes que le patient comprend — évitez le jargon juridique.
- Finalité spécifique. Indiquez précisément ce que fait l'outil IA : « Cet outil enregistre notre entretien et génère un résumé écrit pour la documentation de votre suivi thérapeutique. »
- Consentement actif. Utilisez une case à cocher ou une signature — pas une case pré-cochée, ni le silence, ni « la poursuite de la séance vaut consentement ».
- Droit de refuser sans conséquence. Précisez que le refus de la transcription par IA n'affecte en rien la qualité de la prise en charge thérapeutique.
- Mécanisme de retrait. Expliquez comment le patient peut révoquer son consentement à tout moment et ce qu'il advient des données déjà traitées.
Exemple de formulation de consentement :
Je consens à l'enregistrement audio de cette séance à l'aide d'un outil
de transcription par intelligence artificielle. L'enregistrement sera
traité pour générer des notes cliniques écrites pour mon dossier
thérapeutique.
Je comprends que :
- L'enregistrement est traité sur des serveurs situés en Suisse
- Aucun audio ni texte n'est utilisé pour entraîner des modèles d'IA
- Je peux retirer ce consentement à tout moment en informant
mon ou ma thérapeute
- Le retrait de mon consentement n'affecte pas mon droit à recevoir
un traitement thérapeutique
- Mes données seront conservées conformément à la politique de
conservation du cabinet (voir détails ci-dessous)
☐ J'accepte ☐ Je n'accepte pas
Signature : _______________ Date : _______________
2. Hébergement et Localisation des Données
Base LPD : Articles 16, 17 (transferts transfrontaliers)
Le lieu de stockage et de traitement de vos données est une décision de conformité déterminante.
- Privilégiez une infrastructure hébergée en Suisse. La LPD n'autorise les transferts transfrontaliers que vers des pays offrant un niveau de protection adéquat (déterminé par le Conseil fédéral) ou moyennant des garanties appropriées. Utiliser des serveurs basés en Suisse évite entièrement cette complexité.
- Vérifiez la résidence des données de votre fournisseur. Confirmez par écrit que les fichiers audio et les transcriptions sont traités et stockés en Suisse. Certains fournisseurs acheminent les données via des hébergeurs cloud aux États-Unis ou dans l'UE tout en se présentant comme « suisses ».
- Aucune utilisation pour l'entraînement. Assurez-vous que les conditions générales du fournisseur stipulent explicitement que les enregistrements et transcriptions de patients ne sont pas utilisés pour entraîner ou améliorer des modèles d'IA.
- Chiffrement au repos et en transit. Les données doivent être chiffrées avec des protocoles conformes aux normes de l'industrie (AES-256 pour le stockage, TLS 1.3 pour la transmission au minimum).
- Localisation des sauvegardes. Si des sauvegardes existent, elles doivent également résider en Suisse ou dans une juridiction offrant un niveau de protection adéquat, avec les mêmes contrôles d'accès que le stockage principal.
Questions à poser à votre fournisseur :
| Question | Réponse attendue |
|---|---|
| Où sont traités les fichiers audio ? | Serveurs basés en Suisse |
| Où sont stockées les transcriptions ? | Serveurs basés en Suisse |
| Les données des patients sont-elles utilisées pour l'entraînement de modèles ? | Non |
| Quelles normes de chiffrement utilisez-vous ? | AES-256 au repos, TLS 1.3 en transit |
| Pouvez-vous fournir un contrat de sous-traitance des données (CST) ? | Oui, conforme à la LPD |
| Faites-vous appel à des sous-traitants hors de Suisse ? | Non, ou avec des garanties adéquates |
3. Contrôle d'Accès
Base LPD : Articles 7, 8 (obligations de sécurité des données)
Limiter l'accès aux transcriptions des patients est à la fois une obligation légale et une mesure de protection concrète.
- Accès basé sur les rôles. Seul le ou la thérapeute traitant(e) et le personnel clinique autorisé doivent accéder aux transcriptions d'un patient. Mettez en place un contrôle d'accès basé sur les rôles (RBAC) dans votre système.
- Comptes individuels. Les identifiants partagés rendent impossible l'audit des accès. Chaque membre de l'équipe doit disposer de ses propres identifiants.
- Authentification multifacteur (MFA). Exigez la MFA pour tout système stockant des données de santé. C'est une pratique standard, de plus en plus attendue par les autorités suisses.
- Journalisation des accès. Enregistrez chaque accès aux transcriptions de patients — qui a consulté ou modifié quoi, et quand. Selon l'Ordonnance sur le dossier électronique du patient (ODEP), les journaux d'accès doivent être conservés pendant 10 ans.
- Gestion des appareils. Définissez quels appareils peuvent accéder aux données de transcription. Les téléphones personnels sans chiffrement ni politique de verrouillage d'écran représentent un risque.
- Accès administrateur du fournisseur. Clarifiez si le fournisseur de l'outil IA peut accéder aux données de vos patients à des fins de support ou de débogage, et dans quelles conditions.
Matrice minimale de contrôle d'accès :
| Rôle | Enregistrer la séance | Consulter la transcription | Modifier la transcription | Supprimer la transcription | Gérer les utilisateurs |
|---|---|---|---|---|---|
| Thérapeute traitant(e) | Oui | Oui | Oui | Non | Non |
| Superviseur(e) clinique | Non | Oui (ses patients) | Non | Non | Non |
| Administrateur(trice) du cabinet | Non | Non | Non | Non | Oui |
| Administrateur(trice) informatique | Non | Non | Non | Non | Oui |
4. Conservation et Suppression des Données
Base LPD : Article 6 (proportionnalité, limitation de la finalité)
Le droit suisse exige de ne conserver les données que tant qu'elles répondent à une finalité documentée — mais impose également des durées minimales de conservation pour les dossiers thérapeutiques.
- Enregistrements audio : suppression rapide. Une fois la transcription générée et validée par le ou la thérapeute, supprimez l'enregistrement audio original. Il existe rarement de base légale pour conserver des enregistrements bruts à long terme.
- Transcriptions dans le dossier patient : conservation de 20 ans. En vertu des lois cantonales sur la santé et du Code des obligations (délai de prescription en matière de lésions corporelles), les dossiers de patients — y compris les transcriptions faisant partie du dossier clinique — doivent être conservés 20 ans à compter de la dernière inscription.
- Journaux d'accès : conservation de 10 ans. Conformément à l'Ordonnance sur le dossier électronique du patient, les journaux d'accès doivent être conservés 10 ans et ne peuvent être supprimés durant cette période.
- Suppression post-conservation. À l'expiration de la durée de conservation, les données doivent être supprimées, sauf si le patient consent explicitement à une conservation prolongée.
- Documentez votre politique. Rédigez un calendrier de conservation couvrant les fichiers audio, le texte des transcriptions, les métadonnées et les journaux d'accès. Mettez-le à disposition des patients sur demande.
Calendrier de conservation recommandé :
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Enregistrement audio brut | Suppression après validation de la transcription (max 48 h) | Principe de minimisation des données |
| Transcription (dans le dossier patient) | 20 ans à compter de la dernière inscription | Lois cantonales sur la santé, CO art. 128a |
| Métadonnées de séance (date, durée) | 20 ans (partie du dossier patient) | Lois cantonales sur la santé |
| Journaux d'accès/audit | 10 ans | ODEP art. 10 |
| Documents de consentement | Durée du traitement + 20 ans | LPD art. 6 + exigence probatoire |
5. Analyse d'Impact relative à la Protection des Données (AIPD)
Base LPD : Article 22
Une AIPD est obligatoire lorsque le traitement des données est susceptible d'engendrer un risque élevé pour les droits des personnes. La transcription par IA de séances thérapeutiques — impliquant des données de santé sensibles, une technologie nouvelle et des personnes potentiellement vulnérables — atteint clairement ce seuil.
Votre AIPD doit couvrir :
- Description du traitement. Quelles données sont collectées, comment sont-elles traitées et par qui ?
- Finalité et nécessité. Pourquoi la transcription par IA est-elle nécessaire, et est-elle proportionnée ?
- Évaluation des risques. Quels sont les risques de fuite de données, de transcription inexacte, d'accès non autorisé ou de ré-identification ?
- Mesures d'atténuation. Comment le chiffrement, les contrôles d'accès, le consentement et les contrats avec les fournisseurs réduisent-ils chaque risque ?
- Évaluation du risque résiduel. Après les mesures d'atténuation, un risque élevé subsiste-t-il ? Si oui, vous devez consulter le PFPDT avant de poursuivre.
Ressources pour les AIPD suisses :
- La fiche d'information du PFPDT sur les AIPD : publiée sur edoeb.admin.ch
- Le modèle d'AIPD de la VUD (Association pour la protection des données en entreprise) : disponible sur vud.ch/dpia, avec un outil de remplissage assisté par IA
Si vous exercez en cabinet individuel, une AIPD peut sembler disproportionnée — mais la LPD n'exempte pas les praticiens indépendants de cette obligation lorsqu'ils traitent des données sensibles à grande échelle avec des outils d'IA.
6. Transparence et Information du Patient
Base LPD : Articles 19, 20, 21
Au-delà du consentement, vous avez des obligations continues d'informer les patients sur le traitement de leurs données.
- Déclaration de confidentialité. Mettez à jour la politique de confidentialité de votre cabinet pour mentionner la transcription par IA, y compris le nom du fournisseur, le lieu de traitement et les flux de données.
- Information sur le traitement automatisé. Si l'outil d'IA prend des décisions ayant un effet sur le patient (par exemple, le signalement d'indicateurs de risque clinique), vous devez le divulguer et offrir au patient le droit de demander un réexamen par un être humain.
- Droit d'accès. Les patients peuvent demander une copie de leurs transcriptions à tout moment. Vous devez répondre dans un délai de 30 jours.
- Droit de rectification. Si une transcription contient des erreurs, le patient peut en demander la correction.
- Affichage ou information verbale. Envisagez de placer un avis dans votre salle de consultation : « Ce cabinet utilise un outil d'IA pour aider à la documentation des séances. Les détails sont disponibles dans notre politique de confidentialité. »
7. Diligence Raisonnable envers le Fournisseur
Base LPD : Article 9 (traitement de données par des tiers)
Lorsque vous utilisez un service de transcription par IA tiers, vous restez le responsable du traitement. Le fournisseur est votre sous-traitant — et vous êtes responsable de sa conformité.
- Contrat de sous-traitance des données (CST). Concluez un CST écrit avec votre fournisseur précisant le périmètre du traitement, les mesures de sécurité, les sous-traitants ultérieurs, les obligations de notification en cas de violation et les conditions de restitution/suppression des données.
- Certifications de sécurité. Recherchez les certifications ISO 27001 ou ISO 13485 (dispositif médical), les rapports SOC 2 ou des audits équivalents.
- Transparence sur les sous-traitants. Vérifiez si le fournisseur sous-traite le traitement à d'autres sociétés et où ces sous-traitants sont localisés.
- Clause de notification de violation. Le fournisseur doit vous notifier rapidement toute violation de données afin que vous puissiez évaluer s'il convient de la signaler au PFPDT (obligatoire lorsqu'une violation présente un risque élevé pour les droits des personnes).
- Stratégie de sortie. Assurez-vous de pouvoir exporter et supprimer toutes vos données si vous changez de fournisseur.
Tableau Récapitulatif
| Domaine | Exigence clé | Article LPD |
|---|---|---|
| Consentement | Explicite, éclairé, spécifique, librement donné | Art. 6(7) |
| Hébergement | Suisse de préférence ; chiffrement obligatoire | Art. 7, 16 |
| Contrôle d'accès | Basé sur les rôles, audité, protégé par MFA | Art. 7, 8 |
| Conservation | Audio : suppression rapide ; dossiers : 20 ans | Art. 6 + droit cantonal |
| AIPD | Obligatoire pour IA + données de santé sensibles | Art. 22 |
| Transparence | Déclaration de confidentialité, information sur le traitement automatisé | Art. 19, 20, 21 |
| Fournisseur | CST écrit, audit de sécurité, liste des sous-traitants | Art. 9 |
Ce Qui Arrive Prochainement
Le paysage réglementaire suisse évolue. Voici les développements à suivre en 2026 et au-delà :
- Projet de loi sur l'IA (attendu fin 2026). Le Conseil fédéral a chargé le DFJP de rédiger une législation mettant en œuvre la Convention du Conseil de l'Europe sur l'IA. Celle-ci pourrait introduire des obligations de transparence élargies, des exigences de gestion des risques et des règles sectorielles pour l'IA dans le domaine de la santé.
- Stratégie IA/ML de Swissmedic. L'autorité suisse de régulation des produits thérapeutiques accroît sa propre utilisation de l'IA et pourrait publier des directives sur les outils de documentation assistés par IA.
- Nouveaux délais d'enregistrement des dispositifs. Les obligations d'enregistrement UDI entrent en vigueur le 1er juillet 2026 — pertinent si votre outil de transcription par IA est qualifié de dispositif médical.
La meilleure préparation est de construire des bases conformes dès maintenant. Les cabinets qui respectent déjà les exigences de la LPD s'adapteront bien plus facilement aux nouvelles règles que ceux qui devront rattraper leur retard.
Sources
Cet article s'appuie sur les références officielles et spécialisées suivantes :
- PFPDT : IA et protection des données — Les orientations du Préposé fédéral à la protection des données et à la transparence confirmant que la LPD s'applique aux systèmes d'IA.
- PFPDT : La législation actuelle en matière de protection des données est directement applicable à l'IA — Mise à jour de mai 2025 sur l'applicabilité de la LPD à l'IA.
- PFPDT : Consultation, conservation et suppression de données de patients — Orientations officielles sur la conservation des dossiers thérapeutiques et les droits des patients.
- PFPDT : Fiche d'information sur l'analyse d'impact (PDF) — Exigences relatives à l'AIPD en vertu de l'article 22 LPD.
- VUD : Modèle d'analyse d'impact relative à la protection des données — Modèle suisse d'AIPD avec outil de remplissage assisté par IA.
- KMU Admin Suisse : Nouvelle loi fédérale sur la protection des données (nLPD) — Présentation de la LPD révisée par l'administration fédérale.
- Pestalozzi Attorneys : La Suisse trace sa voie en matière de législation sur l'IA — Analyse de l'approche réglementaire du Conseil fédéral en matière d'IA et du projet de loi attendu en 2026.
- Lenz & Staehelin : La Suisse dessine son approche réglementaire de l'IA — Analyse juridique de la stratégie de régulation sectorielle de l'IA en Suisse.
- ICLG : Lois et réglementations en santé numérique — Suisse — Aperçu de la conformité en santé numérique en Suisse, y compris les échéances pour les dispositifs médicaux.
- 360core : Durées de conservation légales en Suisse pour les dossiers médicaux — Référence pour les exigences de conservation de 20 ans en vertu des lois cantonales sur la santé.
Articles connexes :
- Guide complet de la transcription médicale par IA en 2025
- Modèle de compte rendu de séance pour thérapeutes : Structure, exemples et erreurs courantes
- Scribe IA vs Dictée vs Prise de notes manuelle : quelle est la meilleure option pour votre cabinet ?
Vous cherchez un outil de transcription par IA hébergé en Suisse et conforme à la LPD pour votre cabinet ? Essayez Dya Clinical gratuitement pendant 7 jours.
