Réponse courte. Pour un site de santé suisse, commencez par cartographier les données, réduire le formulaire au strict nécessaire et empêcher le chargement automatique des outils tiers non indispensables. Expliquez qui traite quoi, pourquoi, pendant combien de temps et avec quels fournisseurs. HTTPS et une bannière ne suffisent pas. La conformité dépend du contexte et doit être validée par le responsable avec ses conseils compétents.
Le site vitrine n’est pas un dossier patient
La LPD révisée est entrée en vigueur le 1er septembre 2023. Elle encadre le traitement de données personnelles et reconnaît notamment les données sur la santé comme sensibles. Un site public de cabinet peut rester un outil d’information et d’orientation : il n’a pas besoin de collecter une histoire clinique pour transmettre une demande de contact.
Cartographiez chaque flux avant de rédiger la politique de confidentialité. Pour chaque champ ou script, notez la finalité, les destinataires, le lieu de traitement, la durée, l’accès et la suppression. Cette carte doit refléter le fonctionnement réel, pas un modèle générique.
| Flux | Question à documenter | Mesure de réduction |
|---|---|---|
| Formulaire | Qui reçoit et conserve le message ? | Supprimer les champs libres ou sensibles non nécessaires |
| Agenda | Quelles données partent au fournisseur ? | Préférer un lien annoncé et les types de rendez-vous minimaux |
| Analytics | Quel objectif justifie la mesure ? | Limiter les événements et la durée, charger après le choix requis |
| Carte ou vidéo | Le tiers reçoit-il des données à l’ouverture ? | Utiliser une image locale et charger le service à la demande |
| Hébergement | Où sont les journaux, sauvegardes et emails ? | Limiter les accès et les rétentions |
Un formulaire de contact, pas une consultation
Nom, email ou téléphone, objet et message peuvent déjà être excessifs selon la finalité. Demandez seulement ce qui permet au cabinet de répondre. Affichez une consigne visible : ne pas transmettre de données médicales et utiliser le canal prévu en cas d’urgence.
Le message libre augmente le risque de recevoir une information sensible. S’il est nécessaire, expliquez son usage et organisez le traitement interne : destinataires autorisés, transfert vers le bon système, suppression de la boîte générale, absence de réponse clinique par un canal inadéquat.
- Ne préremplissez pas une demande médicale détaillée.
- N’exigez pas la date de naissance, le numéro d’assuré ou un document sans nécessité établie.
- Utilisez une confirmation qui n’expose pas le message complet.
- Testez les erreurs sans recopier les données dans des outils de suivi.
- Protégez le formulaire contre les abus avec une solution proportionnée et documentée.
Cookies, analytics, polices et widgets : partir de l’inventaire
Le PFPDT a publié un guide consacré aux cookies et technologies similaires. Il distingue les traitements selon leur nécessité et leurs effets, et insiste sur une information claire ainsi que sur la possibilité d’un véritable choix lorsque celui-ci est requis. Une bannière avec un grand bouton « Accepter » et un refus caché ne règle pas le fond.
Inventoriez le HTML, le gestionnaire de balises et les appels réseau. Les ressources parfois oubliées — police distante, vidéo, chat, carte, anti-spam, agenda, pixels publicitaires — peuvent contacter un tiers avant interaction. Supprimer un service inutile est plus robuste que l’ajouter à une longue liste.
Pour la mesure d’audience, définissez d’abord les décisions attendues : savoir si le téléphone est trouvé, si le rendez-vous est cliqué ou si une page répond à une recherche. Collecter davantage « au cas où » augmente la dette de gouvernance.
« Hébergé en Suisse » n’est pas une analyse complète
La localisation de l’hébergement est un élément, mais elle ne décrit pas les emails, sauvegardes, journaux, CDN, outils de support et sous-traitants. Demandez une liste des fournisseurs, des régions, des accès et des mécanismes de sortie. Un site peut être servi depuis la Suisse tout en envoyant des données à plusieurs services étrangers.
Contrôlez les comptes administrateurs, activez une authentification adaptée, supprimez les utilisateurs partis et documentez les sauvegardes. Les données de production ne doivent pas être copiées dans un environnement de test sans nécessité et protection correspondante.
La politique publique traduit ensuite la carte réelle. Elle doit rester compréhensible : responsable, finalités, catégories de destinataires, droits, contact et informations pertinentes sur les transferts. Évitez « 100 % conforme LPD/RGPD » : une page ne peut pas garantir tous les traitements d’une organisation.
Checklist de lancement et de revue
- Nommer le responsable de la cartographie et de la validation.
- Recenser chaque formulaire, script, cookie, stockage et fournisseur.
- Supprimer les champs et services sans finalité nécessaire.
- Définir les accès, durées, suppressions et procédures d’incident.
- Configurer le choix de consentement de façon symétrique si requis.
- Tester refus, acceptation, retrait et navigation sans JavaScript tiers.
- Faire relire la politique et les contrats dans le contexte réel.
- Rejouer l’inventaire après chaque nouvelle intégration.
Pour le cas particulier d’un agenda, consultez l’intégration d’une prise de rendez-vous en ligne. Notre service de création de site médical limite par défaut la collecte et documente les tiers, sans remplacer une validation juridique.
Sources primaires et limites
- Fedlex — Loi fédérale sur la protection des données.
- PFPDT — Bases légales de la protection des données.
- PFPDT — Guide sur les cookies et technologies similaires, version 1.1 (PDF).
Cette synthèse n’est pas un avis juridique. La LPD, les règles sectorielles, les contrats et les éventuels traitements à l’étranger doivent être examinés dans le contexte de l’organisation.