Peut-on utiliser ChatGPT pour rédiger ses bilans orthophoniques ? Ce que disent le RGPD et le secret professionnel
Outils Numériques

Peut-on utiliser ChatGPT pour rédiger ses bilans orthophoniques ? Ce que disent le RGPD et le secret professionnel

Équipe OrthoVox3 juillet 202610 min de lecture
Partager

Réponse directe : non, vous ne pouvez pas coller dans ChatGPT grand public une anamnèse, des résultats de tests ou tout élément permettant d'identifier un patient. Ce serait très probablement une violation du RGPD (les données de santé sont interdites de traitement par principe, sauf exceptions encadrées) et une prise de risque au regard du secret professionnel pénalement sanctionné. En revanche, utiliser un assistant d'IA grand public pour des tâches sans aucune donnée patient — chercher des idées d'exercices, reformuler un paragraphe générique — reste possible avec quelques précautions. Et faire de l'IA en conformité sur de vrais bilans est faisable, mais à des conditions techniques précises que ChatGPT ne remplit pas.

Article mis à jour en juillet 2026.

Pourquoi vos données de bilan sont des données « sensibles » au sens du RGPD

Un bilan orthophonique contient l'identité d'un patient, son histoire développementale, ses pathologies, ses résultats chiffrés en écart-type (ET). Ce sont des données de santé, classées par l'article 9 du RGPD dans les catégories particulières de données : leur traitement est interdit par principe. Il ne redevient licite que dans des cas limitativement énumérés — notamment le traitement nécessaire aux fins de diagnostic ou de prise en charge sanitaire, effectué par un professionnel soumis au secret, avec des garanties appropriées.

Autrement dit : vous avez parfaitement le droit de traiter les données de vos patients pour les soigner. Mais dès que vous confiez ces données à un tiers (un logiciel, un service en ligne, une IA), ce tiers doit être encadré comme un sous-traitant au sens du RGPD (article 28) : contrat de sous-traitance (DPA), sécurité, localisation des données, finalités limitées — et c'est vous, en tant que responsable de traitement, qui devez vérifier qu'il présente des garanties suffisantes. Un service grand public qui réutilise vos données pour ses propres finalités, lui, agit en responsable de traitement autonome : vous perdez toute maîtrise.

C'est exactement là que ChatGPT grand public pose problème.

ChatGPT grand public : les quatre points de blocage

1. Vos conversations peuvent servir à entraîner les modèles

Sur les comptes personnels ChatGPT (Free, Plus, Pro), l'utilisation des conversations pour améliorer les modèles est activée par défaut, comme l'indique la documentation d'OpenAI. On peut désactiver cette option, mais une donnée déjà intégrée à un entraînement ne peut pas en être retirée rétroactivement. Un extrait d'anamnèse collé dans une conversation pourrait donc, en théorie, se retrouver mémorisé par un modèle. Seules les offres professionnelles (Business — ex-Team —, Enterprise, Edu) et l'API bénéficient par défaut d'une exclusion de l'entraînement — ce qui n'est pas l'usage « grand public » dont on parle ici.

2. Un traitement hors Union européenne, sans les garanties du secteur santé

OpenAI est une société américaine et le service grand public n'offre pas de garantie d'hébergement de vos conversations dans l'UE. Même lorsqu'un transfert transatlantique est juridiquement encadré, cela ne remplace pas les exigences spécifiques au secteur de la santé français. La CNIL recommande, dans ses questions-réponses sur l'IA générative, de ne pas soumettre de données personnelles — a fortiori sensibles — à des services d'IA grand public, et de réserver ces usages à des informations librement accessibles, en désactivant la réutilisation des données quand c'est possible.

3. Pas de certification HDS

En France, l'hébergement de données de santé recueillies à l'occasion d'activités de prévention, de diagnostic ou de soins exige un hébergeur certifié HDS (article L.1111-8 du Code de la santé publique). Cette certification, adossée à la norme ISO 27001 et délivrée par des organismes accrédités, est détaillée par l'Agence du Numérique en Santé. ChatGPT grand public n'est pas un service certifié HDS. Stocker des conversations contenant des données de santé de patients chez un prestataire non certifié vous place hors du cadre légal.

4. Pas de contrat de sous-traitance adapté à la santé

Sur un compte personnel, vous acceptez des conditions générales standard. Vous ne signez aucun DPA précisant les finalités, la durée de conservation, les sous-traitants ultérieurs ou les mesures de sécurité applicables à des données de patients. Or la CNIL rappelle que tout recours à un fournisseur d'IA traitant des données personnelles suppose un contrat de sous-traitance encadrant ces points.

Et le secret professionnel ?

Le RGPD n'est pas le seul cadre. L'orthophoniste est dépositaire d'informations à caractère secret, et l'article 226-13 du Code pénal punit la révélation d'une information à caractère secret par une personne qui en est dépositaire par état ou par profession d'un an d'emprisonnement et de 15 000 € d'amende.

Transmettre à un service tiers non habilité des informations couvertes par le secret — identité, pathologie, contexte familial d'un patient — sans cadre juridique adapté expose à ce risque. Peu importe qu'un humain lise ou non la conversation : c'est le fait de confier l'information à un tiers hors des conditions prévues qui pose difficulté.

Ce que disent la CNIL, la HAS et l'AI Act en 2026

Le sujet n'est plus une zone grise. Trois repères récents :

  • HAS, octobre 2025 : la Haute Autorité de Santé a publié « Premières clefs d'usage de l'IA générative en santé », à destination des professionnels du sanitaire et du médico-social. Elle y propose le cadre A.V.E.C. — Apprendre, Vérifier, Estimer, Communiquer — et insiste : chaque usage doit être « conscient, supervisé et raisonné », l'IA s'utilise avec le professionnel, jamais à sa place.
  • Guide HAS-CNIL, 2026 : les deux institutions ont soumis à consultation publique (février-avril 2026) un projet de guide commun sur le bon usage des systèmes d'IA en contexte de soins, qui distingue obligations légales et recommandations, et appelle à encadrer spécifiquement les IA génératives (sensibilisation des équipes, chartes d'usage). La version finale est attendue courant 2026.
  • AI Act : le règlement européen sur l'IA, en vigueur depuis août 2024, s'applique par paliers ; les obligations « haut risque », initialement prévues pour août 2026, sont en cours de report partiel à 2027. Mais l'AI Act ne remplace pas le RGPD : c'est bien ce dernier qui encadre dès aujourd'hui vos données patient.

ChatGPT grand public vs outil santé conforme : le comparatif

CritèreChatGPT grand public (Free/Plus)Outil IA santé conforme
Hébergement des donnéesHors UE, sans garantie de localisationUE, hébergeur certifié HDS
Réutilisation pour l'entraînementActivée par défaut (désactivable)Exclue contractuellement
Contrat de sous-traitance (DPA)CGU standard, pas de DPA santéDPA avec garanties RGPD adaptées
Données identifiantesEnvoyées telles quelles si vous les collezPseudonymisées avant tout envoi
Minimisation des donnéesÀ votre charge, sans filetIntégrée par conception
Secret professionnelRisque de divulgation à un tiers non habilitéDonnées identifiantes jamais transmises en clair
TraçabilitéHistorique de conversation personnelJournalisation et audit des requêtes IA

À quoi ressemblerait une utilisation conforme de l'IA pour vos bilans ?

La bonne nouvelle : rien n'interdit d'utiliser l'IA pour accélérer la rédaction des bilans. Mais le cadre impose quatre briques, cumulatives :

  1. Pseudonymisation avant envoi : nom, prénom, date de naissance et tout élément identifiant sont retirés ou remplacés sur votre poste, avant que le texte ne quitte votre ordinateur. L'IA ne travaille que sur des données pseudonymisées.
  2. Hébergement certifié HDS : les données qui doivent être stockées côté serveur le sont chez un hébergeur certifié, en France ou dans l'UE.
  3. Sous-traitant IA européen avec DPA : le fournisseur du modèle est établi dans l'UE (ou offre des garanties équivalentes contractualisées), s'engage à ne pas réutiliser vos données pour l'entraînement, et signe un contrat de sous-traitance.
  4. Minimisation : on n'envoie à l'IA que ce qui est strictement nécessaire à la tâche — pas le dossier complet du patient.

C'est cette architecture — pseudonymisation locale, hébergement HDS, IA Mistral hébergée à Paris, chiffrement zero-knowledge des données identifiantes — que nous avons retenue pour OrthoVox. Si le sujet vous intéresse, nous détaillons la démarche dans notre article sur l'intelligence artificielle en orthophonie.

Si vous utilisez quand même un LLM grand public : les règles d'hygiène

Pour des tâches sans aucune donnée patient, un assistant grand public reste un outil utile. Quelques bonnes pratiques, alignées sur les recommandations de la CNIL et de la HAS :

  • Jamais de donnée patient, même « anonymisée » à la main. Un prénom retiré ne suffit pas : âge précis + pathologie rare + ville peut réidentifier quelqu'un. En cas de doute, abstenez-vous.
  • Usages sûrs : brainstormer des idées d'exercices (phonologie, morphosyntaxe, langage écrit…), reformuler un courrier type, vulgariser une notion pour une plaquette, résumer un article scientifique public.
  • Désactivez l'entraînement dans les paramètres de confidentialité, et préférez les conversations temporaires.
  • Vérifiez tout contenu généré avant de l'utiliser : les modèles inventent avec aplomb des références et des normes. Le cadre A.V.E.C. de la HAS le rappelle : Vérifier est une étape, pas une option.
  • Ne reproduisez jamais d'items ou de consignes de tests propriétaires dans un prompt : droit d'auteur et fuite de matériel protégé.

Et si votre objectif est de gagner du temps sur la rédaction elle-même, des méthodes existent indépendamment de l'outil : nous en parlons dans rédiger un bilan orthophonique plus rapidement.

FAQ

Puis-je coller un bilan « anonymisé » à la main dans ChatGPT ?

C'est déconseillé. Une véritable anonymisation est difficile à atteindre : la combinaison âge + pathologie + contexte peut suffire à réidentifier un patient, surtout en zone peu dense. Le RGPD continue de s'appliquer à des données simplement pseudonymisées.

ChatGPT Business (ex-Team) ou Enterprise règle-t-il le problème ?

Partiellement seulement. Ces offres excluent contractuellement l'entraînement sur vos données, ce qui lève un point de blocage. Mais l'exigence d'hébergement certifié HDS pour des données de santé et la question du secret professionnel demeurent.

Ai-je le droit d'utiliser l'IA pour mes bilans, alors ?

Oui, si l'outil est conçu pour la santé : pseudonymisation avant envoi, hébergement HDS, sous-traitant UE avec DPA, minimisation des données. C'est l'usage de l'outil grand public avec des données patient qui pose problème, pas l'IA en soi.

Que risque concrètement une orthophoniste ?

Sur le plan pénal, la violation du secret professionnel est punie d'un an d'emprisonnement et de 15 000 € d'amende (article 226-13 du Code pénal). Sur le plan RGPD, la CNIL peut prononcer rappels à l'ordre, injonctions et amendes administratives. Au-delà des sanctions, c'est la confiance des familles qui est en jeu.

Existe-t-il une position officielle pour les professionnels de santé ?

Oui. La HAS a publié en octobre 2025 ses « Premières clefs d'usage de l'IA générative en santé » (cadre A.V.E.C.), et un guide commun HAS-CNIL sur le bon usage des systèmes d'IA en contexte de soins a été soumis à consultation publique début 2026, version finale attendue dans l'année.

Sources


OrthoVox est une application Windows conçue pour les orthophonistes : pseudonymisation locale avant tout envoi à l'IA, hébergement certifié HDS en France, IA Mistral hébergée à Paris et chiffrement zero-knowledge des données identifiantes. Essai gratuit 30 jours, puis 49 €/mois sans engagement, sur orthovox.fr.

Prêt·e à récupérer du temps sur vos bilans ?

BETA gratuite, sans carte bancaire. La passation et le diagnostic restent entre vos mains — OrthoVox accélère uniquement la rédaction.

Rejoindre la liste d’attente