Utiliser l'IA en cabinet d'ostéopathie, c'est manipuler des données de santé. Et les données de santé sont une catégorie particulière au sens du RGPD : leur traitement est soumis à des obligations renforcées, des risques de sanction élevés, et une responsabilité personnelle du praticien.
Voici ce que vous devez savoir avant d'ouvrir ChatGPT entre deux consultations.
Les données de santé : une catégorie à part
Le RGPD classe les données de santé parmi les « données sensibles » (article 9). Cela inclut tout ce qui permet d'inférer l'état de santé d'une personne : diagnostics, antécédents, motifs de consultation, résultats d'examen, mais aussi les informations indirectes comme le fait qu'une personne consulte régulièrement un ostéopathe.
En tant qu'ostéopathe libéral, vous êtes responsable du traitement de ces données. Cette responsabilité ne se délègue pas à l'outil que vous utilisez.
Ce que ça change concrètement avec l'IA
Quand vous saisissez des informations sur un patient dans un outil IA, vous effectuez un transfert de données. Ce transfert doit respecter plusieurs conditions.
1. Base légale du traitement
Pour un ostéopathe, la base légale est généralement le soin (article 9.2.h du RGPD). Mais elle ne couvre que ce qui est strictement nécessaire à la prise en charge. Utiliser les données d'un patient pour entraîner un modèle IA ou à des fins marketing n'est pas couvert.
2. Politique « no-training » de l'outil
La plupart des outils IA grand public utilisent par défaut les données saisies pour améliorer leurs modèles. Avant tout usage avec des données patients, même pseudonymisées, vérifiez que l'outil propose une option « no-training » et activez-la.
3. Hébergement HDS
Pour les données de santé au sens strict, la réglementation française exige un hébergement certifié HDS (Hébergement de Données de Santé). Les outils grand public (ChatGPT, Claude, Gemini dans leur version standard) ne sont pas certifiés HDS. Cela ne les rend pas inutilisables, mais cela impose une règle absolue : ne jamais saisir de données identifiantes.
La règle de la pseudonymisation
La pseudonymisation consiste à remplacer les données identifiantes par un identifiant neutre avant toute saisie dans un outil IA.
Concrètement, au lieu de saisir :
« Marie D., 42 ans, consulte pour une lombalgie chronique depuis 3 ans suite à une grossesse difficile. »
Vous saisissez :
« Patient F42, lombalgie chronique 3 ans, contexte post-grossesse. »
La pseudonymisation réduit considérablement le risque RGPD. Elle ne supprime pas toute obligation, mais elle permet un usage raisonnable des outils courants pour des tâches de rédaction ou de structuration.
L'AI Act : ce qui entre en vigueur en 2026
Le règlement européen sur l'IA (AI Act) impose aux utilisateurs professionnels d'IA une obligation de maîtrise des outils qu'ils utilisent. Pour les ostéopathes, cela signifie concrètement :
- Savoir comment fonctionne l'outil (pas de « boîte noire » assumée).
- Conserver une supervision humaine sur toute décision concernant un patient.
- Ne jamais déléguer à l'IA une décision clinique ou diagnostique.
Le non-respect de l'AI Act peut entraîner des sanctions pour les utilisateurs professionnels, pas seulement pour les éditeurs.
Ce qu'il faut mettre en place dans votre cabinet
- Activer l'option « no-training » sur tous les outils IA utilisés.
- Ne jamais saisir nom, prénom, date de naissance ou numéro de dossier.
- Informer les patients de l'usage d'outils IA (mention dans le formulaire de consentement).
- Documenter vos usages IA dans votre registre de traitement RGPD.
- Choisir des outils européens (Mistral) pour les usages les plus sensibles.
Ces mesures ne sont pas optionnelles. Elles sont le minimum pour exercer en conformité.
La formation NIKITA couvre-t-elle ce sujet ?
Oui. Le Module 1 de la formation est entièrement consacré au cadre réglementaire : RGPD Santé, secret médical, hébergement HDS, AI Act et déontologie ostéopathique. L'objectif est que chaque participant reparte avec une vision claire de ce qu'il peut et ne peut pas faire, sans devoir devenir juriste.