En tant qu'orthopédagogue en cabinet libéral, vous manipulez quotidiennement des données personnelles particulièrement sensibles : informations sur des mineurs, troubles d'apprentissage, antécédents médicaux, contexte familial. Le Règlement Général sur la Protection des Données (RGPD) encadre strictement cette pratique. Pourtant, beaucoup de professionnelles ignorent encore l'étendue de leurs obligations et les sanctions encourues en cas de manquement.
Pourquoi la RGPD concerne tous les orthopédagogues
Dès que vous notez le nom d'un enfant dans un fichier, sur un cahier, dans un mail ou dans un logiciel, vous devenez responsable de traitement au sens de la RGPD. Peu importe le support : papier, Word, Google Docs, logiciel métier. Le règlement s'applique.
Les données collectées en orthopédagogie relèvent même, pour la plupart, de la catégorie des données sensibles car elles touchent à la santé, au développement de l'enfant et à des éléments familiaux. Cela renforce vos obligations et augmente les risques en cas de fuite.
Sanctions encourues : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Au-delà du montant, c'est surtout la perte de confiance des familles qui peut détruire un cabinet libéral en quelques semaines.
Le consentement : la pierre angulaire
Avant toute collecte de données, vous devez recueillir un consentement libre, éclairé, spécifique et univoque. Pour les mineurs de moins de 15 ans, ce sont les titulaires de l'autorité parentale qui consentent.
Ce que doit contenir un consentement valide
- L'identité du responsable de traitement (vous, votre cabinet, votre SIRET).
- La finalité précise du traitement (suivi orthopédagogique, facturation, communication avec l'école…).
- Les types de données collectées (identité, scolarité, santé, contexte familial…).
- La durée de conservation (souvent 5 ans après la fin de la prise en charge).
- Les destinataires (vous seule, ou aussi équipe éducative, médecin traitant…).
- Le rappel des droits : accès, rectification, effacement, opposition, portabilité.
- La possibilité de retirer son consentement à tout moment.
Le consentement papier ne suffit plus
Une signature sur une feuille volante, sans traçabilité, est juridiquement fragile. Privilégiez un consentement horodaté, archivé numériquement, et révocable en un clic. C'est exactement ce que propose App'Évol : un lien sécurisé envoyé aux parents, qui consentent en ligne, avec horodatage et conservation automatique de la preuve.
L'hébergement des données : pourquoi l'Union Européenne est non négociable
Le RGPD impose que les données personnelles soient stockées sur des serveurs respectant le droit européen. Concrètement, les données de vos apprenants ne doivent pas transiter ou être stockées sur des serveurs américains soumis au Cloud Act (loi qui permet aux autorités américaines d'accéder aux données, même si elles sont stockées en Europe).
Cela signifie qu'utiliser Google Drive, Dropbox, OneDrive, Notion ou Airtablepour stocker des dossiers d'apprenants est juridiquement risqué, malgré leurs déclarations rassurantes. Pour des données de santé d'enfants, ces solutions ne devraient pas être utilisées.
Que rechercher chez un hébergeur ?
- Hébergement physique en Union Européenne (de préférence en France).
- Conformité ISO 27001 ou équivalent.
- Chiffrement des données au repos et en transit.
- Sauvegardes régulières et plan de reprise d'activité.
- Idéalement, certification HDS (Hébergeur de Données de Santé) si vous traitez beaucoup de données médicales.
La gestion des sous-traitants
Chaque outil que vous utilisez et qui touche à des données d'apprenants est un sous-traitant au sens RGPD. Cela inclut votre logiciel de gestion, votre messagerie, votre outil de facturation, votre outil de visio, votre outil de signature électronique, et même votre comptable.
Avec chacun, vous devez signer un accord de sous-traitance (DPA) qui précise les responsabilités de chaque partie. Plus vous multipliez les outils, plus vous multipliez les contrats et les risques. C'est l'un des arguments les plus forts en faveur d'une solution tout-en-un : un seul sous-traitant, un seul DPA, une seule politique de sécurité à maîtriser.
C'est précisément le parti pris de App'Évol : agenda, dossiers apprenants, anamnèses, bilans, plans d'intervention, facturation et consentements sont réunis dans un seul outil hébergé en Union Européenne. Vous signez un seul DPA, vous pilotez une seule politique de sécurité, et vous éliminez les zones grises créées par l'empilement d'outils SaaS américains.
Le registre des traitements : l'oubli classique
Même les petits cabinets doivent tenir un registre des traitements. Il s'agit d'un document qui liste, pour chaque type de traitement (suivi des apprenants, facturation, prise de rendez-vous, mailing newsletter…), les informations suivantes :
- Finalité du traitement.
- Catégories de personnes concernées (apprenants, parents, prescripteurs).
- Catégories de données collectées.
- Destinataires des données.
- Durée de conservation.
- Mesures de sécurité mises en place.
Ce registre doit être mis à jour à chaque évolution de votre activité et présenté en cas de contrôle de la CNIL. La plupart des orthopédagogues l'oublient totalement ne soyez pas de celles-là.
La durée de conservation des dossiers
Conserver indéfiniment tous les dossiers est une faute RGPD. Vous devez définir une durée de conservation proportionnée à la finalité. Les durées généralement admises :
- Dossier actif : pendant toute la durée de la prise en charge.
- Archivage intermédiaire : 5 ans après la fin de la prise en charge (utile en cas de reprise du suivi).
- Documents comptables et factures : 10 ans (obligation fiscale).
Au-delà, les données doivent être anonymisées ou supprimées. Un bon logiciel métier vous alerte automatiquement à l'échéance et vous propose la suppression sécurisée.
Les droits des familles : pouvoir y répondre en moins d'un mois
Toute famille peut, à tout moment, vous demander :
- L'accès aux données concernant son enfant.
- La rectification de données erronées.
- L'effacement (droit à l'oubli).
- La portabilité : récupérer ses données dans un format réutilisable.
- L'opposition à certains traitements (newsletter, statistiques…).
Vous avez un mois pour répondre. Si vos données sont éparpillées entre Word, des e-mails, un cahier papier, un logiciel de facturation et un agenda Google, cette demande devient un cauchemar opérationnel. Avec un logiciel centralisé, c'est l'affaire de quelques clics.
Que faire en cas de fuite de données ?
Une violation de données (vol d'ordinateur, piratage, mail envoyé à la mauvaise personne…) doit être notifiée à la CNIL dans les 72 heures. Si la fuite présente un risque élevé pour les personnes concernées, vous devez aussi les informer directement.
⚠️ Notification obligatoire à la CNIL La déclaration se fait directement en ligne sur le site officiel : cnil.fr Notifier une violation de données personnelles. Pensez à conserver une copie du formulaire envoyé et à consigner l'incident dans votre registre des violations.
Comment App'Évol prend en charge la conformité RGPD
App'Évol a été conçu dès le départ pour répondre à toutes ces obligations sans que vous ayez à y penser :
- Hébergement 100 % en Union Européenne sur des serveurs sécurisés.
- Chiffrement des données au repos et en transit.
- Consentements collectés automatiquement via lien sécurisé envoyé aux parents.
- Liens révocables à tout moment, sans création de compte côté famille.
- Registre des traitements pré-rempli, prêt à être personnalisé.
- Export et suppression en un clic pour répondre aux demandes des familles.
- Sauvegardes automatiques et plan de reprise d'activité.
Vous gardez le contrôle total sur vos données, en restant juridiquement protégé. Découvrez aussi notre guide pour choisir le bon logiciel d'orthopédagogue.
Conclusion
La RGPD n'est ni une option ni une formalité. C'est une obligation légale, mais aussi un véritable signal de professionnalisme envoyé aux familles. En mettant en place les bons outils dès le départ, vous gagnez en sérénité et vous bâtissez un cabinet réellement respectueux de vos apprenants.