Décryptage 13 juin 2026 ⏱️ 8 min de lecture

Le dossier nutritionnel : une donnée de santé qui vous engage

Poids, IMC, pathologies, photos avant/après : le dossier d'un patient relève des données de santé les plus protégées du RGPD. Êtes-vous à la hauteur ?

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Le dossier nutritionnel est une donnée de santé, catégorie ultra-sensible au sens de l'article 9 du RGPD.
Logiciel de suivi, télénutrition et messagerie multiplient les surfaces de fuite.
Une violation déclenche une notification CNIL sous 72 h et l'information des patients.
L'assurance cyber pilote l'incident là où la RC Pro couvre la faute professionnelle.

Pourquoi vos dossiers valent de l'or

On y pense rarement, mais le dossier d'un patient suivi en diététique est une mine de données de santé : poids, IMC, tour de taille, pathologies (diabète, troubles du comportement alimentaire, allergies), bilans biologiques, parfois traitements, et de plus en plus de photos corporelles avant/après. Ajoutez à cela les habitudes de vie et les confidences sur le rapport à la nourriture.

Or, le RGPD classe les données de santé dans les catégories particulières de son article 9 : ce sont les informations les plus protégées, dont le traitement est en principe interdit sauf exceptions (notamment la prise en charge médicale, qui vous concerne). Cette qualification entraîne des obligations renforcées de sécurité et de confidentialité — bien au-delà de ce qu'imaginent la plupart des diététiciens libéraux.

Les surfaces de fuite propres à votre exercice

La diététique s'est largement numérisée, et chaque outil ouvre une porte potentielle :

Logiciel de suivi nutritionnel hébergé dans le cloud, parfois sans hébergeur certifié données de santé (HDS).
Télénutrition : plateformes de visio, partage de plans et de bilans en ligne.
Messageries grand public (e-mail non chiffré, applications de messagerie) pour envoyer des menus ou recevoir des photos de patients.
Carnets alimentaires connectés et applications mobiles que vous faites remplir aux patients.
Ordinateur ou smartphone personnel non sécurisé, clé USB égarée.

Le maillon faible n'est presque jamais une cyberattaque sophistiquée : c'est un e-mail envoyé au mauvais destinataire, un logiciel mal configuré, un mot de passe faible, ou un ordinateur volé non chiffré. Les violations les plus fréquentes sont des négligences du quotidien.

Ce que le RGPD vous impose concrètement

En tant que professionnel de santé traitant des données particulières, vous êtes responsable de traitement et tenu à plusieurs obligations :

Sécuriser les données par des mesures appropriées (chiffrement, contrôle d'accès, sauvegardes, hébergeur HDS pour le cloud de santé).
Minimiser : ne collecter que ce qui est utile au suivi, et ne pas conserver indéfiniment.
Informer vos patients de l'usage de leurs données et de leurs droits.
Notifier la CNIL sous 72 heures en cas de violation, et informer les patients concernés si le risque est élevé.

Le manquement à ces obligations expose à des sanctions de la CNIL pouvant atteindre, pour les cas les plus graves, des montants très lourds — sans compter l'atteinte à votre réputation, fatale dans une profession fondée sur la confiance.

Une fuite de photos avant/après ou de bilans de patients ne se répare pas avec des excuses : c'est une violation de données de santé pleinement qualifiée.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Le coût réel d'une violation de données

Imaginez votre logiciel de suivi piraté, ou votre boîte mail compromise, exposant les dossiers de plusieurs centaines de patients. La cascade de coûts est immédiate :

Poste	Nature
Notification CNIL et information des patients	Délai 72 h, démarches obligatoires
Expertise forensic	Identifier l'origine et l'ampleur de la fuite
Remédiation technique	Sécurisation, changement d'outils
Gestion de crise et communication	Préserver la relation patient
Pertes d'exploitation	Activité ralentie ou suspendue

Pour un cabinet libéral, le cumul atteint vite plusieurs milliers d'euros — et c'est sans compter d'éventuelles réclamations de patients. Aucune de ces dépenses n'est anticipable sur la trésorerie d'un indépendant.

RC Pro et cyber : deux périmètres complémentaires

Beaucoup de diététiciens croient leur RC Pro suffisante. Elle est indispensable — elle couvre votre faute professionnelle, y compris la violation du secret ou la perte de documents confiés. Mais elle n'est pas conçue pour piloter un incident de cybersécurité : la cellule d'urgence, l'expertise forensic, la notification réglementaire, la restauration des systèmes et la perte d'exploitation relèvent de l'assurance cyber.

Pour un diététicien qui numérise son suivi, la combinaison logique est donc : RC Pro pour la responsabilité professionnelle, cyber pour absorber et gérer la fuite de données de santé. Les deux se souscrivent en ligne en quelques minutes, sans audit préalable. Le détail des garanties figure sur notre fiche assurance diététicien.

En complément, quelques réflexes réduisent fortement le risque : chiffrer les appareils, utiliser un logiciel hébergé HDS, bannir l'e-mail non chiffré pour les données sensibles, activer des mots de passe robustes et la double authentification, et purger régulièrement les anciens dossiers.

Questions fréquentes

Le dossier d'un patient en diététique est-il une donnée de santé ?

Oui. Poids, IMC, pathologies, bilans, photos avant/après et habitudes alimentaires constituent des données de santé relevant des catégories particulières de l'article 9 du RGPD, les plus protégées. Leur traitement entraîne des obligations renforcées de sécurité et de confidentialité.

Dois-je utiliser un hébergeur certifié HDS pour mon logiciel de suivi ?

Si votre logiciel héberge dans le cloud des données de santé de patients, le recours à un hébergeur certifié Hébergeur de Données de Santé (HDS) est la mesure de sécurité attendue. Vérifiez cette certification auprès de votre éditeur, car la responsabilité de traitement reste la vôtre.

Que faire en cas de fuite des données de mes patients ?

Vous devez notifier la CNIL sous 72 heures, informer les patients concernés si le risque est élevé, lancer une expertise pour identifier l'origine, sécuriser à nouveau vos systèmes et gérer la communication. L'assurance cyber prend en charge et pilote l'ensemble de cette gestion de crise.

Ma RC Pro suffit-elle pour couvrir une violation de données ?

La RC Pro couvre votre faute professionnelle, la violation du secret et la perte de documents, mais pas la gestion technique d'un incident cyber (forensic, notification, restauration, perte d'exploitation). Pour cela, l'assurance cyber est complémentaire et recommandée dès que vous numérisez votre suivi.

L'envoi de menus par e-mail simple pose-t-il problème ?

Un e-mail non chiffré envoyé au mauvais destinataire est l'une des causes les plus fréquentes de violation de données de santé. Pour transmettre des plans, bilans ou photos de patients, privilégiez une messagerie sécurisée ou une plateforme dédiée plutôt que l'e-mail grand public.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Diététicien — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Diététicien →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.