Thérapie en ligne : protéger votre email, vos alias et vos OTP sans exposer votre santé

Les plateformes de thérapie en ligne (psychologues, coaching, téléconsultations, programmes guidés) ont explosé parce qu’elles répondent à un besoin simple : parler à un professionnel sans contrainte géographique et avec des délais souvent plus courts. Mais elles demandent presque toutes la même chose : une adresse email pour créer un compte, recevoir des confirmations, des reçus et parfois des codes OTP. Or, dans ce domaine, votre email devient un identifiant ultra-sensible : il relie votre identité numérique à des informations de santé.

Dans cet article, on se concentre sur un seul domaine : les services de thérapie en ligne. On va voir qui les utilise le plus, pourquoi, puis surtout un workflow concret pour s’inscrire avec un email isolé, des alias et de la redirection (type TempForward) — sans rater vos OTP, et en réduisant les risques de fuite, de phishing et de spam.

1) Qui utilise le plus la thérapie en ligne (et pourquoi l’email compte autant)

Les utilisateurs les plus nombreux se trouvent généralement dans trois catégories :

Personnes actives et urbaines : emploi du temps chargé, besoin de flexibilité (visio, chat, créneaux le soir), préférence pour la prise de rendez-vous en ligne.
Étudiants et jeunes adultes : familiarité avec le numérique, recherche de soutien (anxiété, stress, sommeil), parfois besoin de discrétion vis‑à‑vis du cercle social.
Personnes éloignées des soins : zones rurales, mobilité réduite, expatriation, ou difficulté à trouver un praticien disponible localement.

Pourquoi l’email est un point de contrôle critique

Dans la pratique, l’email sert à : confirmer l’inscription, recevoir des liens de session, gérer des factures, réinitialiser un mot de passe, et parfois recevoir des codes à usage unique (OTP). Si quelqu’un contrôle votre email, il peut souvent contrôler votre compte.

Et dans le contexte santé mentale, une simple fuite d’adresse (ou la corrélation entre services) peut suffire à révéler des informations sensibles sur vous.

2) Les risques concrets : ce qui peut mal se passer (sans dramatiser)

Les risques ne viennent pas uniquement de « hackers ». Ils viennent aussi des mécanismes ordinaires du web : tracking, revente de leads, erreurs humaines, et attaque par réutilisation de mots de passe.

2.1 Phishing ciblé et usurpation (emails de “séance”, “remboursement”, “facture”)

Les sujets santé sont propices au phishing : un message qui ressemble à une notification de la plateforme (« votre séance est confirmée », « mettez à jour votre carte », « nouveau message de votre thérapeute ») pousse à cliquer vite. La CNIL rappelle d’ailleurs les réflexes : ne pas ouvrir les liens/pièces jointes douteux et signaler les tentatives d’hameçonnage lorsque c’est possible.

2.2 Corrélation d’identité et perte d’anonymat

Utiliser la même adresse email partout (shopping, réseaux sociaux, thérapie) facilite la corrélation : une fuite sur un service « banal » peut permettre de relier votre adresse à un compte santé. Même sans accès au contenu, la simple association peut être problématique.

2.3 Compromission du compte via réinitialisation de mot de passe

Beaucoup de plateformes traitent l’email comme identifiant principal. Si un attaquant obtient l’accès à votre boîte mail (ou à un alias mal géré), il peut déclencher un reset, capturer les liens et prendre le contrôle du compte. Les bonnes pratiques d’authentification (mots de passe uniques, MFA/2FA) sont largement documentées, par exemple dans les recommandations OWASP et les lignes directrices NIST.

3) Le workflow “email isolé + alias + OTP” (simple, réaliste, efficace)

Objectif : réduire l’exposition de votre adresse principale tout en gardant un accès fiable aux emails importants (liens de séance, factures, OTP).

Plan en 5 étapes (à appliquer en 15 minutes)

1. Créer une identité email dédiée : un alias unique pour la plateforme (ex : [email protected] ou un alias généré par TempForward).
2. Rediriger vers votre boîte réelle : vous recevez tout, mais le service ne voit jamais votre email principal.
3. Activer une 2FA robuste : app d’authentification ou clé matérielle quand c’est disponible (éviter de dépendre uniquement du SMS).
4. Filtrer et étiqueter : règles « arrive via alias thérapie → dossier dédié », pour repérer les anomalies et réduire la charge mentale.
5. Prévoir le plan de sortie : si vous arrêtez le service, désactivez l’alias. Si vous changez de plateforme, créez un nouvel alias (pas de recyclage).

3.1 Concrètement avec TempForward

TempForward est utile ici parce qu’il vous permet de générer des adresses et de gérer la redirection. La règle d’or : 1 service = 1 alias. Vous évitez ainsi que deux plateformes distinctes partagent le même identifiant.

Inscription : utilisez l’alias TempForward au moment de créer le compte.
OTP et liens de connexion : comme l’alias redirige, vous recevez les codes rapidement dans votre inbox principale.
Message inattendu : si vous recevez un email « paiement refusé » alors que vous n’attendez rien, vous pouvez suspecter un phishing et vérifier depuis le site officiel (sans cliquer).

3.2 Astuce : compartimenter aussi les notifications (sans rater les rendez‑vous)

Beaucoup de personnes abandonnent les alias parce qu’elles ont peur de « rater un message ». La solution est organisationnelle :

Créez un libellé/dossier “Santé — Thérapie”.
Autorisez les notifications uniquement pour ce dossier (si votre client mail le permet).
Ajoutez l’expéditeur principal en liste de confiance, mais restez prudent sur les emails “hors modèle”.

4) Bonnes pratiques spécifiques aux plateformes santé mentale

4.1 Minimiser les données partagées au départ

Certaines plateformes demandent beaucoup d’informations dès l’onboarding (profil, antécédents, questionnaires). Donnez le minimum nécessaire pour démarrer, puis complétez seulement si le suivi l’exige. Dans l’UE, les données de santé sont une catégorie particulièrement sensible au regard du RGPD.

4.2 Sécuriser l’accès au compte (le trio gagnant)

Mot de passe unique (gestionnaire recommandé).
2FA activée dès que possible.
Adresse email isolée (alias/redirection) pour réduire la surface d’attaque et le spam.

4.3 Se protéger du phishing : méthode “pause + vérification”

L’ENISA documente depuis longtemps le phishing comme une menace structurante. Dans la pratique, votre micro‑routine doit être : pause (ne pas agir sous stress) → vérifier (aller sur le site en tapant l’URL, ou via un favori) → agir (seulement après confirmation).

Checklist express (à coller dans un note)

Le message me pousse-t-il à agir vite ? (urgence = signal)
Le lien pointe-t-il vers un domaine inattendu ?
Est-ce que j’attendais vraiment ce paiement / ce rendez-vous / ce document ?
Si doute : je ne clique pas, je passe par le site officiel.

5) Pourquoi ce domaine est particulièrement compatible avec les emails isolés

Les services de thérapie en ligne doivent gérer des rappels, des liens de session et des échanges potentiellement sensibles. L’email isolé (alias + redirection) est un compromis très pragmatique : vous gardez la continuité (vous recevez les messages), tout en limitant la corrélation et le bruit (spam, tracking, revente d’adresses).

Et vous conservez un levier simple : si un service devient intrusif (marketing agressif) ou si vous ne l’utilisez plus, vous pouvez couper l’alias au lieu de devoir changer votre email principal, ce qui est toujours douloureux.

💡 À retenir : pour la thérapie en ligne, le meilleur équilibre est souvent : un alias dédié + redirection fiable + 2FA + discipline anti‑phishing. Vous protégez votre vie privée sans perdre l’accès aux OTP et aux confirmations.