Médecins, dentistes, kinésithérapeutes, infirmiers : vous manipulez quotidiennement des données parmi les plus sensibles qui existent. Le RGPD classe les données de santé dans une catégorie à part, soumise à des protections renforcées. Où héberger vos emails, vos agendas de rendez-vous, vos échanges avec les patients ? Cet article fait le point sur les obligations légales et les solutions pratiques.
Découvrir la messagerie Infomaniak
Données de santé : de quoi parle-t-on exactement ?
Le RGPD définit les données de santé comme toute information relative à la santé physique ou mentale d'une personne, passée, présente ou future. Cette définition est volontairement large et englobe bien plus que le dossier médical au sens strict.
Concrètement, sont considérées comme données de santé :
- Les informations collectées lors d'une consultation médicale
- Les résultats d'examens et d'analyses
- Les prescriptions et ordonnances
- Le numéro de sécurité sociale (qui peut révéler des informations de santé)
- Les rendez-vous médicaux (qui révèlent qu'une personne consulte tel spécialiste)
- Les échanges par email concernant la santé d'un patient
Cette dernière catégorie est souvent négligée. Pourtant, lorsqu'un patient vous écrit pour décrire ses symptômes ou vous envoie ses résultats d'analyse, ces emails contiennent des données de santé au sens du RGPD.
Le cadre réglementaire français
En France, les données de santé sont soumises à un double régime : le RGPD européen et la réglementation française sur l'Hébergement de Données de Santé (HDS).
La certification HDS : obligatoire ou non ?
La certification HDS est obligatoire pour les hébergeurs qui stockent des données de santé pour le compte de tiers (établissements de santé, laboratoires, etc.). Mais la situation est plus nuancée pour les professionnels de santé libéraux.
Êtes-vous concerné par l'obligation HDS ?
Si vous hébergez vous-même les données de vos patients (serveur local, NAS), vous n'êtes pas soumis à l'obligation de certification HDS. En revanche, si vous confiez l'hébergement à un tiers, ce tiers doit être certifié HDS pour les données de santé proprement dites.
Cependant, pour la simple messagerie (emails de prise de rendez-vous, échanges généraux), un hébergeur conforme RGPD sans certification HDS peut suffire, à condition de ne pas y stocker de données médicales sensibles.
La distinction est importante : votre logiciel de gestion de cabinet (avec les dossiers patients) doit être hébergé chez un prestataire HDS. Mais votre messagerie professionnelle générale peut être hébergée chez un prestataire conforme RGPD comme Infomaniak.
Les recommandations de la CNIL
La CNIL rappelle régulièrement aux professionnels de santé leurs obligations en matière de sécurité des données. Parmi les mesures recommandées :
- Utiliser des mots de passe robustes et uniques
- Chiffrer les données sensibles
- Sauvegarder régulièrement
- Limiter les accès aux seules personnes habilitées
- Privilégier des hébergeurs européens pour éviter les transferts hors UE
Ce dernier point milite fortement en faveur d'un hébergeur comme Infomaniak, dont les serveurs sont situés en Suisse, pays reconnu comme offrant un niveau de protection adéquat par la Commission européenne.
Le problème des messageries grand public
Trop de professionnels de santé utilisent encore Gmail ou Outlook pour leurs échanges professionnels. C'est problématique pour plusieurs raisons.
L'analyse automatique des contenus
Google analyse le contenu des emails Gmail pour personnaliser les publicités et améliorer ses services. Même si l'entreprise affirme ne plus utiliser le contenu des emails pour cibler les publicités depuis 2017, l'analyse automatique reste active pour d'autres fonctionnalités (filtrage, réponses suggérées).
Pour un professionnel de santé, l'idée que les symptômes décrits par un patient puissent être analysés par des algorithmes est difficilement acceptable, même si cette analyse est automatisée.
Le Cloud Act américain
Nous l'avons évoqué pour les avocats, mais le risque est identique pour les professionnels de santé. Les données hébergées par des entreprises américaines sont potentiellement accessibles aux autorités américaines, ce qui pose un problème de confidentialité médicale.
L'absence de garanties contractuelles adaptées
Les conditions générales des services grand public ne sont pas conçues pour les données de santé. Elles ne prévoient pas les garanties de confidentialité et de sécurité qu'un professionnel de santé est en droit d'attendre.
Infomaniak : une solution adaptée aux professionnels de santé
Infomaniak n'est pas certifié HDS (cette certification concerne spécifiquement les hébergeurs de dossiers médicaux), mais l'hébergeur suisse offre toutes les garanties nécessaires pour la messagerie et les outils collaboratifs des professionnels de santé.
Hébergement suisse : la neutralité au service de la confidentialité
La Suisse n'est soumise ni au Cloud Act américain ni aux directives européennes sur la conservation des données. Les autorités étrangères ne peuvent pas exiger l'accès aux données hébergées en Suisse sans passer par les procédures diplomatiques officielles.
Pour un médecin, cela signifie que les échanges avec ses patients restent véritablement confidentiels. Aucune autorité étrangère ne peut y accéder à l'insu du professionnel.
Sécurité technique de haut niveau
Les datacenters Infomaniak sont certifiés ISO 27001, la norme internationale de référence pour la sécurité de l'information. Ils sont situés en Suisse, alimentés à 100% par de l'énergie renouvelable et soumis aux contrôles les plus stricts.
Mesures de sécurité Infomaniak
- Chiffrement TLS pour tous les échanges
- Authentification à deux facteurs disponible
- Antispam et antivirus intégrés
- Sauvegardes automatiques quotidiennes
- Surveillance 24/7 des infrastructures
Des outils adaptés au quotidien médical
La messagerie Infomaniak s'intègre parfaitement dans le quotidien d'un cabinet médical. L'agenda partagé permet de gérer les rendez-vous, le carnet d'adresses centralise les contacts patients et correspondants, le webmail est accessible depuis n'importe où.
kDrive permet de stocker et partager des documents en toute sécurité. Un patient doit vous envoyer ses résultats d'analyse ? Créez un lien de dépôt sécurisé plutôt que de recevoir les fichiers par email.
kMeet offre la possibilité de réaliser des téléconsultations de manière sécurisée. Le flux vidéo transite uniquement par les serveurs suisses d'Infomaniak, sans passer par des tiers américains.
Bonnes pratiques pour les échanges avec les patients
Au-delà du choix de l'hébergeur, quelques bonnes pratiques renforcent la sécurité de vos échanges numériques.
Limiter les données sensibles par email
L'email, même sécurisé, n'est pas le canal idéal pour échanger des données médicales sensibles. Privilégiez la messagerie sécurisée de votre logiciel de gestion de cabinet lorsque c'est possible.
Pour les échanges par email classique, évitez de détailler des diagnostics ou des traitements. Préférez des formulations générales et proposez au patient de discuter des détails lors d'un rendez-vous.
Utiliser le partage sécurisé pour les documents
Plutôt que d'envoyer des pièces jointes par email, utilisez les fonctions de partage sécurisé de kDrive. Vous pouvez protéger le lien par mot de passe et définir une date d'expiration. Le document n'est jamais stocké dans la boîte email du patient, réduisant les risques en cas de piratage de son compte.
Former le personnel du cabinet
La sécurité des données passe aussi par la sensibilisation de toute l'équipe. Secrétaires médicales, assistants : tous doivent connaître les bonnes pratiques et les risques liés aux données de santé.
Activer l'authentification à deux facteurs
Cette mesure simple mais efficace protège votre compte même si votre mot de passe est compromis. Infomaniak propose plusieurs méthodes : application d'authentification, SMS, clé de sécurité physique.
Migration depuis Gmail ou Outlook : comment procéder ?
Vous utilisez actuellement une messagerie américaine et souhaitez migrer vers Infomaniak ? Voici les étapes principales.
1. Créer votre compte Infomaniak
Souscrivez à l'offre Mail Hosting ou kSuite selon vos besoins. Pour un cabinet individuel, Mail Hosting suffit généralement. Pour une structure avec plusieurs praticiens et des besoins de collaboration, kSuite offre plus de fonctionnalités.
2. Configurer votre domaine
Si vous utilisez déjà votre propre nom de domaine (dr-martin.fr par exemple), vous le conservez. Il suffit de modifier les enregistrements DNS pour pointer vers Infomaniak. Si vous utilisez une adresse @gmail.com, c'est l'occasion de professionnaliser votre communication avec un domaine personnalisé.
3. Importer vos emails existants
L'outil de migration Infomaniak transfère automatiquement vos emails depuis Gmail ou Outlook. Tout l'historique est préservé, avec l'arborescence des dossiers.
4. Configurer vos appareils
Ordinateur, smartphone, tablette : tous vos appareils peuvent se connecter à votre nouvelle messagerie. Les paramètres sont standard (IMAP/SMTP) et la configuration prend quelques minutes.
5. Informer vos patients
Si vous changez d'adresse email, prévoyez une période de transition. Configurez une réponse automatique sur l'ancienne adresse pour informer vos correspondants.
Comparatif des coûts
L'hébergement suisse est-il plus cher que les alternatives américaines ? Pas nécessairement.
| Solution | Prix/mois | Stockage | Avantages |
|---|---|---|---|
| Gmail (Google Workspace) | 5,75 €/utilisateur | 30 Go | Écosystème Google |
| Outlook (Microsoft 365) | 5,60 €/utilisateur | 50 Go | Intégration Office |
| Infomaniak Mail | 1,50 €/adresse | 20 Go | Hébergement suisse, support FR |
| kSuite Standard | 5,87 €/utilisateur | 3 To partagés | Suite complète, stockage généreux |
Pour un praticien seul, l'offre Mail Hosting à 1,50 € par mois est imbattable. Pour un cabinet de groupe avec des besoins de collaboration, kSuite reste compétitif face aux géants américains tout en offrant des garanties de confidentialité supérieures.
Conclusion
Les données de santé méritent une protection à la hauteur de leur sensibilité. Si votre logiciel de gestion de cabinet doit être hébergé chez un prestataire certifié HDS, votre messagerie professionnelle peut être hébergée chez un prestataire conforme RGPD comme Infomaniak.
L'hébergement suisse offre des garanties de confidentialité que les géants américains ne peuvent pas égaler. Pour un coût équivalent voire inférieur, vous protégez efficacement les échanges avec vos patients et vous vous conformez aux recommandations de la CNIL.
La migration est simple et peut être accompagnée par des professionnels. Pourquoi continuer à prendre des risques avec des hébergeurs soumis au Cloud Act ?
Prêt à migrer vers Infomaniak ?
Contactez-nous pour un audit gratuit de 15 minutes. Nous analyserons votre situation et vous fournirons un devis personnalisé.
Demander un audit gratuit