Quand j'ai commencé à construire Medicapp, en 2013, les praticiens de santé libéraux travaillaient principalement avec des logiciels installés sur un ordinateur local — souvent un PC sous Windows vieillissant, dans l'arrière-salle du cabinet. Les données patients ? Sur un disque dur. La sauvegarde ? Rarement automatique. La synchronisation entre le cabinet et l'iPad de consultation ? Impossible.
L'idée de migrer tout ça dans le cloud semblait évidente côté produit. Elle s'est révélée vertigineuse côté réglementation.
HDS : une contrainte qui structure
En France — et progressivement en Europe — l'hébergement de données de santé à caractère personnel est soumis à une certification spécifique : le statut d'Hébergeur de Données de Santé (HDS), délivré par l'ANS. Ce n'est pas une simple case à cocher. La certification couvre six activités distinctes : hébergement physique, hébergement de l'infrastructure, hébergement de la plateforme logicielle, infogérance, sauvegarde, et restautration. L'organisme certifié doit démontrer sa conformité à un référentiel exigeant, audité de manière indépendante.
Résultat : nous ne pouvions pas aller chez AWS, GCP ou Azure directement et cocher une case "conformité santé". Nous avons choisi OSPI, un hébergeur français certifié HDS sur l'ensemble des six activités, et avons structuré notre architecture pour que l'ensemble du flux de données reste sur leur infrastructure.
La cloudification n'est pas une fin en soi
Ce qui m'a frappé au fil des années, c'est que la vraie question n'est pas "cloud ou pas cloud" — c'est "qu'est-ce que le cloud change concrètement dans le quotidien du praticien ?".
La réponse que nous avons construite progressivement :
- Le praticien accède au même dossier patient depuis son cabinet, son iPad de consultation ou son iPhone en déplacement
- La secrétaire peut préparer les dossiers du lendemain sans être au même endroit que le médecin
- Un remplaçant se connecte avec ses propres droits — et ne voit que ce qu'il est autorisé à voir
- Le patient remplit son questionnaire depuis chez lui, la veille du rendez-vous
- Aucune donnée ne se perd si le téléphone tombe en panne — elle est sur le serveur
Ce sont des problèmes très concrets, très quotidiens. La certification HDS est ce qui permet de les résoudre avec le niveau de confiance qu'exige la médecine.
Ce que la V4 a changé dans notre façon de penser la sécurité
La migration vers la V4 du Cloud Medicapp n'a pas été qu'une refonte technique. Elle a été l'occasion de repenser notre modèle de sécurité de fond en comble : passer d'une gestion des droits "applicative" — gérée côté client — à une gestion "serveur", où chaque requête est authentifiée et autorisée au niveau de l'API, indépendamment de ce que l'application affiche.
C'est la différence entre fermer une porte à clé et ne donner la clé qu'aux personnes autorisées. Les deux protègent. Seule la seconde protège vraiment.
La prochaine étape sur ce chemin ? L'authentification multifacteur pour tous les utilisateurs, et l'intégration de flux SSO pour les structures qui gèrent déjà leur annuaire d'utilisateurs. Mais ça, c'est pour un prochain billet.