Outils NumériquesDigitaliser son cabinet d'orthophonie : par où commencer ?
Guide pratique pour moderniser votre cabinet : logiciels de gestion, télésoin, outils numériques. Conseils pour une transition en douceur.
Lire l’article
Partager
Mis à jour en juin 2026.
Pour savoir si un logiciel protège vraiment les données de vos patients, vérifiez quatre choses : 1) l'hébergement est certifié HDS (certificat consultable sur la liste publique de l'Agence du Numérique en Santé) ; 2) les données sont chiffrées non seulement en transit (TLS) et au repos, mais idéalement de bout en bout — le « zero-knowledge », où l'éditeur lui-même ne peut pas lire vos dossiers ; 3) si le logiciel utilise de l'IA, le modèle est hébergé dans l'Union européenne, vos données ne servent pas à l'entraîner, et elles sont pseudonymisées avant envoi ; 4) l'éditeur vous propose un contrat de sous-traitance conforme à l'article 28 du RGPD. Cet article vous explique chaque point simplement, puis vous donne une checklist de 10 questions à poser à n'importe quel éditeur — y compris le nôtre — avant de signer.
Vous êtes orthophoniste libérale : vos bilans, anamnèses et comptes rendus contiennent des données de santé, la catégorie la plus protégée du RGPD. Quand vous choisissez un logiciel, vous déléguez une partie de cette protection à un éditeur. Encore faut-il savoir quoi vérifier — et c'est moins compliqué qu'il n'y paraît.
La certification HDS : ce qu'elle garantit (et ce qu'elle ne garantit pas)
Qui délivre la certification HDS ?
En France, toute entreprise qui héberge des données de santé pour le compte de tiers doit être certifiée « Hébergeur de Données de Santé » (HDS). Contrairement à une idée reçue, ce n'est pas l'État qui délivre directement ce certificat : la certification est délivrée par des organismes certificateurs accrédités par le COFRAC (Comité français d'accréditation), ou par des organismes d'accréditation européens équivalents, sur la base d'un référentiel publié par l'Agence du Numérique en Santé (ANS).
Ce référentiel a été modernisé : la version 2024, approuvée par arrêté du 26 avril 2024, intègre notamment des exigences de souveraineté (transparence sur la localisation des données). Depuis le 16 mai 2026, tous les certificats HDS actifs doivent être conformes à cette nouvelle version. Le certificat est valable trois ans, sous réserve d'audits de surveillance annuels.
Point pratique : la liste des hébergeurs certifiés est publique sur esante.gouv.fr. Si un éditeur affirme être « hébergé HDS », demandez-lui le nom de son hébergeur et vérifiez vous-même qu'il figure sur cette liste. C'est gratuit et cela prend deux minutes.
Ce que HDS ne couvre pas
C'est le point que peu d'éditeurs expliquent : la certification HDS porte sur l'activité d'hébergement, pas sur le logiciel lui-même. Elle existe en deux périmètres : l'hébergement d'infrastructure physique (locaux, matériel) et l'infogérance (infrastructure virtuelle, plateforme applicative, administration, sauvegarde externalisée).
Concrètement, un éditeur peut héberger son application chez un hébergeur certifié HDS tout en ayant :
- une application mal sécurisée (mots de passe faibles, failles, accès internes non contrôlés) ;
- des pratiques RGPD défaillantes (pas de contrat de sous-traitance, conservation illimitée) ;
- des transferts de données vers des services tiers non européens (analytics, IA, support).
« Hébergé HDS » est donc une condition nécessaire, jamais suffisante. C'est le premier filtre, pas le dernier.
Chiffrement : les trois niveaux à connaître
« Vos données sont chiffrées » est une phrase qui ne veut rien dire tant qu'on ne précise pas où et pour qui. Il existe trois niveaux très différents :
| Niveau | Ce que ça protège | Qui peut lire vos données | Comment le repérer |
|---|---|---|---|
| En transit (TLS) | L'interception pendant le trajet entre votre ordinateur et le serveur | L'éditeur et son hébergeur (les données arrivent lisibles sur le serveur) | Le cadenas « https » — c'est le strict minimum, présent partout |
| Au repos | Le vol physique des disques du serveur | L'éditeur et son hébergeur (le serveur déchiffre pour fonctionner) | Mentionné comme « AES-256 at rest » ; standard chez les hébergeurs sérieux |
| De bout en bout / zero-knowledge | Tout le monde sauf vous : les données sont chiffrées sur votre poste, avec une clé que vous seule détenez | Vous uniquement. Ni l'éditeur, ni l'hébergeur, ni un pirate qui volerait la base | L'éditeur doit pouvoir dire : « nous sommes techniquement incapables de lire vos dossiers » |
La différence est majeure en cas d'incident. Si la base de données d'un éditeur « chiffrement au repos » fuite alors que le serveur tourne, les données exposées sont lisibles. Avec du zero-knowledge, un attaquant récupère du contenu chiffré inutilisable sans vos clés.
Le test simple : demandez à l'éditeur « si je perds mon mot de passe, pouvez-vous récupérer mes dossiers ? ». S'il répond « oui, on vous les renvoie », c'est qu'il peut les lire — donc pas de zero-knowledge. Un vrai système zero-knowledge propose plutôt une phrase de récupération (une suite de mots à conserver précieusement), car l'éditeur ne détient pas vos clés.
Le zero-knowledge a une contrepartie honnête à connaître : si vous perdez à la fois votre mot de passe et votre phrase de récupération, personne ne peut restaurer vos données. C'est le prix de la confidentialité réelle.
Et quand il y a de l'IA : où vont vos données ?
De plus en plus de logiciels métier intègrent de l'IA — y compris en orthophonie, pour la rédaction de bilans (nous avons détaillé le sujet dans cet article sur l'IA en orthophonie). Or un modèle d'IA est presque toujours opéré par un sous-traitant supplémentaire. Quatre questions s'imposent :
- Où est hébergé le modèle ? Un modèle opéré aux États-Unis fait sortir vos données du cadre européen, avec les incertitudes juridiques que cela implique (lois extraterritoriales américaines). Privilégiez un modèle hébergé dans l'UE, avec un contrat de sous-traitance européen.
- Vos données servent-elles à entraîner le modèle ? C'est la question piège. La bonne réponse est un non contractuel : pas de réutilisation pour l'entraînement, et idéalement pas de rétention du tout (option dite « zero data retention » chez certains fournisseurs).
- Les données sont-elles pseudonymisées avant envoi ? Le nom, le prénom, la date de naissance de votre patient n'ont aucune utilité pour générer un texte de bilan. Un éditeur sérieux retire ou remplace ces éléments avant que le texte ne quitte votre poste — et vous montre ce qui part réellement. À titre d'exemple, c'est l'approche retenue par OrthoVox : pseudonymisation locale avec aperçu de la transformation avant chaque envoi à une IA hébergée à Paris.
- Y a-t-il une trace ? Un journal des requêtes IA (qui, quand) permet de documenter votre conformité en cas de contrôle.
Vos obligations RGPD : ce qui reste de votre côté
Aucun logiciel ne vous décharge de vos obligations. Selon la CNIL, le professionnel de santé libéral est responsable de traitement pour les données qu'il traite dans le cadre de la prise en charge de ses patients. Concrètement, cela implique :
- Tenir un registre des activités de traitement. C'est une obligation du RGPD, même pour un cabinet individuel. Il recense vos traitements (suivi des patients, agenda, facturation), reste en interne, et n'est transmis à la CNIL qu'en cas de contrôle.
- Informer vos patients du traitement de leurs données — un affichage en salle d'attente peut suffire. En revanche, leur consentement n'est pas requis pour les données nécessaires au diagnostic et aux soins.
- Signer un contrat de sous-traitance (souvent appelé DPA) avec chaque prestataire qui traite des données pour votre compte : éditeur de logiciel, solution de prise de rendez-vous, transcription… C'est l'article 28 du RGPD, et c'est à l'éditeur de vous le fournir.
- Limiter la conservation. Les données ne peuvent être gardées indéfiniment ; la référence usuelle, alignée sur les dossiers médicaux, est de 20 ans à compter de la dernière consultation.
- Sécuriser votre propre poste : mot de passe personnel robuste, verrouillage de session, sauvegardes. Le meilleur logiciel du monde ne protège pas un ordinateur déverrouillé en salle d'attente. (Pour une approche d'ensemble de l'outillage du cabinet, voir notre guide du numérique au cabinet.)
La checklist : 10 questions à poser avant de signer
Voici les questions à envoyer à n'importe quel éditeur — par écrit, pour garder une trace. Un éditeur sérieux y répond précisément ; les réponses vagues sont en elles-mêmes une réponse.
| # | Question | Ce qu'est une bonne réponse |
|---|---|---|
| 1 | Qui est votre hébergeur et est-il certifié HDS ? | Un nom précis, vérifiable sur la liste publique de l'ANS (esante.gouv.fr) |
| 2 | Où sont physiquement stockées les données ? | Un pays de l'UE nommé (« France », « Allemagne »), pas « dans le cloud » |
| 3 | Vos équipes peuvent-elles lire mes dossiers patients ? | « Non, techniquement impossible » (zero-knowledge) ou, à défaut, une politique d'accès stricte, tracée et justifiée |
| 4 | Si je perds mon mot de passe, pouvez-vous récupérer mes données ? | « Non, mais vous avez une phrase de récupération » — paradoxalement le bon signe |
| 5 | Quel chiffrement appliquez-vous, et à quel niveau ? | TLS en transit + chiffrement au repos au minimum ; chiffrement côté client (bout en bout) pour les données identifiantes en plus |
| 6 | Si vous utilisez de l'IA : où est hébergé le modèle, et mes données servent-elles à l'entraîner ? | Modèle hébergé dans l'UE, engagement contractuel de non-réutilisation pour l'entraînement |
| 7 | Les données sont-elles pseudonymisées avant tout envoi à l'IA ? | Oui, et l'utilisatrice peut voir ce qui est envoyé |
| 8 | Fournissez-vous un contrat de sous-traitance (article 28 RGPD) ? | Oui, document disponible avant la signature, listant les sous-traitants ultérieurs |
| 9 | Que se passe-t-il si je résilie ? Puis-je exporter mes données ? | Export complet dans un format lisible, puis suppression effective dans un délai précisé |
| 10 | Comment et sous quel délai notifiez-vous une violation de données ? | Procédure écrite ; l'éditeur vous alerte sans délai indu pour que vous puissiez notifier la CNIL sous 72 h si nécessaire |
Gardez les réponses : elles alimentent directement votre registre des traitements et documentent votre diligence en cas de contrôle.
FAQ
Un logiciel « hébergé HDS » est-il forcément conforme au RGPD ?
Non. La certification HDS porte sur l'hébergement (infrastructure, infogérance), pas sur l'application ni sur les pratiques de l'éditeur. Un logiciel peut être hébergé chez un hébergeur certifié et présenter par ailleurs des failles applicatives ou des transferts de données hors UE. HDS est un prérequis, pas un label de conformité globale.
Suis-je responsable si mon logiciel fuite les données de mes patients ?
Vous restez responsable de traitement : vous devez avoir choisi un prestataire présentant des garanties suffisantes et signé un contrat de sous-traitance. Si vous avez fait ces vérifications (et pouvez le prouver), la responsabilité de la faille technique incombe au sous-traitant. D'où l'intérêt de poser les questions par écrit et de conserver les réponses.
Le zero-knowledge est-il obligatoire ?
Non, aucun texte ne l'impose. Le RGPD exige des « mesures techniques et organisationnelles appropriées » au risque ; le chiffrement de bout en bout est aujourd'hui l'une des mesures les plus protectrices pour des données de santé, mais un chiffrement au repos avec une gestion d'accès rigoureuse peut être jugé approprié. Le zero-knowledge change surtout la donne en cas de compromission du serveur.
Dois-je faire signer un consentement à mes patients pour utiliser un logiciel ?
Non. Selon la CNIL, le consentement n'est pas requis pour traiter les données nécessaires au diagnostic et aux soins. Vous devez en revanche informer vos patients du traitement de leurs données, par exemple par un affichage en salle d'attente, et tenir votre registre des traitements à jour.
Comment vérifier moi-même qu'un hébergeur est certifié HDS ?
L'Agence du Numérique en Santé publie la liste des hébergeurs certifiés sur esante.gouv.fr. Demandez à l'éditeur le nom exact de son hébergeur et le périmètre du certificat (infrastructure physique ou infogérance), puis vérifiez sur la liste. Un éditeur transparent vous donnera ces informations sans difficulté.
Sources
- Certification HDS — Tout savoir, Agence du Numérique en Santé
- Certification des Hébergeurs de Données de Santé, ANS
- RGPD et professionnels de santé libéraux : ce que vous devez savoir, CNIL
- Quelles formalités pour les traitements de données de santé ?, CNIL
OrthoVox est un logiciel d'aide à la rédaction des bilans orthophoniques conçu pour répondre point par point à cette checklist : hébergement certifié HDS en France, chiffrement zero-knowledge AES-256 (nous ne pouvons pas lire vos dossiers), IA Mistral hébergée à Paris avec pseudonymisation locale visible avant chaque envoi. Essai gratuit 30 jours, sans carte bancaire, sur orthovox.fr.
Équipe OrthoVox
Équipe éditoriale
L’équipe OrthoVox publie des analyses pratiques pour orthophonistes libéraux : pratique clinique, outils numériques, et veille métier sourcée.
Articles similaires
Outils Numériques
Outils NumériquesL'intelligence artificielle en orthophonie : opportunité ou menace ?
L'IA bouleverse tous les secteurs, y compris la santé. Qu'en est-il pour l'orthophonie ? Analyse des opportunités, limites et perspectives pour notre profession.
Lire l’article