Retour au blog
HealthtechSupabaseRLS

Healthtech sur Supabase : dossier patient et RLS, les pièges qui tiennent

Publié le 2026-04-16 · Mis à jour le 2026-06-014 min de lectureCleanIssue

> En bref : Un dossier patient exige une isolation plus stricte qu'un SaaS classique. Les erreurs RLS fréquentes dans les jeunes produits healthtech.

Comment protéger les dossiers patients dans une app Supabase ?

Le dossier patient n'est pas un ticket de support

Dans un produit healthtech, la règle d'accès n'est pas "mon organisation" mais "mon patient, mon praticien, ce soin-là, sur cette période". C'est beaucoup plus fin qu'un SaaS B2B classique.

Ce qui casse souvent

  • RLS qui filtre sur l'organisation sans filtrer sur le patient ;
  • partage de document entre praticiens sans expiration ;
  • historique complet visible par tous les comptes d'un cabinet, y compris le secrétariat.
  • Le bon niveau de rigueur

    Un produit de santé doit être capable de répondre : qui a vu quelle donnée, quand, pour quelle raison. Si la réponse dépend d'un log applicatif optionnel, ce n'est pas suffisant pour un hébergeur HDS.

    À retenir

  • Testez chaque politique RLS avec des tokens de rôles différents — un oubli sur SELECT suffit à exposer toutes les données.
  • Les buckets de stockage nécessitent leurs propres policies, indépendantes des RLS sur les tables.
  • Automatisez les tests de cloisonnement multi-tenant dans votre CI/CD avant chaque déploiement.
  • Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Sources

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit