Vos données patients
méritent mieux que la chance.
Les plateformes de santé manipulent les données les plus sensibles qui existent. Avec le référentiel HDS 2.0 obligatoire au 16 mai 2026 et des amendes CNIL qui battent des records, un audit de sécurité n'est plus facultatif. C'est une obligation légale.
Réglementations applicables
HDS 2.0
16 mai 2026Hébergement de données de santé : certification obligatoire au 16 mai 2026 pour tout acteur qui héberge des données de santé pour le compte de tiers.
RGPD — Données sensibles
En vigueurLes données de santé sont des données sensibles (article 9). Toute exposition non autorisée déclenche une obligation de notification à la CNIL sous 72 h.
CNIL — Secteur prioritaire
Contrôles en coursLa santé est un secteur prioritaire pour les contrôles de la CNIL. Cegedim Santé : 15,8 M de dossiers patients exposés, 800 000 € d'amende en 2024.
Vulnérabilités fréquentes en healthtech
- API exposant des données patients sans authentification adéquate
- Règles RLS manquantes sur les bases de données (Supabase, Firebase)
- Webhooks non authentifiés qui permettent la création de comptes administrateurs
- Stockage de documents médicaux dans des buckets publics
- Absence de chiffrement des données sensibles en transit et au repos
Sur une plateforme de formation médicale, nous avons identifié une création de compte administrateur non authentifiée : accès total aux données utilisateurs en deux minutes.