Pharmaciens : pourquoi l'email met vos patients en danger

Un mardi matin, un pharmacien du sud de la France découvre que sa boîte Gmail professionnelle a été compromise. Mot de passe faible, pas de double authentification. Le temps qu'il s'en rende compte, des mois d'ordonnances, de cartes de mutuelle et d'échanges avec des patients étaient accessibles. Notification CNIL, lettres aux patients concernés, changement de tous les accès. Le genre de semaine dont on se passerait.

Ce pharmacien n'est pas un cas isolé. En 2024, 749 incidents de cybersécurité ont été déclarés dans le secteur de la santé en France (source : CERT Santé, l'organisme national de cybersécurité en santé, Observatoire 2024). Et dans la majorité des cas, tout commence par un email.

L'email n'a jamais été conçu pour ça

Quand un patient vous envoie une photo d'ordonnance par email, voici ce qui se passe réellement :

1. Le document traverse Internet en clair. La plupart des emails ne sont pas chiffrés de bout en bout. Entre le téléphone du patient et votre boîte mail, le document passe par plusieurs serveurs. Chacun peut théoriquement le lire.
2. Votre boîte mail n'est pas certifiée HDS. Gmail, Outlook, Yahoo : aucun de ces services n'est Hébergeur de Données de Santé. Depuis 2018, la loi impose que les données de santé soient hébergées sur des infrastructures certifiées (article L.1111-8 du Code de la santé publique).
3. Les pièces jointes restent indéfiniment. Combien d'ordonnances traînent dans votre boîte de réception depuis des mois ? Le RGPD impose une durée de conservation limitée et proportionnée.

Ce que ça coûte quand ça tourne mal

Ces risques ne sont pas théoriques. L'hameçonnage reste la première menace cyber en France (source : Cybermalveillance.gouv.fr, Rapport 2024). Et le secteur de la santé est une cible de choix : il représente plus de 10% des incidents de ransomware traités par l'ANSSI (source : ANSSI, État de la menace secteur santé, 2024).

Financièrement, les professionnels de santé ne sont pas épargnés par la CNIL. Des praticiens individuels ont déjà été sanctionnés pour des amendes de 3 000 à 6 000 euros, simplement pour des données patients mal protégées (source : CNIL). Et les montants grimpent vite selon la gravité.

En cas de piratage, c'est l'ensemble de votre boîte qui est exposé. Toutes les ordonnances reçues, d'un coup. Et les données de santé sont particulièrement recherchées : selon l'ANSSI, elles figurent parmi les plus valorisées sur les marchés cybercriminels, bien au-dessus des données bancaires. Un numéro de carte se bloque en quelques heures. Un dossier médical contient des informations permanentes.

Côté confiance, un patient dont les données fuitent ne revient pas. Et il en parle autour de lui.

"Mais ma boîte mail est sécurisée, non ?"

C'est l'objection classique. "J'ai un bon mot de passe, j'utilise Outlook pro, c'est pas Gmail." Sauf que le problème n'est pas là.

• Un mot de passe fort ne chiffre pas les emails. Votre mot de passe protège l'accès à votre boîte. Il ne chiffre pas le contenu des messages ni les pièces jointes qui transitent entre serveurs.
• Outlook, ProtonMail, Gmail : aucun n'est certifié HDS. Même une messagerie "pro" n'est pas un hébergeur de données de santé au sens de la loi. Le problème, c'est l'infrastructure, pas le fournisseur.
• Les pièces jointes restent accessibles à l'administrateur du serveur mail. Votre prestataire email a techniquement accès à tout ce qui transite. Ce n'est pas compatible avec le secret médical.

Bref, sécurisé ne veut pas dire conforme. Un cadenas sur la boîte aux lettres n'empêche pas le facteur de lire la carte postale.

Ce qu'il faudrait, idéalement

Le problème, ce n'est pas la dématérialisation en soi. C'est l'outil. Recevoir des documents de patients par voie numérique, c'est une bonne idée. Mais il faut que l'outil soit pensé pour ça.

Un outil adapté devrait chiffrer les documents (pas seulement pendant le transport), être hébergé sur une infrastructure certifiée HDS, supprimer automatiquement les fichiers après traitement, et ne pas demander au patient de créer un compte. Parce qu'au comptoir, chaque seconde de friction compte.

C'est l'approche qu'on a choisie chez FranceOrdo. Le patient scanne un QR code, envoie son document, et vous le recevez chiffré sur un hébergement HDS. 24 heures plus tard, le fichier est automatiquement supprimé.

Ce qu'il faut retenir

• L'email n'est pas chiffré, pas certifié HDS, et accumule les données sans limite de durée
• Les sanctions CNIL touchent aussi des praticiens individuels (3 000 à 6 000€ d'amende)
• Même une messagerie pro avec un bon mot de passe ne rend pas l'email conforme
• Des solutions dédiées, conçues pour la santé, existent