Pourquoi vos documents sont supprimés après 24h
Quand on dit aux professionnels de santé que les documents envoyés via FranceOrdo sont supprimés après 24 heures, la réaction est presque toujours la même : "Pourquoi si court ?" Bonne question. La réponse courte : parce qu'une donnée de santé qui n'existe plus ne peut ni être volée, ni être fuitée, ni être exploitée. Et la réponse longue, la voici.
Ce n'est pas une contrainte, c'est un choix
Soyons honnêtes. Techniquement, on pourrait stocker vos documents pendant des semaines, des mois, voire des années. Les serveurs le permettent. Le coût de stockage est dérisoire. Rien ne nous empêche de conserver les fichiers.
Mais on a fait le choix inverse. Volontairement.
L'article 5.1.c du RGPD pose un principe clair : les données personnelles doivent être "limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées." C'est le principe de minimisation. En clair : ne gardez que ce dont vous avez besoin, et pas une seconde de plus.
Pour un outil de transmission de documents (et non d'archivage), 24 heures est largement suffisant. Le patient envoie son ordonnance. Le pharmacien la consulte, la télécharge, l'imprime. Fin de la transmission. Le document n'a plus aucune raison de rester sur nos serveurs.
Ce que les chiffres disent sur le stockage prolongé
On ne va pas se mentir : les grandes fuites de données en santé partagent un point commun. Ce n'est pas la sophistication de l'attaque. C'est la quantité de données accumulées.
Quelques exemples concrets.
Cegedim Santé (2026) : 15 millions de patients concernés. Des annotations médicales intimes (séropositivité, addictions, traumatismes) se sont retrouvées sur le dark web (source : France Info, février 2026). Des années de données accumulées dans un seul logiciel, exfiltrées en une seule attaque.
Hôpital de Cannes (2024) : 61 Go publiés par le groupe LockBit (source : CERT Santé). Des bilans de santé, des bulletins de salaire, des pièces d'identité. Des années de données accumulées, exfiltrées en une seule attaque.
Coût moyen d'une violation de données en santé : 10,93 millions de dollars en 2023, le secteur le plus touché pour la 13e année consécutive (source : IBM Cost of a Data Breach Report 2023). Et le facteur aggravant numéro un ? Le volume de données exposées.
Le schéma est toujours le même. Plus on stocke longtemps, plus la surface d'attaque grandit. Et quand l'attaque arrive (pas si, quand), les dégâts sont proportionnels au stock.
Le parcours d'un document, du téléphone à la suppression
Concrètement, voici ce qui se passe quand un patient vous envoie un document.
1. Envoi
Le patient scanne votre QR code, sélectionne son fichier, valide. Le document est transmis en HTTPS.
2. Traitement
Le serveur valide le fichier (type, taille, format). Puis il le chiffre individuellement avec AES-256-GCM et un vecteur d'initialisation unique par fichier. Même document envoyé deux fois, résultat chiffré complètement différent. On détaille ce processus dans notre article sur le chiffrement des documents patients.
3. Stockage chiffré
Le document chiffré est envoyé vers un stockage S3, physiquement en France. Il n'est jamais stocké en clair.
4. Consultation
Vous ouvrez votre back-office, vous voyez le document. Vous le téléchargez, l'imprimez, ou l'intégrez dans votre LGO. Business as usual.
5. Suppression automatique
24 heures après réception, le document est supprimé. Du stockage, de la base de données, du cache. Il n'en reste aucune trace. Aucune.
Pas de bouton "supprimer" à cliquer. Pas de purge manuelle à planifier un vendredi sur deux. C'est automatique, systématique, sans exception.
L'analogie du facteur
L'image la plus simple pour comprendre ce fonctionnement : La Poste.
Le facteur prend votre courrier au bureau de poste. Il le livre dans votre boîte aux lettres. Puis il passe à l'adresse suivante. Il ne garde pas une copie de votre lettre dans son sac. Il ne la photocopie pas "au cas où". Son boulot, c'est la transmission. Pas l'archivage.
FranceOrdo fonctionne pareil. Le document arrive, il est transmis au professionnel de santé, puis il disparaît. C'est l'inverse de l'email qui accumule tout indéfiniment. Le stockage long terme, c'est le rôle de votre logiciel de gestion d'officine (LGO), avec ses propres durées réglementaires (3 ans pour les ordonnances, par exemple).
Comparaison : 24h vs stockage indéfini
| Critère | Stockage indéfini | Suppression à 24h |
|---|---|---|
| Surface d'attaque | ✗ Grandit chaque jour | ✓ Constante et minimale |
| Impact d'une fuite | ✗ Mois ou années exposées | ✓ Maximum 24h de documents |
| Conformité RGPD (art. 5.1.c) | ✗ À prouver activement | ✓ Structurelle par design |
| Purge des données | ✗ Manuelle (rarement faite) | ✓ Automatique |
| Demande d'accès (art. 15) | ✗ Base volumineuse à fouiller | ✓ Après 24h, rien à fournir |
La différence fondamentale : avec la suppression automatique, la conformité n'est pas un effort. Elle est intégrée dans le fonctionnement même de l'outil. La CNIL appelle ça le "privacy by design" (protection des données dès la conception). Ce n'est pas un argument marketing. C'est l'article 25 du RGPD.
"Mais si j'ai besoin du document après 24h ?"
Question légitime. Et la réponse est simple : téléchargez-le avant.
En pratique, la grande majorité des pharmaciens consultent les documents dans l'heure qui suit la réception. L'ordonnance arrive, elle est traitée, elle est dispensée. 24 heures, c'est une marge confortable.
Et si vous avez besoin de conserver un document plus longtemps (ce qui est normal pour certains cas), intégrez-le dans votre LGO. C'est son rôle. C'est là que vivent les dossiers patients, avec les durées de conservation réglementaires.
FranceOrdo est le canal de transmission. Votre LGO est le lieu de stockage. Les deux ont des rôles distincts.
En résumé
- La suppression après 24h est un choix de sécurité, pas une limite technique
- Le principe de minimisation (article 5.1.c du RGPD) impose de ne conserver que le strict nécessaire
- Les grandes fuites en santé sont aggravées par l'accumulation (Cegedim 2026 : 15M de patients sur le dark web, Cannes : 61 Go publiés)
- FranceOrdo est un outil de transmission, pas d'archivage. Comme un facteur : il livre, il ne stocke pas
- Votre LGO reste le dossier patient pour la conservation réglementaire
- La conformité RGPD est structurelle (privacy by design), pas déclarative
Vos documents supprimés après 24h, automatiquement, sans exception. Pas de données qui s'accumulent, pas de risque qui grandit.
Essayer FranceOrdo gratuitement pendant 45 jours