WhatsApp, Gmail ou Messenger restent largement utilisés par les soignants, mais ces outils ne répondent plus aux exigences de la HAS et aux RGPD en matière de confidentialité, de contrôle et de sobriété numérique. Hébergés hors UE et peu durables, ils doivent céder la place à des solutions souveraines et responsables.
Résumé
Les professionnels de santé utilisent encore WhatsApp ou Gmail pour échanger des données sensibles, mais ces outils sont contraires aux exigences de la HAS, au RGPD et aux objectifs de sobriété numérique. Hébergés hors UE, non contrôlables et à forte empreinte environnementale, ils posent des risques majeurs de confidentialité et de conformité. Les structures doivent désormais privilégier des solutions souveraines, sécurisées et responsables.
Dans un secteur où la confidentialité et la responsabilité sont des impératifs, l’usage massif d’outils grand public – WhatsApp, Gmail, Messenger – par les acteurs de santé interroge. Professionnels, établissements et structures médico-sociales s’y appuient au quotidien pour échanger des informations personnelles ou professionnelles. Or le référentiel d’évaluation de la Haute Autorité de santé (HAS), révisé en 2022 pour les ESSMS, challenge désormais explicitement les organisations sur leur stratégie numérique, leur stratégie de développement durable et, surtout, leur gestion de la confidentialité des données. Une réalité qui place WhatsApp & Co hors du champ des bonnes pratiques.
Confidentialité : WhatsApp, un service non conforme au cadre européen
Si WhatsApp annonce un chiffrement de bout en bout, l’application demeure un service hébergé et administré aux États-Unis, soumis au droit américain (Cloud Act). Ce dispositif permet aux autorités fédérales d’exiger l’accès à des données, y compris lorsqu’elles concernent des citoyens étrangers. La CNIL rappelle d’ailleurs que « le recours à des solutions non soumises au RGPD constitue un risque majeur » pour les structures de santé (CNIL, Guide RGPD Santé, 2023).
La HAS va plus loin : son Référentiel d’évaluation des ESSMS exige des établissements qu’ils recourent à des outils « garantissant la confidentialité, la disponibilité et l’intégrité des données » (HAS, 2022, critère 3.4). En clair, les solutions extraterritoriales non contrôlables sont incompatibles avec les attentes de conformité, de sécurité et de gouvernance des données.
Développement durable : le modèle des GAFAM à contre-courant
Autre angle mort : le coût environnemental des services grand public. Gmail et WhatsApp partagent un espace de stockage Google de 15 Go. En pratique, l’usage combiné de messages, photos et documents conduit rapidement à saturer cet espace – poussant l’utilisateur vers un abonnement Google One payant. Or la HAS, dans son référentiel, demande explicitement aux établissements de définir une stratégie de sobriété numérique (critère 4.3). Encourager l’augmentation continue des volumes stockés et la dépendance à des services énergivores opérés par des hyperscalers[1] va à rebours de cette exigence.
L’Ademe le rappelle : la croissance du stockage dans le cloud est l’un des premiers moteurs de l’empreinte carbone numérique (Ademe, Empreinte environnementale du numérique, 2023). Pour les acteurs de santé soumis à des obligations de responsabilité sociétale, ce modèle n’est plus soutenable.
Stratégie numérique : reprendre le contrôle
Mettre en place une stratégie numérique ne se limite pas à dématérialiser des documents. Il s’agit de choisir des outils contrôlables, dont la responsabilité est identifiable en cas d’incident. La Commission européenne, dans sa stratégie « Europe numérique », souligne l’importance de solutions européennes souveraines pour les secteurs critiques, dont la santé (CE, Digital Strategy, 2022). Utiliser des applications hors contrôle revient à externaliser la chaîne de responsabilité et à s’exposer à des risques juridiques, techniques et organisationnels.
Les acteurs de santé doivent donc privilégier des solutions dont :
- l’hébergement est français ou européen (HDS, SecNumCloud),
- les conditions d’utilisation sont maîtrisables,
- la traçabilité et la réversibilité sont garanties.
C’est le sens de l’appel de la CNIL à « favoriser les outils souverains dans les organisations manipulant des données sensibles » (CNIL, 2023).
Le retour des outils de proximité
Dans un contexte où les services de soins sont, par nature, des acteurs de proximité, un mouvement s’impose : celui du retour à des solutions locales, souveraines et responsables. Les éditeurs français et européens de messageries sécurisées (dont les outils MSSanté, Apicrypt, Signalement sécurisé) offrent des alternatives conformes au RGPD, à la doctrine du numérique en santé et aux attentes de la HAS.
Cette proximité opérationnelle n’est pas qu’un atout technique : elle renforce la confiance, facilite la formation, garantit l’identification d’un interlocuteur responsable et soutient la stratégie durable des établissements.