Gmail en pharmacie, c'est un risque réel sur trois fronts : RGPD, HDS, déontologie (nouveau Code 2026). La solution la plus pratique aujourd'hui : QR code DocuPharm (patient dépose sans compte) ou QR code intra-LGO si ton éditeur le propose. Si tu utilises déjà Gmail pro : 13,60 €/mois pour passer en Google Workspace + avenant HDS règle le problème. MSSanté + BAL organisationnelle est la voie 100 % souveraine. Mon Espace Santé progresse vite (24 millions d'activations début 2026) mais 65 % des patients n'y sont pas encore. La première action à faire aujourd'hui : retirer l'adresse @gmail.com de ta vitrine.
Lundi matin, 9h07
Le patient est arrivé sans rien dans les mains.
Son médecin l'a vu la veille. L'ordonnance est sur son téléphone, en photo. Il est pressé : son bus passe dans dix minutes, il travaille à l'autre bout de la ville. Il tient son écran vers toi avec ce geste qu'on commence tous à connaître : une ordonnance en portrait, légèrement floue, bord de la photo coupé sur le bas droit.
Tu regardes. La molécule est lisible. Le dosage aussi. Mais le format ne rentre pas dans ton LGO tel quel.
Tu lui proposes de l'envoyer à l'email de la pharmacie.
Il sort son téléphone. Il voit l'adresse affichée sur l'affichette plastifiée collée en vitrine depuis 2018. Il tape. Il envoie. Il repart avec ses médicaments deux minutes plus tard.
Derrière ton comptoir, tu ouvres Gmail. L'email est là. Tu vois le nom du patient, son médecin, la pathologie sous-jacente visible dans le nom du médicament. Tu imprimes, tu scannes dans ton LGO, tu supprimes l'email. Dix secondes de manipulation.
La scène paraît anodine. Elle se répète dans des milliers d'officines chaque jour, probablement chaque heure. Elle s'est installée tranquillement depuis 2020, quand il fallait bien trouver un moyen de continuer à travailler à distance, pendant les fermetures, les quarantaines, les médecins qui consultaient en vidéo et envoyaient leurs ordonnances en PDF par WhatsApp.
Et personne n'a vraiment corrigé le tir depuis.
C'est humain. On règle les urgences du moment, puis les habitudes s'installent. Le patient est satisfait, tu l'as servi vite, l'équipe a tourné. Pourquoi changer quelque chose qui "fonctionne" ?
La réponse est dans trois textes de loi qui se sont durcis, accumulés ou renforcés depuis 2024. Et dans un décret du 3 mars 2026 qui a changé la nature du problème : pas seulement administratif, pas seulement technique. Déontologique.
Je ne cherche pas à te faire peur. Les sanctions pour ce cas précis sont rares à ce jour, et je vais te le dire clairement dans la section sur les risques. Mais "rare jusqu'ici" n'est pas la même chose que "sans risque". Et surtout, des solutions existent. Des solutions qui n'obligent pas ton patient à créer un compte, à télécharger une application, à avoir activé Mon Espace Santé.
C'est ce que je veux poser ici : un état des lieux honnête, sans catastrophisme, et un classement pratique de ce qui marche vraiment au quotidien.
Le cadre réglementaire : ce que la loi dit, mot pour mot
Le pharmacien qui reçoit des ordonnances par email est responsable de traitement au sens du RGPD (art. 4.7). Il doit garantir une sécurité appropriée des données de santé (art. 32). Gmail grand public n'est pas certifié HDS. Les solutions conformes incluent MSSanté + BAL organisationnelle, les formulaires HDS avec QR code, et Doctolib.
Avant de parler solutions, il faut poser le cadre. Clairement, sans interprétation. Parce que ce sujet a généré des positions contradictoires dans les débats entre professionnels : certaines justes, d'autres techniquement vraies mais incomplètes dans leurs conséquences pratiques. Je vais lever les ambiguïtés une par une.
Qui pilote les règles du numérique en santé ?
L'Agence du Numérique en Santé (ANS) est l'opérateur public chargé de piloter la transformation numérique du système de santé français. Placée sous la tutelle du ministère de la Santé, elle définit les standards d'interopérabilité et de sécurité que doivent respecter tous les outils numériques en santé : messageries, logiciels, plateformes d'hébergement. Son référentiel phare, la PGSSI-S (Politique Générale de Sécurité des SI de Santé), fixe les règles minimales pour tout échange de données de santé entre professionnels ou entre un professionnel et son patient. MSSanté, Mon Espace Santé et la liste officielle des hébergeurs certifiés HDS sont trois dispositifs directement pilotés par l'ANS. Quand un fournisseur revendique la conformité HDS, c'est à cette agence qu'appartient la décision de certification.
C'est le point de départ de tout ce qui suit.
Les ordonnances sont des données de santé. Pas un document administratif.
L'article 9 du RGPD définit les "catégories particulières de données" : celles qui bénéficient d'une protection renforcée parce qu'elles touchent à ce qu'on est, pas seulement à ce qu'on fait. Les données de santé en font partie : "les données relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne."
Une ordonnance. Une attestation d'affection de longue durée. Une carte mutuelle mentionnant une pathologie chronique. Tout ça entre dans cette case. Le régime de protection est renforcé dès la réception, pas seulement si tu stockes intentionnellement.
Tu es responsable de traitement. Pas le patient.
C'est là que beaucoup de discussions s'égarent. L'argument "c'est le patient qui envoie, c'est lui le responsable" est juridiquement inexact sur le fond.
L'article 4.7 du RGPD est clair : le responsable de traitement est la personne qui "détermine les finalités et les moyens du traitement." Dès que tu reçois l'email, dès que tu lis l'ordonnance, dès qu'elle reste dans ta boite le temps de l'importer dans ton LGO : c'est toi qui traites cette donnée. La responsabilité du patient pour l'acte d'envoi depuis sa messagerie personnelle ne te décharge pas de tes propres obligations sur ce que tu en fais après réception.
La suppression de l'email après import réduit le risque d'aggravation : accumuler 300 ordonnances en clair dans Gmail est pire qu'en traiter une et la supprimer. Mais elle ne "guérit" pas rétroactivement la violation commise pendant le temps où la donnée était dans un canal non sécurisé. La violation de l'article 32 du RGPD a lieu dès la réception dans ce canal, pas après.
L'article 32 : la sécurité proportionnelle au risque
L'article 32 du RGPD impose au responsable de traitement de mettre en oeuvre "des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque." Pour des données de santé : données à risque élevé par définition : le niveau attendu est élevé : chiffrement en transit, chiffrement au repos, accès contrôlé.
La position officielle de la CNIL sur les messageries électroniques est publiée sur son site : "la messagerie électronique ne constitue pas a priori un moyen de communication sûr pour la transmission de données médicales nominatives." Son référentiel CNIL pour les officines de pharmacie (2022) et le guide co-produit avec l'Ordre national des pharmaciens en 2023 le confirment.
Gmail grand public ne remplit aucune de ces conditions de façon certifiée pour toi.
L.1111-8 CSP : la certification HDS et son périmètre exact
Cet article L.1111-8 du Code de la santé publique oblige quiconque héberge des données de santé "pour le compte de" tiers à détenir une certification Hébergeur de Données de Santé (HDS), délivrée par des organismes accrédités COFRAC. La certification dure 3 ans, avec audit annuel.
Un point souvent mal compris : la certification HDS cible les hébergeurs tiers, pas le pharmacien lui-même qui gère ses propres données en interne. Si ton LGO est installé sur un serveur local dans ton arrière-boutique, tu n'es pas toi-même soumis à l'obligation d'être certifié HDS. Mais le prestataire cloud qui héberge ton LGO à distance, lui, doit l'être.
La distinction traitement / hébergement / transit. Des juristes spécialisés soulèvent une nuance que je veux présenter honnêtement : techniquement, la certification HDS vise l'hébergement "pour le compte de" tiers, pas le simple transit d'un email en réseau. Le Code des postes et communications électroniques prévoit des exemptions pour les copies temporaires liées à la transmission. C'est un argument valide en théorie pure.
Voilà le problème pratique : l'email Gmail ne fait pas que transiter. Il s'installe dans ta boite après réception. Il reste là jusqu'à ce que tu le supprimes. Et ce stockage résiduel : même involontaire, même de quelques minutes : constitue un hébergement de fait de données de santé sur une infrastructure sans couverture HDS pour toi. Il n'y a pas de jurisprudence française directement applicable sur ce point précis à ce jour. C'est une zone grise réelle, que les spécialistes débattent. Et la prudence s'impose précisément parce qu'elle n'est pas tranchée.
Par ailleurs, même en admettant la thèse du "transit pur", l'article 32 du RGPD s'applique indépendamment. L'email Gmail n'est pas chiffré de bout en bout : les données de santé y circulent sans les garanties attendues pour des données à risque élevé. C'est une violation de l'obligation de sécurité, quelle que soit la qualification juridique du transit.
Et Google Cloud certifié HDS, ça ne couvre pas Gmail ? Non. Google Cloud et Google Workspace disposent d'une certification HDS v2.0 depuis mai 2024, valable jusqu'en mai 2027. C'est réel, c'est sérieux. Mais cette certification ne s'applique pas à ton compte Gmail @gmail.com. Elle s'active uniquement si tu as souscrit un abonnement Google Workspace payant ET si tu as signé l'avenant contractuel HDS spécifique avec Google. Sans cet avenant : pas de couverture HDS, quel que soit le datacenter physique utilisé.
C'est la différence entre un hôtel certifié normes d'accessibilité et une chambre sans ascenseur. La certification de l'infrastructure ne bénéficie pas automatiquement à chaque utilisateur.
Depuis le 16 mai 2026, la transition vers le référentiel HDS v2.0 est obligatoire. Les certifications HDS v1.1 antérieures sont caduques. Tout fournisseur encore sous l'ancien référentiel ne peut légalement plus héberger des données de santé pour tiers.
R.4235-10 : quand la déontologie absorbe le numérique
Le Décret n° 2026-156 du 3 mars 2026 a publié au Journal officiel du 5 mars 2026 la nouvelle version du Code de déontologie des pharmaciens. C'est du droit nouveau. Son article R.4235-10 mérite d'être lu en entier :
"Le recours aux outils et services numériques par le pharmacien s'effectue dans le respect des règles de déontologie de la profession, des règles d'identification, de sécurité et d'interopérabilité des services numériques en santé définies aux articles L. 1470-1 et suivants, relatives à la qualité de la prise en charge du patient, ni celle des actes professionnels réalisés. Il veille auprès du patient à la qualité de l'utilisation de ces outils et services numériques.
Le pharmacien assure le traitement, la collecte, la protection et la conservation des données personnelles des patients portées à sa connaissance dans le cadre de son exercice professionnel et strictement nécessaires à leur prise en charge, quel qu'en soit le support, dans les conditions prévues par le règlement (UE) 2016/679 du 27 avril 2016 et la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés."
Cet article est opposable à tout pharmacien inscrit à l'Ordre : titulaires et adjoints.
Ce qu'il change concrètement : avant ce décret, la question de la messagerie était essentiellement un sujet RGPD, géré par la CNIL. L'Ordre avait peu de prise directe sur ces pratiques numériques. Avec R.4235-10, la déontologie professionnelle absorbe explicitement les obligations numériques. L'article renvoie aux "règles d'identification, de sécurité et d'interopérabilité définies aux articles L. 1470-1 et suivants" : ces articles renvoient au Ségur du numérique et aux standards ANS. Gmail n'y figure pas. La messagerie organisationnelle MSSanté selon le référentiel de l'ANS a été conçue précisément pour répondre à ces exigences.
Un pharmacien qui continue d'afficher une adresse @gmail.com sur sa vitrine et d'y recevoir des ordonnances s'expose désormais à une procédure ordinale, en plus des risques RGPD. Ce n'est plus un détail technique. C'est une question de conformité à laquelle l'Ordre peut demander des comptes si un patient porte plainte.
Ce que ça risque concrètement. Sur le plan RGPD : aucune sanction identifiée spécifiquement pour email non sécurisé en pharmacie à ce jour. Cela ne signifie pas absence de risque : cela signifie que la CNIL priorise ses contrôles. En cas de fuite documentée (piratage du compte Gmail, email envoyé par erreur à un tiers), la probabilité de procédure devient élevée. Les précédents récents pour des professionnels de santé : entre 3 000 et 6 000 euros pour des médecins sur des manquements à la sécurité. Pour une officine individuelle, une première violation isolée : fourchette probable entre 3 000 et 50 000 euros selon la gravité et la coopération.
Sur le plan ordinal (depuis R.4235-10) : l'échelle va de l'avertissement à l'interdiction temporaire d'exercer. Pas de précédent publié spécifique email/Gmail à ce jour, mais le texte est là.
Sur le plan civil : si une fuite cause un préjudice documenté à un patient, le Code civil permet une action en responsabilité. Préjudice moral pour violation de vie privée : entre 1 000 et 10 000 euros selon les tribunaux.
Les 8 solutions qui marchent vraiment, classées par praticité
Note liminaire : les éléments qui suivent sont sourcés sur des données publiques vérifiées. DocuPharm, Google Workspace, Microsoft 365, Doctolib, meSoigner, MSSanté et Mon Espace Santé ont été vérifiés individuellement. Le disclaimer de l'article s'applique à l'ensemble de cette section.
Je classe ces solutions du plus pratique au moins pratique : critères : friction patient, friction pharmacie, coût, facilité de mise en place. Pas par niveau de conformité stricte, parce que ce n'est pas comme ça qu'une pharmacie choisit en pratique. Ce qui est conforme et personne n'utilise ne résout pas le problème.
1. DocuPharm : QR code en vitrine, dépôt direct sans compte
Le principe. Le patient voit un QR code affiché en vitrine ou sur ton comptoir. Il le scanne depuis son téléphone, accède à un formulaire web, dépose son ordonnance ou son document en quelques secondes. Pas de compte à créer, pas d'application à installer, pas de Mon Espace Santé requis. La pharmacie reçoit le document dans un espace sécurisé.
Conformité. DocuPharm héberge les données chez un prestataire certifié HDS en France (selon leurs conditions générales). Les données sont supprimées 30 jours après dépôt. RGPD conforme. Une vérification sur la liste officielle ANS des hébergeurs certifiés (esante.gouv.fr) avant adoption reste la bonne pratique : DocuPharm peut figurer sous le nom de son hébergeur technique plutôt que sous son propre nom.
Workflow comptoir. Patient scanne, dépose, repart. La pharmacie reçoit une notification dans son espace sécurisé. Intégration dans le LGO à vérifier selon l'éditeur. Essai gratuit 30 jours, puis abonnement mensuel sur demande (tarif non affiché publiquement : fourchette de marché pour ce type de solution : 10 à 40 euros/mois).
Avantage principal. C'est la seule solution qui sécurise les deux bouts du flux sans rien demander au patient. Il ne passe pas par sa propre boite Gmail pour envoyer : il dépose directement sur un environnement sécurisé. L'email standard ne peut pas offrir ça, même avec un avenant HDS côté pharmacie : le patient continue d'envoyer depuis son compte personnel.
Limite. Tarif non public, à demander directement. Vérifier la compatibilité avec ton LGO avant de signer.
2. QR code intra-LGO (Pharmagest, logiciel iD)
Le principe. Certains éditeurs de LGO proposent nativement une fonction de dépôt d'ordonnance par QR code. Le QR code généré par le LGO est imprimé et affiché en vitrine. Le patient le scanne, dépose son fichier, un code de sécurité est généré. Il communique ce code au comptoir, le pharmacien le saisit dans son LGO et récupère le fichier.
Conformité. Pharmagest (logiciel iD, anciennement LGPI) est certifié hébergeur de données de santé, données hébergées en France. Le logiciel iD a été le premier à déployer l'ordonnance numérique Ségur. Sous réserve que ton LGO propose bien cette fonction et que l'hébergement soit bien dans le scope HDS de l'éditeur : à confirmer directement avec lui.
Coût. Inclus dans l'abonnement LGO existant. Pas de surcoût identifié.
Workflow comptoir. Zéro friction patient : scan depuis son téléphone, dépôt en 1 clic, code de récupération communiqué au comptoir. Le pharmacien récupère le document directement dans son interface LGO.
Avantage principal. C'est la solution la plus intégrée si ton éditeur la propose. Pas de nouvel abonnement, pas de nouvelle interface, tout reste dans ton environnement de travail habituel.
Limite. La disponibilité varie selon la version du LGO et la configuration de l'officine. À activer en priorité si ton LGO le propose.
3. Google Workspace Business Standard + avenant HDS : 13,60 €/mois
Le principe. Tu passes de ton compte Gmail @gmail.com gratuit à un abonnement Google Workspace payant avec une adresse professionnelle @tonnom.fr. Tu signes ensuite l'avenant contractuel HDS avec Google via ta console d'administration. Dès lors, ton flux email est couvert par la certification HDS v2.0 de Google (valable jusqu'en mai 2027, auditée par Bureau Veritas accrédité COFRAC).
C'est la solution que je recommande pour les pharmacies déjà habituées à Gmail. Si tu as déjà un compte Gmail pro, le plus simple reste de passer à Workspace Business Standard à 13,60 euros/mois et de signer l'avenant HDS : tu gardes ton interface, tu gardes tes habitudes, tu règles le problème.
Condition sine qua non. L'avenant doit être signé. Sans lui, même un abonnement Workspace ne couvre pas les données de santé. La certification HDS de Google ne s'active pas automatiquement : elle nécessite une démarche contractuelle de ta part dans ta console Google. Le Business Standard (13,60 euros/mois/utilisateur) est l'édition recommandée pour ce type d'usage.
Conformité. Google Cloud dispose de la certification HDS v2.0 depuis mai 2024. Les données au repos sont hébergées dans l'EEE dans le cadre HDS. Une tension juridique réelle existe entre le Cloud Act américain (Google est une société de droit américain) et le RGPD européen : mais le Conseil d'État français a admis la licéité du modèle cloud américain pour Doctolib en 2021, et aucune sanction CNIL n'a été prononcée sur ce fondement pour des messageries professionnelles de santé à ce jour.
Caveat absolu. Le compte @gmail.com personnel de tes collaborateurs reste non couvert, même si la pharmacie a signé l'avenant Workspace. L'avenant ne couvre que l'abonnement sous lequel il a été signé.
4. Microsoft 365 Business Standard + avenant HDS : à partir de 13,10 €/mois
Le principe. Identique à Google Workspace : abonnement Microsoft 365 Business Standard (ou supérieur) avec données provisionnées en France ou dans l'UE, plus signature des clauses contractuelles HDS auprès de Microsoft.
Conformité. Microsoft 365 Core Online Services disposent de la certification HDS, auditée par BSI Group accrédité COFRAC. Les données provisionnées depuis la France ou l'UE sont couvertes. Une nuance importante : la procédure de signature des clauses HDS chez Microsoft est moins en self-service que chez Google : elle nécessite un contact avec le support commercial ou un revendeur Microsoft. Prévoir ce délai.
Coût. 13,10 euros/mois/utilisateur à partir du 1er juillet 2026 (hausse de +12 % sur l'ancien tarif de 11,70 euros). Tarif quasi identique à Google Workspace au second semestre 2026.
Même tension Cloud Act que Google. Même tolérance institutionnelle résultant de la décision Conseil d'État 2021.
Caveat absolu. Outlook.com (gratuit grand public) et tout abonnement Microsoft 365 sans clauses HDS signées = même statut juridique que Gmail.
5. Doctolib
Le principe. Le médecin envoie l'ordonnance via Doctolib au patient, qui peut la partager avec sa pharmacie via son compte Doctolib patient. Depuis 2026, les ordonnances partagées par les patients via Doctolib arrivent directement dans l'onglet messagerie patients du LGO de la pharmacie : plus besoin d'une interface Doctolib séparée côté pharmacien, sous réserve que le LGO soit à jour.
Conformité. Doctolib est certifié HDS et ISO 27001. Infrastructure : AWS (Amazon Web Services), lui-même certifié HDS. Décision Conseil d'État 2021 : l'hébergement AWS pour données de santé a été admis comme licite. Cloud Act : même tension que Google/Microsoft, même tolérance institutionnelle.
Le frein principal. Le médecin prescripteur doit utiliser Doctolib. Si ton médecin référent n'y est pas, ce canal n'existe pas pour ce patient. Doctolib couvre plus de 300 000 professionnels de santé en France, mais pas les hôpitaux, pas les médecins hospitaliers, pas tous les spécialistes libéraux.
Pour qui. Les pharmacies dont les prescripteurs référents sont majoritairement sur Doctolib. Très pertinent dans les zones urbaines à forte densité Doctolib. Moins pertinent en territoire rural ou pour les patients suivis en établissement hospitalier.
6. meSoigner : 2 800 pharmacies, certification HDS niveau 5
Le principe. Le patient télécharge l'application meSoigner sur son smartphone, crée un compte, et peut envoyer ses documents de santé à sa pharmacie via l'app. La pharmacie reçoit dans son espace dédié.
Conformité. meSoigner a obtenu la double certification ISO 27001 + HDS niveau 5 en juillet 2025. Plus de 2 800 pharmacies l'utilisent. Ce n'est pas une solution "à vérifier" : c'est une solution certifiée conforme depuis juillet 2025. La raison pour laquelle elle figurait dans des listes de solutions "incertaines" avant cette date n'est plus valide.
La friction à poser honnêtement. Le patient doit télécharger l'app et créer un compte. C'est une étape supplémentaire par rapport au QR code DocuPharm qui ne demande rien. Pour les patients réguliers, cette friction s'estompe. Pour le patient pressé qui arrive sans rien, c'est un frein réel.
Pour qui. Les pharmacies qui souhaitent une solution bien implantée dans le secteur (2 800 officines = un réseau significatif), avec une certification solide et une relation patient suivie via app. Moins adapté si ta priorité est zéro friction pour le premier contact.
7. MSSanté + Boite aux Lettres Organisationnelle
Le principe. La pharmacie dispose d'une boite aux lettres organisationnelle MSSanté au nom de l'officine. Le patient peut lui envoyer des documents de santé via Mon Espace Santé. La pharmacie reçoit dans sa BAL et importe dans le LGO.
Conformité. Infrastructure gérée directement par l'ANS, hébergée sur serveurs souverains français dans le cadre de la PGSSI-S. Conforme par construction réglementaire : le dispositif est fondé par la loi.
Coût. Entre 0 et 90 euros TTC par an selon les régions. En Île-de-France : 45 euros TTC la première année (subvention URPS IDF), 90 euros les suivantes. Bonus ROSP de 50 euros versé si déclaration d'usage conforme à l'avenant conventionnel pharmaceutique : potentiellement zéro net la première année en IDF. Dans certaines régions, c'est gratuit.
Activation. Via ton URPS Pharmaciens régionale. Dossier simple, pas de contact commercial requis.
Le frein principal. Le patient doit avoir activé Mon Espace Santé pour pouvoir t'envoyer un document. Au 1er janvier 2026 : 24 millions de profils activés (source ANS), soit environ un Français sur trois. Le taux dépasse 40 % pour les 25-69 ans. La progression est nette : 7 millions d'activations supplémentaires en un an. Mais 65 % de ta patientèle potentielle ne peut pas encore utiliser ce canal.
Pourquoi l'activer quand même. Parce que Mon Espace Santé progresse vite, et parce que c'est la solution 100 % souveraine qui te prépare au canal dominant de demain. La BAL org prend 2 semaines à activer : autant le faire maintenant. Et pour les patients qui ont activé MES (ceux qui reviennent régulièrement, les patients chroniques), c'est un vrai service.
8. Mon Espace Santé / DMP
Le principe. Le patient utilise son espace personnel Mon Espace Santé (anciennement DMP) pour partager un document de santé avec sa pharmacie. La pharmacie y accède via sa carte CPS et son LGO connecté.
Conformité. Infrastructure ANS, conforme par construction, identique à MSSanté.
Coût. Gratuit pour la pharmacie et pour le patient. Infrastructure financée par l'État (Ségur du numérique).
Données. 24 millions de profils activés au 1er janvier 2026. Plus de 420 millions de documents de santé déposés en un an. 98 % des pharmacies sont techniquement équipées Ségur pour accéder au DMP.
Le frein. Identique à MSSanté : 35 % d'activation effective. Deuxième caveat : le pharmacien doit avoir sa carte CPS à jour et un LGO compatible pour accéder au DMP côté officine.
Pour qui. En complément des autres solutions, pas comme solution unique. Utile pour accéder aux ordonnances déjà déposées par des patients chroniques qui ont activé MES. Pas suffisant seul pour couvrir l'ensemble de ta patientèle aujourd'hui.
| # | Solution | Praticité patient | Praticité pharmacie | Coût HT/mois | Conformité HDS |
|---|---|---|---|---|---|
| 1 | DocuPharm : QR code vitrine, dépôt sans compte | ★★★★★ | ★★★★★ | 10-40 € (sur demande) | Oui : hébergeur certifié HDS |
| 2 | QR code intra-LGO : Pharmagest / logiciel iD | ★★★★★ | ★★★★★ | Inclus LGO (0 €) | Oui : LGO certifié HDS |
| 3 | Google Workspace Business Standard + avenant HDS | ★★★★★ | ★★★★★ | 13,60 €/user | Oui : avec avenant HDS signé |
| 4 | Microsoft 365 Business Standard + avenant HDS | ★★★★★ | ★★★★★ | 13,10 €/user (au 01/07/2026) | Oui : avec clauses HDS signées |
| 5 | Doctolib | ★★★★★ | ★★★★★ | Abonnement Doctolib | Oui : HDS via AWS certifié |
| 6 | meSoigner (app patient requise) | ★★★★★ | ★★★★★ | Abonnement mensuel | Oui : HDS niveau 5 depuis juil. 2025 |
| 7 | MSSanté + BAL org (Mon Espace Santé requis) | ★★★★★ | ★★★★★ | 0-7,50 €/mois | Oui : infrastructure ANS souveraine |
| 8 | Mon Espace Santé / DMP (Mon Espace Santé requis) | ★★★★★ | ★★★★★ | Gratuit | Oui : infrastructure ANS souveraine |
Lecture : praticité patient = facilité pour le patient d'utiliser ce canal sans préparation préalable. Praticité pharmacie = fluidité d'intégration dans le workflow comptoir existant.
Disclaimer : informations vérifiées à la date de publication. Les tarifs sont en HT et peuvent évoluer. Vérifier les conditions HDS auprès de chaque fournisseur avant adoption.
Le choix se résume à un arbitrage simple
Au final, le choix se résume à un arbitrage simple. Si la souveraineté française est ta priorité absolue, DocuPharm, le QR code intégré à ton LGO et MSSanté sont les bons réflexes : données hébergées chez des prestataires français, juridiction française, zéro exposition au CLOUD Act US.
Si tu veux la simplicité maximale et la conformité formelle au meilleur rapport coût-effort, Google Workspace HDS à 13,60 €/mois ou Microsoft 365 Business HDS à 13,10 € te donnent un cadre juridique propre, en assumant la zone grise du CLOUD Act : une tension juridique réelle, mais sans interdiction formelle à date. Ce n'est pas un compromis caché. C'est un choix éclairé que tu fais en conscience, et que tu peux défendre en cas de contrôle CNIL ou ordinal.
Ce qu'on entend souvent dans les conversations entre pharmaciens : les fausses bonnes idées
Dans les discussions entre professionnels sur ce sujet, certaines solutions reviennent régulièrement comme alternatives. Voici pourquoi elles ne résolvent pas le problème : ou pas pour les bonnes raisons. Sans démonter personne, juste pour clarifier les faits.
Maiia (Phealing / groupe Cegedim)
Maiia revient souvent dans les conversations comme outil d'envoi d'ordonnances. La certification HDS revendiquée par Maiia n'a pas pu être vérifiée sur la liste officielle des hébergeurs certifiés publiée par l'ANS au moment de la rédaction de ce guide. Une information non vérifiable sur une liste officielle n'est pas une information sur laquelle on peut s'appuyer pour assurer une conformité réglementaire. Si tu envisages Maiia : demande leur certificat HDS avec numéro d'accréditation COFRAC et vérifie sur le site ANS avant de signer.
BlueFiles
BlueFiles est positionné sur le dépôt sécurisé de documents pour les établissements institutionnels et les opérateurs d'importance vitale : pas pour les pharmacies d'officine individuelles. C'est une solution B2B qui cible les hôpitaux et grandes structures, pas un outil pensé pour le workflow quotidien d'une officine. Hors cible.
Enovacom
Enovacom est un opérateur d'infrastructure pour les éditeurs de LGO, pas un service auquel une pharmacie peut souscrire directement. Si ton LGO intègre Enovacom dans son architecture backend, tu en bénéficies indirectement via ton éditeur. En revanche, tu ne peux pas "choisir Enovacom" comme solution de messagerie pour ton officine : ce n'est pas ce produit.
Leadersanté
La solution documentaire de Leadersanté est réservée aux pharmacies membres du groupement. Elle n'est pas universalisable et les conditions de certification HDS ne sont pas vérifiables indépendamment. Si tu es membre Leadersanté, renseigne-toi directement auprès du groupement. Si tu ne l'es pas, cette solution n'existe pas pour toi.
Health Data Safe
Solution technique suisse dont la sécurité est réelle. Le problème n'est pas technique : il est juridique. La certification HDS est une certification française, délivrée par l'ANS selon un référentiel national (décret 2018-137, référentiel HDS v2.0), auditée par des organismes accrédités COFRAC. La Suisse n'est pas dans l'Espace Économique Européen. La Suisse est reconnue adéquate par la Commission européenne pour le RGPD : mais l'adéquation RGPD ne remplace pas la certification HDS française. Une solution hors juridiction française ne satisfait pas L.1111-8 CSP, quel que soit son niveau de sécurité technique.
ProtonMail
ProtonMail est sérieux. Le chiffrement end-to-end entre utilisateurs Proton est réel, les serveurs sont en Suisse hors Cloud Act américain, la politique de confidentialité est stricte. C'est objectivement mieux que Gmail sur presque tous les critères de sécurité.
Mais ProtonMail n'est pas certifié HDS au sens du droit français. L'ANS a une position officielle sans ambiguïté sur ce point : "le chiffrement n'a pas d'impact sur l'obligation de certification HDS. La nature de la donnée de santé à caractère personnel n'est pas modifiée." Les données chiffrées sont des données pseudonymisées (la clé permet de retrouver les données originales), pas anonymisées. Elles restent dans le champ du RGPD et dans le champ HDS.
Utiliser ProtonMail pour des ordonnances, c'est une violation moindre que Gmail : mais c'est toujours une violation de l'article R.4235-10 du Code de déontologie 2026. La transparence l'impose.
FAQ messagerie sécurisée pharmacie
Comment recevoir les ordonnances de mes patients ?
La méthode dépend des outils que vous mettez en place dans votre officine. Trois pistes pratiques pour cadrer la réception : (1) déployer un QR code de dépôt en vitrine pointant vers un formulaire HDS, c'est la solution la plus simple, sans compte à créer côté patient ; (2) basculer votre adresse Gmail existante en Google Workspace Business avec avenant HDS pour 13,60 €/mois, vous gardez votre adresse et vous devenez conforme ; (3) faire connaître votre adresse MSSanté avec BAL organisationnelle pour les patients qui passent par Mon Espace Santé. Dans tous les cas : retirez de votre vitrine toute adresse Gmail, Outlook ou Yahoo grand public, c'est la non-conformité la plus visible et celle qui se règle en 5 minutes.
Outlook 365 est-il certifié HDS ?
Oui, sous conditions strictes. Microsoft 365 dispose d'une certification HDS pour ses services provisionnés en France ou dans l'UE : à condition d'avoir souscrit un abonnement Business ou Enterprise ET signé les clauses contractuelles HDS avec Microsoft via le support commercial ou un revendeur. Sans ces clauses signées, Outlook 365 n'est pas couvert. Outlook.com (gratuit grand public) ne l'est jamais.
Si je supprime l'email après l'avoir importé dans mon LGO, ça suffit ?
Non. La violation de l'article 32 du RGPD a lieu dès que la donnée de santé transite dans une boite non sécurisée. La suppression après coup réduit le risque d'aggravation : elle évite d'accumuler des centaines d'ordonnances en clair dans Gmail. Mais elle ne guérit pas rétroactivement la violation commise pendant le délai de stockage. La bonne pratique est de ne pas recevoir l'ordonnance par ce canal en premier lieu.
ProtonMail compte-t-il comme une messagerie HDS conforme ?
Non. ProtonMail n'est pas certifié HDS au sens du droit français. La certification HDS est délivrée par des organismes accrédités COFRAC sur la base du référentiel ANS : ProtonMail (société suisse) n'a pas soumis de demande. Son chiffrement est réel et sérieux, mais le chiffrement ne modifie pas le statut de donnée de santé : c'est la position officielle de l'ANS sans ambiguïté. ProtonMail est mieux que Gmail. Ce n'est pas conforme HDS.
MSSanté accepte-t-il les envois de patients ?
Oui, via Mon Espace Santé, à condition que la pharmacie ait activé une Boite aux Lettres Organisationnelle au nom de l'officine. La BAL nominative du titulaire ne suffit pas : il faut spécifiquement une BAL org au nom de l'officine. Activation via ton URPS régionale. Coût : 0 à 90 euros TTC par an selon les régions.
Doctolib est hébergé sur AWS : est-ce vraiment conforme HDS ?
C'est un débat réel. AWS est certifié HDS, les données sont stockées dans des datacenters en France. Le Conseil d'État a admis la licéité de ce modèle pour Doctolib en 2021. La tension avec le Cloud Act américain existe : les autorités américaines peuvent théoriquement demander l'accès aux données même stockées en Europe. Aucune sanction CNIL prononcée sur ce fondement pour Doctolib à ce jour. Ce n'est pas "souverain" au sens strict, mais c'est conforme HDS selon les critères de certification.
Que risque concrètement le pharmacien qui continue avec Gmail ?
Sur le plan RGPD : risque faible sans fuite documentée ou plainte. En cas de fuite documentée, probabilité de procédure CNIL élevée. Fourchette de sanction probable pour une officine individuelle : 3 000 à 50 000 euros selon la gravité. Sur le plan ordinal (depuis R.4235-10, mars 2026) : une plainte patient pourrait déclencher une procédure disciplinaire allant de l'avertissement à l'interdiction temporaire d'exercer.
Les attestations de mutuelle sont-elles aussi des données de santé ?
Oui pour celles qui comportent des informations révélant un état de santé : affection de longue durée, invalidité, pathologie chronique visible. Une carte mutuelle avec seulement le numéro d'adhérent et les taux de remboursement est plus discutable. Une attestation avec mention d'ALD ou de pathologie : clairement une donnée de santé au sens de l'article 9 du RGPD.
Le patient peut-il envoyer ce qu'il veut comme il veut ? Qui est responsable ?
Le patient est responsable de son propre acte d'envoi depuis sa messagerie personnelle. Mais cette responsabilité ne décharge pas le pharmacien : dès réception, il est responsable de traitement de la donnée (RGPD art. 4.7). Il ne peut pas invoquer le choix du patient pour se soustraire à ses obligations de sécurité (RGPD art. 32). La position juridique est établie, confirmée par des DPO spécialisés en droit de la santé.
Google Cloud est certifié HDS : mon compte Gmail l'est aussi ?
Non. La certification Google Cloud HDS v2.0 (obtenue mai 2024, valide jusqu'en mai 2027) couvre les clients ayant souscrit un abonnement Google Workspace payant ET signé l'avenant contractuel HDS avec Google. Un compte @gmail.com gratuit ne peut pas signer cet avenant et n'est donc pas couvert. La certification de l'infrastructure ne s'étend pas automatiquement à chaque utilisateur.
Je suis sur Outlook 365 Business mais je n'ai pas signé d'avenant HDS. Que faire ?
Contacte le support Microsoft ou ton revendeur pour obtenir les modalités de signature des clauses contractuelles HDS. Si tes données sont provisionnées en France ou dans l'UE (vérifiable dans le Centre d'administration Microsoft 365, rubrique "Résidence des données"), tu es éligible à l'avenant. Sans avenant signé, ta situation juridique est équivalente à Gmail.
Mon LGO est dans le cloud. Le prestataire doit-il être certifié HDS ?
Oui. Si ton LGO est hébergé à distance (SaaS, serveur cloud chez l'éditeur), le prestataire doit être certifié HDS conformément à L.1111-8 CSP. L'exemption interne (pharmacien gérant ses données sur un serveur local) ne s'applique plus. Demande la preuve de certification HDS à ton éditeur LGO : c'est une démarche normale qu'il doit être en mesure de satisfaire.
Le nouveau Code de déontologie 2026 s'applique-t-il aux adjoints aussi ?
Oui. L'article R.4235-10 du Décret n° 2026-156 du 3 mars 2026 s'applique à tous les pharmaciens inscrits à l'Ordre : titulaires et adjoints. L'obligation déontologique est individuelle. Le titulaire porte une responsabilité supplémentaire d'organisation et de supervision, mais chaque pharmacien inscrit est personnellement responsable de ses pratiques numériques.
DocuPharm est-il certifié HDS ?
DocuPharm héberge les données chez un prestataire certifié HDS en France selon ses conditions générales. La vérification directe sur la liste officielle des hébergeurs certifiés publiée par l'ANS (esante.gouv.fr) reste la bonne pratique avant adoption. DocuPharm peut figurer sous le nom de son hébergeur technique plutôt que sous son propre nom dans cette liste.
Pour aller plus loin
D'autres guides complets Pharm'Alpha pour structurer ta pratique d'officine.