Créer une app de téléconsultation conforme : checklist réglementaire 2026
24/04/2026
Développer une application de téléconsultation en France, c'est assembler un puzzle réglementaire : Pro Santé Connect, hébergement HDS, RGPD santé, référentiel ANS, Ségur du numérique. Chaque pièce est documentée quelque part, mais personne ne les met ensemble dans un guide actionable.
Chez Bob le développeur, on accompagne des projets e-santé depuis 2017. Cet article rassemble la checklist complète que nous utilisons en interne pour garantir la conformité de chaque projet, de l'hébergement au déploiement.
Ce que vous allez trouver ici :
- La checklist en 8 points pour une conformité complète
- Une timeline réaliste avec les dépendances entre chaque étape
- Les 5 erreurs qui ajoutent des mois au planning
Le paysage réglementaire en un coup d'oeil
Les 6 obligations à connaître avant de coder :
- Pro Santé Connect : obligatoire depuis janvier 2023 pour authentifier les professionnels de santé
- Hébergement HDS : toute donnée de santé à caractère personnel doit être chez un hébergeur certifié HDS v2 (obligatoire depuis mai 2026)
- RGPD renforcé : les données de santé sont des "données sensibles" (art. 9 RGPD), avec des obligations supplémentaires
- Référentiel ANS de téléconsultation : les sociétés de téléconsultation qui salarient des médecins doivent faire certifier leur SI
- FranceConnect : recommandé pour authentifier les patients (pas obligatoire, mais standard de fait)
- Ségur du numérique : si votre solution entre dans le périmètre Ségur, des exigences d'interopérabilité s'ajoutent
La complexité ne vient pas de chaque obligation individuellement. Elle vient de leurs interdépendances et de leurs délais administratifs qui se cumulent si on ne les lance pas au bon moment.
La checklist complète en 8 points
1. Choisir un hébergeur certifié HDS
C'est la première décision à prendre, avant même de coder. Toute application qui collecte, stocke ou traite des données de santé à caractère personnel doit utiliser un hébergeur certifié HDS.
Depuis le 16 mai 2026, seule la certification HDS v2 est valide. Les hébergeurs certifiés uniquement en v1 ne sont plus autorisés à accueillir de nouveaux projets santé.
Actions :
- Consulter la liste officielle des hébergeurs certifiés HDS sur le site de l'ANS
- Vérifier que l'hébergeur est certifié en v2 et sur les activités qui vous concernent (6 activités possibles)
- Prévoir le contrat d'hébergement avant de déployer quoi que ce soit
2. Lancer le Datapass Pro Santé Connect
Le processus d'habilitation PSC auprès de l'ANS prend plusieurs semaines. C'est le chemin critique du projet : si vous attendez d'avoir fini le code pour lancer la demande, vous ajoutez des semaines de blocage au planning.
Actions :
- Créer un compte sur datapass.api.gouv.fr
- Remplir le dossier : description du service, architecture technique, politique de sécurité, preuve HDS, contact DPO
- Soumettre dès la semaine 1 du projet
Le guide technique complet d'intégration PSC : Intégrer Pro Santé Connect.
3. Lancer le Datapass FranceConnect
Le processus FranceConnect est plus rapide (~5 jours ouvrés pour la validation) mais doit aussi être anticipé.
Actions :
- Déposer la demande sur datapass.api.gouv.fr
- Justifier chaque scope demandé (email, nom, prénom, date de naissance)
- Préparer l'URL de callback, la politique de confidentialité et les CGU
Le guide technique complet : FranceConnect v2 : guide d'intégration.
4. Nommer un DPO et réaliser l'AIPD
Les données de santé sont des données sensibles au sens du RGPD (article 9). Les obligations sont renforcées par rapport au RGPD standard.
Actions :
- Nommer un Délégué à la Protection des Données (DPO), interne ou externe. Le DPO est requis dans le dossier Datapass PSC
- Réaliser une Analyse d'Impact relative à la Protection des Données (AIPD). La CNIL la recommande systématiquement pour les traitements de données de santé à grande échelle
- Rédiger le registre des traitements
- Établir les mentions légales et la politique de confidentialité adaptées aux données de santé
5. Développer l'authentification (PSC + FC + RPPS)
Une fois les credentials sandbox reçus (PSC et FC), le développement technique peut commencer.
Actions :
- Intégrer la strategy Passport Pro Santé Connect (scope
openid scope_all, acr_valueseidas1) - Intégrer la strategy Passport FranceConnect v2 (endpoints
/api/v2/, state/nonce 32+ chars) - Implémenter la vérification RPPS via l'API Annuaire Santé (FHIR R4, check
active === true) - Implémenter le logout fédéré pour les deux providers (obligatoire pour FC, bonne pratique pour PSC)
- Conserver l'id_token en session (requis par FC pour le logout)
6. Sécuriser les échanges et le stockage
Au-delà de l'authentification, la sécurité des données de santé en transit et au repos est une exigence HDS et RGPD.
Actions :
- HTTPS partout (TLS 1.2 minimum, TLS 1.3 recommandé)
- Chiffrement des données de santé au repos (AES-256 ou équivalent)
- Journalisation des accès aux données de santé (logs d'audit, requis par HDS)
- Politique de rétention des données définie et documentée
- Tests de sécurité (OWASP Top 10 minimum)
7. Vérifier la conformité au référentiel ANS (si applicable)
Les sociétés de téléconsultation qui salarient des professionnels de santé doivent obtenir la certification de conformité de leur système d'information au référentiel d'interopérabilité, de sécurité et d'éthique de l'ANS.
Actions :
- Vérifier si votre modèle entre dans le périmètre du référentiel (société de téléconsultation avec médecins salariés)
- Si oui, consulter le référentiel sur esante.gouv.fr
- Planifier la certification (processus d'évaluation par un organisme accrédité)
Si votre modèle est une marketplace qui connecte des médecins libéraux avec des patients (sans les salarier), ce référentiel ne s'applique pas directement, mais les bonnes pratiques restent les mêmes.
8. Vérifier le périmètre Ségur du numérique
Le Ségur du numérique impose des référentiels d'interopérabilité pour les logiciels de santé. Si votre solution entre dans le périmètre (DPI, PFI, logiciels de radiologie, biologie...), des exigences supplémentaires s'appliquent.
Actions :
- Vérifier si votre solution est concernée par la vague 2 du Ségur
- Si oui, planifier la certification Ségur (délais longs, à anticiper)
- Si non, garder une veille active (le périmètre s'élargit régulièrement)
Timeline réaliste d'un projet conforme
Le piège classique : lancer les démarches administratives après le développement. Le bon réflexe : tout lancer en parallèle.
Semaines 1-2 : fondations administratives
| Action | Responsable | Livrable |
|---|---|---|
| Choisir l'hébergeur HDS v2 | CTO / DevOps | Contrat signé |
| Lancer Datapass PSC | CTO / Lead dev | Dossier soumis |
| Lancer Datapass FranceConnect | CTO / Lead dev | Dossier soumis |
| Nommer le DPO | Direction | DPO désigné |
| Lancer l'AIPD | DPO | AIPD en cours |
Semaines 3-6 : développement + attente habilitations
| Action | Dépendance | Livrable |
|---|---|---|
| Recevoir credentials FC sandbox | Datapass FC (~S3) | client_id + secret FC |
| Dev auth FC + tests sandbox | Credentials FC | Auth patients fonctionnelle |
| Recevoir credentials PSC sandbox | Datapass PSC (~S5) | client_id + secret PSC |
| Dev auth PSC + vérif RPPS | Credentials PSC | Auth médecins fonctionnelle |
| Dev features métier (téléconsultation) | HDS choisi | App fonctionnelle |
| Finaliser AIPD + politique confidentialité | DPO | Documents conformes |
Semaines 7-10 : passage en production
| Action | Dépendance | Livrable |
|---|---|---|
| Demander passage prod FC | Tests sandbox FC OK | Credentials prod FC |
| Demander passage prod PSC | Tests sandbox PSC OK | Credentials prod PSC |
| Déployer sur hébergeur HDS | Infra HDS prête | App déployée |
| Tests e2e en production | Credentials prod | Flow complet validé |
| Lancement | Tout validé | Go live |
Le chemin critique est le Datapass PSC : c'est l'étape la plus longue et elle conditionne les tests d'authentification médecin. En lançant tout en parallèle dès la semaine 1, un projet peut être conforme et en production en 10 semaines.
Les 5 erreurs qui retardent les projets de plusieurs mois
1. Attendre le code fini pour lancer le Datapass. L'habilitation PSC prend des semaines. Chaque jour de retard sur la soumission est un jour de retard sur le go live. Le dossier ne nécessite pas que le code soit terminé : une description du service et une architecture technique suffisent.
2. Sous-estimer le passage à HDS v2. Depuis mai 2026, les hébergeurs certifiés uniquement en HDS v1 ne peuvent plus accueillir de nouveaux projets. Si votre hébergeur actuel n'est pas certifié v2, vous devez migrer. Vérifiez la liste ANS avant de signer quoi que ce soit.
3. Oublier le DPO dans le dossier Datapass. Le contact DPO est un champ obligatoire du formulaire Datapass PSC. Si vous n'avez pas de DPO nommé, votre dossier est rejeté. Nommer un DPO externe prend quelques jours, pas quelques heures.
4. Développer le logout "plus tard". Le logout fédéré FranceConnect est une obligation contractuelle. Si votre recette pré-production n'inclut pas le logout, FranceConnect peut bloquer votre passage en production. Implémentez-le dès le début, pas en dernière minute.
5. Ignorer le référentiel ANS de téléconsultation. Si votre société salarie des médecins pour réaliser des téléconsultations, la certification de conformité est obligatoire pour le remboursement par l'Assurance Maladie. Découvrir cette obligation après le lancement, c'est plusieurs mois de retard et un risque financier.
FAQ
Combien coûte la mise en conformité réglementaire ?
Les habilitations PSC et FranceConnect sont gratuites. L'API Annuaire Santé est gratuite. Les coûts principaux sont l'hébergement HDS (variable selon le provider, généralement 20-50% plus cher qu'un hébergement standard), le DPO (externe : ~500-2000 EUR/an pour une petite structure) et le développement technique. Pour une startup, le budget réglementaire est significatif mais pas bloquant.
Peut-on lancer sans Pro Santé Connect ?
Techniquement oui, mais c'est illégal depuis janvier 2023 pour les services numériques en santé. L'ANS peut demander la mise en conformité à tout moment. Certaines startups lancent avec un login email temporaire et ajoutent PSC ensuite, mais cette approche comporte des risques juridiques.
Faut-il être certifié HDS soi-même ?
Non. Vous devez héberger vos données de santé chez un hébergeur certifié HDS, mais votre propre entreprise n'a pas besoin d'être certifiée. La certification HDS concerne l'hébergeur, pas l'éditeur du logiciel. En revanche, vous restez responsable du traitement des données au sens du RGPD.
Le Ségur du numérique concerne-t-il toutes les apps de téléconsultation ?
Non. Le Ségur vise principalement les logiciels de gestion de cabinet (DPI), les plateformes de coordination (PFI) et les logiciels de biologie/radiologie. Une application de téléconsultation pure n'est pas nécessairement dans le périmètre, sauf si elle intègre des fonctionnalités de DPI. Consultez notre guide Ségur vague 2 pour vérifier.
Quel est le délai minimum pour un lancement conforme ?
En lançant toutes les démarches en parallèle dès le jour 1 (HDS, Datapass PSC, Datapass FC, DPO), un projet bien organisé peut être conforme et en production en 10 semaines. Le chemin critique est l'habilitation PSC. Si vous attendez la fin du développement pour lancer les démarches, ajoutez 6 à 8 semaines.
Conclusion
La conformité réglementaire d'une app de téléconsultation n'est pas un sujet secondaire qu'on traite après le développement. C'est un ensemble de démarches qui doivent démarrer le premier jour du projet, en parallèle du code.
Les obligations sont claires : PSC pour les médecins, HDS pour l'hébergement, RGPD renforcé pour les données, logout fédéré pour FranceConnect. Aucune n'est techniquement complexe. Le risque est uniquement dans les délais quand on s'y prend tard.
Vous lancez un projet de téléconsultation ? Chez Bob le développeur, on gère le technique et le réglementaire de bout en bout, hébergement HDS inclus. Parlons de votre projet.