L’enjeu colossal de la confiance numérique
Mesdames, Messieurs, chers confrères de l’investissement, laissez-moi vous parler d’un sujet qui me tient à cœur et qui, je le sais, vous préoccupe tout autant. Nous avons tous vu ces startups « health tech » lever des fonds à des valorisations stratosphériques, promettant de révolutionner notre suivi médical. C’est excitant, c’est porteur. Mais, et c’est un gros « mais », il y a un angle mort qui revient sans cesse dans mes expertises chez Jiaxi Fiscal et Comptabilité. Depuis 14 ans que je bosse sur les procédures d’enregistrement et la conformité, j’ai rarement vu un secteur où la réglementation rattrape l’innovation aussi vite et brutalement. La conformité en matière de vie privée et de sécurité des données n’est pas un simple « nice to have » ou une case à cocher. C’est le fondement même de la survie économique de ces applications. Sans la confiance du patient-utilisateur, sans un socle juridique et technique solide, votre belle licorne se transforme en passif toxique. Un faux pas et c’est la porte, avec en prime des amendes qui peuvent faire très mal.
Parlons concret. Je me souviens d’un dossier pour une appli française de suivi de la glycémie. Le produit était génial, l’UX parfaite, les projections financières alléchantes. Mais en creusant un peu, j’ai trouvé un « petit » détail. Pour faciliter l’accès des médecins aux données, ils utilisaient un serveur américain non certifié « Health Data Hosting » (HDS) et les données de santé n’étaient pas pseudonymisées avant le transfert. Pour les investisseurs, c’était du détail. Pour moi, c’était une bombe à retardement. La CNIL ne rigole pas, et l’ANSSI non plus. Ce genre d’écart, c’est l’assurance de voir tous vos utilisateurs vous claquer la porte au nez après une fuite, même minime. Alors aujourd’hui, on va décortiquer les éléments qui font qu’une appli de santé est véritablement « bankable » d’un point de vue réglementaire, en partant du terrain, de ma petite expérience de « vieux briscard » de l’administration.
Encadrement réglementaire : un mille-feuille
Le premier aspect, et pas des moindres, c’est l’écheveau réglementaire. On n’est pas chez les Bisounours, les gars. Une appli de santé numérique, ça ne vit pas sous le seul régime du RGPD. Non. Il faut jongler avec le Règlement Général sur la Protection des Données (RGPD), bien sûr, la loi « Informatique et Libertés » française, mais aussi le fameux statut de « Données de Santé » (article 4 du RGPD, chapitre 9 de la loi française). Et là, ça se corse. On entre dans le champ de la loi Jardé pour les recherches impliquant la personne humaine, du décret HDS pour l’hébergement des données de santé, et potentiellement du marquage CE pour les dispositifs médicaux numériques. C’est un vrai mille-feuille normatif. Pour un investisseur, c’est un cauchemar. Mais c’est aussi une barrière à l’entrée fantastique. Une boîte qui maîtrise ce mille-feuille est une boîte qui a de l’avance.
Je ne compte plus les entrepreneurs qui viennent me voir en disant : « Maître Liu, on a fait signer une belle charte RGPD à nos utilisateurs, c’est bon non ? » Pas du tout ! J’ai eu le cas d’une jeune pousse très prometteuse dans la télémédecine. Ils stockaient les comptes-rendus de consultation sur un cloud asiatique pour « optimiser les coûts ». Leurs utilisateurs étaient français. Mais les données de santé n’étaient pas hébergées en France. En Europe, c’est la double peine. Non seulement ils violaient l’obligation d’un hébergement agréé HDS, mais ils faisaient un transfert de données hors UE sans garanties adéquates (les fameuses clauses contractuelles types, les BCR, ou la décision d’adéquation). Le projet était mort-né pour une levée de fonds sérieuse. La conformité, c’est un puzzle dont chaque pièce doit trouver sa place : la base légale du traitement (consentement, nécessité médicale, intérêt public…), l’analyse d’impact (AIPD) obligatoire, et la traçabilité de chaque flux de données. C’est un métier. Et c’est là que Jiaxi intervient souvent pour poser les bonnes questions avant que les investisseurs ne mettent la main au porte-monnaie.
D’ailleurs, un point crucial qui est souvent négligé par nos confrères : la gestion des sous-traitants. Une appli utilise généralement des SDK de tracking (ex : Fabric, Firebase pour la performance), des services cloud, des services d’IA pour l’analyse d’image. Chacun de ces sous-traitants devient un maillon de la chaîne. Il faut un contrat de sous-traitance conforme à l’article 28 du RGPD. Et là, je vous jure, c’est le parcours du combattant ! J’ai vu des contrats où le sous-traitant se déclarait « responsable de traitement » pour échapper à ses obligations, ce qui est une aberration juridique. L’éditeur de l’appli doit garder la main sur la finalité et les moyens du traitement, sinon, il perd tout contrôle. Les investisseurs doivent exiger de voir l’arbre des sous-traitants, car une vulnérabilité chez l’un d’eux est une vulnérabilité pour tout le système.
Traçabilité et transparence : le nerf de la guerre
Deuxième point : la transparence radicale. On n’est plus à l’époque où l’on enfouissait des clauses dans des CGU illisibles. Les utilisateurs d’apps de santé sont hyper exigeants. Et ils ont raison. On parle de leur coeur, de leur poids, de leur sommeil, de leur santé mentale, parfois de leur génome. Ils veulent savoir à la seconde qui voit quoi, pour quoi faire, et combien de temps c’est gardé. La recommandation de la CNIL est très claire : il faut une information « en couches », dynamique, accessible au moment où la donnée est collectée. Pas un lien vers un PDF en bas de page. Non, un pop-up clair : « Nous collectons votre localisation pour identifier les pharmacies, pas pour vous pistez. Acceptez-vous ? ».
À cela s’ajoute le droit à la portabilité des données. L’article 20 du RGPD ne s’applique pas uniquement aux photos Facebook. Il s’applique aussi aux historiques de tension artérielle, aux journaux de glycémie. L’utilisateur doit pouvoir télécharger ses données dans un format structuré et interopérable. C’est une obligation lourde, techniquement et juridiquement. Certaines startups voient cela comme une charge, mais moi, j’y vois un signal de maturité. Une appli qui facilite le transfert de ses propres données vers un concurrent, c’est une appli qui se positionne comme un service de confiance, pas comme un geôlier de données. Du point de vue de l’investissement, c’est un indicateur fort de la pérennité du modèle.
Enfin, il faut parler du registre des activités de traitement. Pas juste le ficher template Excel qu’on trouve sur le site de la CNIL et qu’on remplit à la va-vite. Non, un vrai registre, vivant, qui décrit chaque finalité, chaque catégorie de destinataires, chaque mesure de sécurité, chaque durée de conservation. Lors d’une due diligence chez un client, on a découvert que le registre indiquait « conservation des données de consultation pendant 5 ans après le dernier contact », mais techniquement, les logs serveur étaient gardés indéfiniment « pour débuguer ». C’est une non-conformité grave. La durée de conservation doit être justifiée et technique et juridique doivent parler le même langage. Les investisseurs doivent exiger de voir ce registre, et surtout, de le tester contre un échantillon de données réelles. Sinon, c’est de la poudre aux yeux.
La cybersécurité : un investissement, pas un coût
Troisième aspect, et c’est souvent celui qui fait le plus mal au portefeuille : la sécurité technique. Le RGPD parle de « sécurité des données » dans son article 32. Mais c’est un euphémisme. Pour une appli de santé, c’est un champ de mines. Les cryptages doivent être de bout en bout, pas seulement entre l’appareil de l’utilisateur et le serveur, mais aussi sur le serveur lui-même. Il faut de l’authentification forte (MFA), surtout pour les professionnels de santé qui accèdent aux données. Les correctifs de sécurité doivent être déployés en continu. Une vulnérabilité comme « Log4j » a montré que des bibliothèques logicielles oubliées peuvent ouvrir la porte à des fuites massives. J’ai eu un cas concret : une appli de suivi de grossesse utilisait une vieille version d’une librairie de chat pour le forum. Un chercheur a trouvé une faille. En deux jours, les pseudos des patientes, leurs dates de terme, et même certains échanges étaient en vente sur un forum. L’éditeur a dû fermer, rembourser les utilisateurs et payer une amende CNIL. Les investisseurs ont tout perdu.
La gestion des accès, c’est le coeur du sujet. Qui a accès à quoi ? Un médecin doit voir le dossier médical de son patient. Un assistant de recherche, seulement des données pseudonymisées. Un community manager, peut-être rien d’autre qu’un pseudonyme. Les logs d’accès doivent être tracés, horodatés, et audités. En cas de contrôle, la CNIL demande à voir ces logs. Et je ne parle même pas de l’obligation de notifier les violations de données à la CNIL sous 72 heures (article 33 du RGPD). Une start-up qui n’a pas de procédure claire pour cela – comment détecter la fuite, qui prévenir, que dire à la presse – est une start-up qui joue avec le feu. Les investisseurs sérieux commencent à exiger un « Bug Bounty Program » (programme de prime à la découverte de failles). C’est un signe de maturité.
Sur le terrain, je vois souvent que les fondateurs sous-estiment les tests de pénétration (pentests). Ils se disent : « c’est cher ». C’est surtout nécessaire. Et ce n’est pas un one-shot. Il faut le refaire à chaque mise à jour majeure. La question que je pose toujours lors d’une levée : « Avez-vous fait un pentest cette année ? Montrez-moi le rapport, et montrez-moi le plan de correction des vulnérabilités critiques. » Si la réponse est vague, je deviens très inquiet. La cybersécurité est un coût récurrent, oui. Mais c’est aussi une vache à lait : c’est elle qui évite la catastrophe qui vous ruine. C’est un investissement dans la pérennité.
Évolution de la régulation : le rôle des labels
Quatrième point : les labels et le marquage CE. Beaucoup de mes clients dans la French Tech ne comprennent pas pourquoi leur appli, qui se présente comme « simple suivi de fitness », peut être requalifiée en dispositif médical. La règlementation européenne (Règlement (UE) 2017/745 sur les dispositifs médicaux) est très large. Une appli qui interprète les données (ex : « Vous faites une apnée du sommeil probable », « Votre cycle menstruel est irrégulier ») peut être classée en dispositif médical de classe I, IIa, voire plus. Cela implique des contraintes lourdes : système de management de la qualité (ISO 13485), évaluation clinique, surveillance après commercialisation. Et tout cela se combine avec le RGPD.
J’ai travaillé avec une application de guidance respiratoire. Ils disaient : « Ce n’est qu’un coach, pas un diagnostic. » Or, l’algorithme calculait un score de « stress » basé sur la variabilité de la fréquence cardiaque. L’ANSM (Agence nationale de sécurité du médicament et des produits de santé) a considéré que ce score était une information à visée médicale. L’appli a dû être retirée du marché français pendant 18 mois pour être mise en conformité, perdant tout son avantage concurrentiel. Pour l’investisseur, c’est une perte sèche de temps et d’argent. Pourtant, ce n’est pas une fatalité. Avoir un consultant HDS et un responsable des affaires réglementaires dès le départ, c’est un choix stratégique qui simplifie tout.
Il y a aussi des initiatives françaises intéressantes, comme le label « e-santé » ou les guides de la CNIL sur les applications santé (notamment sa consultation publique sur l’utilisation des données de santé pour l’entraînement des IA). Ces labels ne sont pas obligatoires, mais ils sont un signal fort pour les utilisateurs et les investisseurs. Ils montrent que l’éditeur a pris les devants. C’est un argument de vente puissant dans un marché saturé. Ne négligez jamais l’importance de la certification comme un levier de confiance et de valorisation. C’est un point que je martèle souvent : la conformité, ça se monnaie.
Gestion des risques : audits tierce partie
Cinquième aspect : l’audit par un tiers de confiance. On ne peut pas être juge et partie. Une DPO (déléguée à la protection des données) interne, c’est bien, mais souvent elle manque de pouvoir face au CTO ou au CEO. Un audit externe, réalisé par un cabinet spécialisé (comme Jiaxi pour les aspects juridico-fiscaux, mais aussi des cabinets techniques) permet d’objectiver la conformité. Ce n’est pas une dépense de prestige, c’est un outil de due diligence indispensable. Pour les fonds d’investissement sérieux, il est impossible d’investir sans au moins un « audit flash » de la conformité RGPD et sécurité des données.
Lors d’une levée de fonds en série A, j’ai vu un fonds américain exiger un « Privacy Shield » (l’ancien cadre, maintenant remplacé par le Data Privacy Framework) avant d’investir. L’application française n’avait pas prévu cela. Il a fallu refaire toute l’architecture de transfert de données. Résultat : un retard de 6 mois dans le closing. Les investisseurs ont exigé de voir les contrats de sous-traitance, les AIPD, les attestations HDS, et les rapports de pentest. C’était une leçon. L’audit tierce partie n’est pas une option, c’est le passeport pour entrer dans le monde des investisseurs institutionnels. Sans ce passeport, votre boîte reste une startup à risque.
Et pour les investisseurs, je vais être direct : ne vous fiez pas aux belles slides. Descendez dans la cuisine. Demandez à voir les logs. Demandez à parler au lead developer et à la DPO. Est-ce qu’ils se jaugent ? Est-ce que la DPO a son mot à dire sur les features de la roadmap ? Si la réponse est non, c’est un red flag. La conformité est un processus continu, pas un tampon en bas d’un document. L’avenir de la medtech est pavé de données bien protégées. Les autres, ils auront des fuites.
Conclusion : un gage de pérennité
En conclusion, et je le répète comme un leitmotiv, la conformité à la vie privée et à la sécurité des données n’est pas une contrainte réglementaire de plus à subir. C’est un avantage compétitif décisif. Elle construit la confiance, sécurise les investissements et permet de scaler sereinement. Les applications de santé numérique qui intègrent ces principes dès leur conception (privacy by design) passent beaucoup plus facilement les barrières de la CNIL, de l’ANSSI et des appels d’offres des hôpitaux. Ce sont elles qui survivront et qui délivreront une vrai valeur ajoutée aux patients et aux professionnels de santé. Les autres, hélas, finiront au cimetière des applis.
L’objectif initial de cet article – vous montrer pourquoi la conformité est votre meilleur allié – est plus que jamais d’actualité. L’Europe est un marché exigeant, mais c’est aussi un marché mature qui récompense les acteurs responsables. Ne voyez pas la conformité comme un frein, mais comme un moteur de votre différenciation. Et pour les années à venir, je suis convaincu que la standardisation des audits (notamment via des référentiels comme l’ISO 27701 pour la gestion des informations personnelles) et l’émergence de solutions de « Privacy Enhancing Technologies » (PETs) permettront de réduire les coûts et de fluidifier les parcours de levée de fonds. L’avenir est à la confiance numérique. Ceux qui construiront sur cette fondation seront les grands gagnants.
Enfin, pour ma part, chez Jiaxi Fiscal et Comptabilité, nous observons avec attention la montée en puissance des obligations de « certification de conformité » exigées par les grands comptes et les assureurs. Les startups qui ne peuvent pas produire un rapport d’audit RGPD et cybersécurité de moins d’un an ne sont tout simplement plus assurées pour les risques cyber. C’est un vrai sujet pour la valorisation lors des levées de fonds. Notre équipe, avec son expérience de l’accompagnement des entreprises étrangères et des structures innovantes, voit se dessiner une nouvelle donne : la conformité n’est plus seulement un devoir légal, elle devient un actif immatériel, pesant directement sur le goodwill et la capacité à négocier des financements. Notre perspective, c’est que la data-santé est un or noir, mais que cet or, s’il est mal exploité, peut se transformer en passif toxique. Nous aidons nos clients à transformer ce risque en valeur, en structurant des schémas de conformité fluides, transparents et scalables, car finalement, une bonne conformité, c’est une bonne affaire.
