AquilApp
L'agence

Expertises

Réalisations

Ressources

Contactez-nous
Projet Mobile

Application mobile santé : conformité et obligations spécifiques

🤖 Analyser avec l'IA

Obtenez un résumé intelligent et des insights personnalisés

Une application mobile santé est un logiciel installé sur smartphone ou tablette. Sa finalité est liée à la santé des utilisateurs. Cela peut être un diagnostic, un suivi, ou une coordination). Elle est notamment soumise à trois obligations spécifiques : 

  • L’hébergement HDS (Hébergeur de Données de Santé)
  • La qualification MDR si elle est considérée comme dispositif médical
  • Et un RGPD renforcé applicable aux données sensibles. 

Ces contraintes ajoutent en moyenne 20 à 40 % au coût et au délai d’un projet mobile standard. 

Le marché de la e-santé connaît une croissance sans précédent. En effet, il est porté par le besoin de suivi à distance. A cela s’ajoute la digitalisation des parcours de soins. Pourtant, de nombreux projets mobiles échouent ou subissent des retards importants. En effet, les obligations réglementaires sont découvertes trop tardivement. Pour un DSI, l’enjeu est de taille : comment anticiper ces contraintes dès le cadrage du projet mobile pour éviter de bloquer la mise en production ? Alors, détaillons les trois piliers de la conformité, leur impact budgétaire et les bons réflexes à adopter. AquilApp, agence experte en développement sur mesure à Nantes, accompagne les décideurs dans la sécurisation de ces projets critiques. 

Qu’est-ce qu’une application mobile santé ?

Une application mobile santé est tout logiciel mobile. Sa finalité première est liée à la santé. Cela peut être le diagnostic, la thérapie, la surveillance, la coordination de soins ou le bien-être médical. Il est crucial de distinguer trois catégories d’applications pour déterminer les obligations applicables : 

  1. L’application de bien-être simple : elle ne traite pas de pathologie et n’a pas de finalité médicale (ex: podomètre). Elle est hors du champ réglementaire spécifique santé.
  2. L’application de santé non-dispositif médical (non-DM) : elle facilite le parcours de soin sans agir directement sur la santé (ex: prise de RDV). Elle impose le RGPD renforcé et l’hébergement HDS. 
  3. Le dispositif médical numérique (DMN) : l’application a une finalité médicale propre, comme l’aide au diagnostic. Elle est soumise au MDR en plus du HDS et du RGPD pour application mobile

Tableau synthétique des obligations par catégorie :

CatégorieExemplesHDSMDRRGPD renforcé
Bien-être simpleMéditation, podomètreNonNonNon
App santé non-DMMessagerie patient, agendaOuiNonOui
Dispositif médicalAide au diagnostic, suivi de pathologieOuiOuiOui

Pourquoi la qualification en amont est critique ?

Application e-santé sur une application

La qualification en tant que Dispositif Médical (MDR) change le budget et le calendrier du projet. Prenez cette décision stratégique lors de la phase de cadrage et non pendant le développement de l’application mobile santé

En France, l’ANSM (Agence Nationale de Sécurité du Médicament) est l’autorité compétente pour arbitrer cette qualification. Ignorer ce statut peut conduire à une interdiction de mise sur le marché. Dans certains cas, vous devez faire une refonte technique totale extrêmement coûteuse. 

Quid de l’hébergement HDS : obligation, coût et acteurs

L’hébergement HDS (Hébergeur de Données de Santé) est une certification française obligatoire. Elle s’applique pour tout prestataire hébergeant des données de santé à caractère personnel pour le compte d’un tiers. Cette certification garantit un niveau de sécurité et de confidentialité supérieur à l’ISO 27001 classique. Elle est notamment basée sur l’article L.1111-8 du Code de la santé publique. Pour le DSI, cela signifie que le choix de l’hébergeur est une décision structurante. Vous devez vérifier la certification effective du partenaire avant toute signature de contrat. 

Combien coûte un hébergement HDS ?

L’infrastructure certifiée HDS représente un surcoût lié aux audits et à la maintenance spécifique.

  • Fourchette tarifaire : comptez entre 200 et 1 500 euros par mois. Tout dépend de la complexité et le volume de données. 
  • Acteurs certifiés : en France, les solutions dominantes incluent OVHcloud, Outscale, Microsoft Azure (offre santé) et AWS. Il est impératif de demander le certificat HDS à jour couvrant les activités spécifiques de votre projet (hébergement physique et/ou infogérance). 

Qu’est-ce que l’HDS impose au projet mobile ?

La conformité HDS ne se limite pas au choix du serveur. Elle impacte l’architecture logicielle :

  • Zéro stockage hors périmètre : aucune donnée de santé ne doit transiter par des logs ou des backups non certifiés. 
  • Cartographie des flux : documentez chaque transfert de donnée dès le cadrage. 
  • Clauses contractuelles : signez un contrat d’hébergement spécifique. Précisez notamment les responsabilités de chaque partie. 

MDR : quand une application mobile devient un dispositif médical numérique

Une femme qui explique le fonctionnement d'une application eSanté

Un dispositif médical numérique respecte le règlement UE 2017/745. C’est donc un logiciel destiné à des fins médicales. Il peut diagnostiquer, prévenir, surveiller ou traiter une maladie ou un handicap. 

  • Exemples DM : algorithme de détection d’arythmie via la caméra, calcul de dose d’insuline, application de suivi de cancer avec alertes cliniques. 
  • Exemples Non-DM : une annuaire de santé, une application de rappels de prise de médicaments sans calcul. 

Quelles sont les classes de dispositifs médicaux et leur impact ? 

Le niveau de contrainte dépend de la dangerosité potentielle pour le patient. La majorité des applications de santé tombent en classe I ou IIa. 

ClasseRisqueExempleProcédure
IFaibleCalculateur de score non critiqueAuto-certification
IIaMoyenSuivi de pathologie chroniqueOrganisme Notifié (ON)
IIbÉlevéAide au diagnostic critiqueON renforcé
IIICritiqueLogiciel de support vitalExamen UE complet

Qu’impose concrètement le MDR au projet mobile ? 

Entrer dans le champ du MDR impose une rigueur industrielle :

  1. SMQ : mise en place d’un Système de Management de la Qualité conforme à l’ISO 13485
  2. Dossier Technique : rédaction de l’analyse des risques, de l’évaluation clinique et des instructions d’utilisation. 
  3. Enregistrement : déclaration dans la base européenne EUDAMED
  4. Impact calendrier : le marquage CE via un organisme notifié ajoute 3 à 12 mois de délai incompressible. 

Pourquoi les règles de RGPD sont-elles renforcées pour les données de santé ? 

Selon l’article 9 du RGPD, les données de santé sont « sensibles ». D’ailleurs, leur traitement est interdit par défaut, sauf exceptions strictes. Donc : un consentement explicite, un intérêt public et une recherche. En tant que DSI, vous engagez votre responsabilité : toute violation peut entraîner des sanctions lourdes de la CNIL. Ce qui peut impacter la réputation de l’établissement. 

Application santé

Quelles sont les obligations RGPD spécifiques à une app mobile santé ? 

Pour être conforme, le projet doit respecter ces étapes clés :

  1. AIPD (Analyse d’Impact) : obligatoire pour tout traitement de données de santé à grande échelle. 
  2. Consentement explicite : doit être granulaire et libre (pas de pré-cochage).
  3. Registre des traitements : tenir à jour les flux, notamment avec les sous-traitants et l’hébergeur.
  4. DPO (Data Protection Officer) : sa désignation est obligatoire pour les organismes publics et fortement recommandée pour les éditeurs d’apps santé. 

Quelles sont les décisions à prendre au cadrage concernant le RGPD et l’architecture technique de l’application mobile santé ? 

La conformité se traduit par des choix techniques dès le premier sprint :

  • Pseudonymisation : séparer l’identité de l’utilisateur de ses données de santé.
  • Chiffrement : utiliser systématiquement de protocoles robustes (TLS 1.3, AES-256).
  • Conservation : purger automatiquement des données selon les durées légales. 

Voir aussi notre guide RGPD pour application mobile. 

Comment la sécurité impacte-t-elle le budget et le délai du projet d’application mobile santé ? 

La sécurité et la réglementation ne sont pas des options gratuites. Voici l’impact estimé :

Poste de conformitéCoût indicatifDélai ajouté
Hébergement HDS+2 000 à +10 000 euros/anAucun si anticipé
AIPD & Documentation RGPD3 000 à 8 000 euros2 à 4 semaines
Qualification MDR (IIa)15 000 à 50 000 euros3 à 9 mois
SMQ ISO 1348520 000 à 80 000 euros6 à 12 mois
Audit de sécurité / Pentest5 000 à 25 000 euros2 à 6 semaines

Pourquoi anticiper coûte moins cher que corriger ? 

Découvrir un besoin de conformité MDR en phase de recette est une catastrophe financière. Une reprise d’architecture et de documentation a posteriori coûte généralement entre 30 000 et 80 000 euros

La règle d’or d’un projet réussi : valider le statut HDS/MDR lors de l’atelier de méthode de cadrage projet mobile. 

Quels sont les bons réflexes dès le démarrage du projet ? 

Vous souhaitez sécuriser votre lancement de votre application mobile santé ? Suivez ces 5 actions dès le cadrage :

  1. Qualifier le statut réglementaire : bien-être, Santé non-DM ou Dispositif Médical ? 
  2. Sélectionner un hébergeur certifié : vérifiez le certificat sur le registre officiel de l’ANS. 
  3. Mandater un DPO ou conseil RGPD : pour piloter l’AIPD dès le départ. 
  4. Prévoir un budget dédié : la conformité doit être un poste de dépense identifié, pas une surprise. 
  5. Choisir un partenaire technique expert : privilégiez une agence ayant déjà livré des projets soumis à HDS et MDR. 

Ce qu’AquilApp retient de ces projets

Chez AquilApp, agence de développement web à Nantes, nous interventions pour des structures variées. Exemple : les startups, les ETI et institutionnels. A travers nos années d’expérience, nous avons appris que la conformité n’est pas un frein. C’est plutôt un gage de qualité industrielle. Les projets les plus performants sont ceux où le DSI et le partenaire technique collaborent dès le premier jour sur la cartographie des risques. Alors, nous intégrons ces exigences dans notre sécurité d’une application mobile pour garantir un time-to-market maîtrisé et une sérénité juridique totale.

FAQ sur la conformité d’une application mobile santé

Elle est qualifiée MDR lorsqu’elle a une finalité médicale précise : aide au diagnostic, surveillance d’une pathologie ou calcul thérapeutique. Les applications de bien-être (méditation, simple agenda) ne sont généralement pas concernées par cette classification.

Le surcoût varie de 20 000 € à 150 000 € selon le statut. Une application santé non-DM ajoute environ 5 000 € à 20 000 €, tandis qu’un Dispositif Médical Numérique (DMN) de classe IIa peut ajouter jusqu’à 130 000 € de budget réglementaire.

Cela n’est possible que pour la classe I (auto-certification). Pour les classes IIa et supérieures, l’intervention d’un Organisme Notifié est obligatoire pour obtenir le marquage CE indispensable à la mise sur le marché.

Oui, dès lors qu’il y a stockage de données de santé à caractère personnel pour le compte d’un tiers (selon l’article L.1111-8 du CSP). Le prestataire d’hébergement doit impérativement être certifié HDS (Hébergeur de Données de Santé).

La nomination d’un DPO est obligatoire pour les organismes publics et les traitements de données à grande échelle. Elle est cependant fortement recommandée pour tous les éditeurs afin de sécuriser la relation avec la CNIL et garantir la protection des données.

Conclusion

Développer une application mobile santé est un investissement rentable. Du moins, c’est le cas à condition de maîtriser les trois piliers : HDS, MDR et RGPD renforcé. Anticipez ces contraintes dès le cadrage. Ainsi, vous transformez un risque réglementaire en un avantage compétitif solide. 

Cadrez votre projet mobile santé avec nos experts. Contacter AquilAppPour aller plus loin, consultez notre guide sur l’application mobile finance.

Passez à la vitesse supérieure
Nos experts vous accompagnent pour optimiser le code, alléger les fonctionnalités et intégrer les meilleures pratiques de développement mobile. Offrez à vos utilisateurs une expérience sans ralentissement.
Contactez-nous

Contactez-nous

Vos coordonnées
Votre projet

Décrivez votre projet, vos objectifs et toute information utile pour mieux comprendre votre besoin.

Réponse sous 24h ouvrées — Vos données restent confidentielles.
Partagez ce contenu
ando, Author at AquilApp
En savoir plus sur l'auteur
ando

ando

Lire les autres articles de ando

Retrouvez d'autres articles dans la même catégorie

Projet Mobile
Application mobile finance et banque : exigences réglementaires
christian
Application mobile finance et banque : exigences réglementaires
christian

Une application mobile financière doit respecter la directive DSP2 (Strong Customer Authentication, ouverture API), les exigences de l’ACPR pour les acteurs régulés, et les normes de sécurité bancaires (PCI-DSS pour les paiements). Ces obligations imposent une architecture sécurisée dès la conception. L’émergence d’une application mobile finance performante exige une maîtrise parfaite des cadres réglementaires européens et… Poursuivre la lecture Application mobile finance et banque : exigences réglementaires

Projet Mobile
Authentification dans une application mobile : choisir la bonne approche
christian
Authentification dans une application mobile : choisir la bonne approche
christian

L’authentification d’une application mobile combine 3 approches : login classique (e-mail / mot de passe), authentification déléguée (OAuth, SSO), et facteurs supplémentaires (biométrie, MFA). Le bon mix dépend du niveau de sensibilité de l’app, du contexte d’usage et de la maturité de la cible. L’authentification application mobile constitue la pierre angulaire de votre politique de cybersécurité… Poursuivre la lecture Authentification dans une application mobile : choisir la bonne approche

Projet Mobile
RGPD et application mobile : guide de conformité 2026
christian
RGPD et application mobile : guide de conformité 2026
christian

Une application mobile conforme au RGPD respecte 6 obligations : recueil du consentement explicite, information sur la finalité du traitement, tenue d’un registre, garantie des droits utilisateurs (accès, rectification, suppression, portabilité), notification des violations dans les 72 heures, et désignation d’un DPO le cas échéant. Le rgpd application mobile représente le socle de confiance indispensable entre… Poursuivre la lecture RGPD et application mobile : guide de conformité 2026

Projet Mobile
Sécurité, RGPD et conformité d’une application mobile
christian
Sécurité, RGPD et conformité d’une application mobile
christian

La sécurité application mobile s’organise autour de 4 piliers : authentification robuste, chiffrement des données, conformité RGPD, et tests de sécurité réguliers. La conformité RGPD impose un consentement explicite, une finalité claire et un registre des traitements. Les secteurs réglementés (santé, finance) ajoutent des exigences propres (HDS, DSP2). La sécurité application mobile représente le défi majeur… Poursuivre la lecture Sécurité, RGPD et conformité d’une application mobile

Projet Mobile
AquilAppAQUILAPP
275 boulevard Marcel Paul
44800 Saint HerblainDu lundi au vendredi - 9h à 18h
contact@aquilapp.fr+33 02 28 06 30 68
Une idée de projet digital ?

AquilApp est une agence web spécialisée dans le développement d'applications web et mobiles sur-mesure. Basés à Nantes, nous intervenons dans toute la France pour accompagner les startups, PME et grands groupes dans leur transformation digitale.

Contactez-nous

Rejoignez notre newsletter

Inscrivez-vous pour recevoir nos dernières actualités et conseils en développement web et mobile.
Nos agences en France
ParisNantesSaint HerblainBrestAngersToulouseBordeauxLavalLe MansLilleLyonNiceMarseilleMontpellierRennesStrasbourgVendée
Mentions légales/CGV/Politique de confidentialité
Ce site a été créé avec <3 par AquilApp

Haut de page

Contactez-nous

Appelez-nous

WhatsApp

Prendre RDV