Un coffre-fort photo clinique pour médecins, infirmières et thérapeutes

TL;DR

Les professionnels de santé qui prennent des photos cliniques sur leur iPhone personnel sont soumis à des obligations HIPAA et RGPD que le Rouleau Caméra par défaut ne peut pas remplir. AppVault fournit un chiffrement AES-256-GCM, un catalogue chiffré séparé et un Lanceur Calculatrice pour que les images des patients restent hors de la grille photo visible — sans comptes, sans serveurs, sans télémétrie.

Le problème des photos cliniques sur un iPhone personnel

Un dermatologue photographie une lésion avant de prescrire. Un dentiste capture une série avant/après. Une infirmière documente une plaie lors d’une visite à domicile. Un thérapeute prend un cliché d’un schéma au tableau blanc pendant une séance de télémédecine. Dans chaque cas, l’image atterrit dans le même Rouleau Caméra que les photos de vacances, les captures d’écran et les photos de famille.

Les cadres réglementaires sont clairs. Aux États-Unis, la Règle de Sécurité de la HIPAA exige des mesures de sécurité techniques pour les données de santé électroniques protégées (ePHI) — y compris le chiffrement au repos sur les appareils qui les stockent ou les transmettent. Dans l’Union européenne, l’article 9 du RGPD classe les données de santé comme des données personnelles de catégorie spéciale, soumises aux exigences de traitement les plus strictes et nécessitant un consentement explicite ou une base légale reconnue.

Le Rouleau Caméra de l’iPhone ne satisfait aucun des deux cadres. C’est une galerie unique, non chiffrée. Quiconque prend le téléphone et glisse vers la gauche peut tout voir.

La plupart des cliniciens le savent. Peu ont une solution pratique qui n’implique pas de porter un deuxième appareil.

Ce que la HIPAA exige réellement pour les ePHI sur les appareils personnels

La Règle de Sécurité de la HIPAA n’impose pas un produit spécifique. Elle impose des résultats. La norme de chiffrement est le NIST FIPS 197 — l’Advanced Encryption Standard. La norme de contrôle d’accès exige une identification unique de l’utilisateur et une déconnexion automatique. La norme de contrôle d’audit exige des mécanismes pour enregistrer et examiner les accès.

AppVault répond directement aux exigences de chiffrement et de contrôle d’accès. Les fichiers sont scellés avec AES-256-GCM — NIST FIPS 197 et NIST SP 800-38D — en utilisant un nonce unique de 96 bits par fichier. La clé est dérivée du motif 5×5 de l’utilisateur via PBKDF2-SHA256 à 600 000 itérations, conformément à la recommandation OWASP 2026. Cette clé dérivée est ensuite enveloppée par une clé générée à l’intérieur du Secure Enclave de l’iPhone, qui ne quitte jamais la puce.

Le catalogue chiffré est mathématiquement scellé. Même la liste des fichiers — nombre, noms, dates — est chiffrée. Un attaquant ayant un accès brut au stockage ne peut pas déterminer combien de fichiers existent, encore moins les lire.

La conformité HIPAA est une obligation organisationnelle. AppVault fournit la couche technique. L’institution du clinicien doit toujours mener sa propre évaluation des risques, documenter ses politiques et s’assurer que le flux de travail global satisfait aux exigences administratives et physiques de la règle.

Article 9 du RGPD et données de santé de catégorie spéciale

Pour les cliniciens européens, le calcul est similaire mais le cadre est différent. L’article 9 du RGPD interdit le traitement des données de santé sauf si l’une de plusieurs conditions est remplie — consentement explicite, autorisation du droit du travail, ou intérêt public substantiel, entre autres. Le règlement ne prescrit pas d’algorithmes de chiffrement spécifiques, mais il exige des « mesures techniques et organisationnelles appropriées » compte tenu du risque.

L’architecture zéro connaissance d’AppVault est pertinente ici. L’application n’effectue aucun appel réseau par défaut. Il n’y a ni comptes, ni télémétrie, ni SDK tiers. L’étiquette nutritionnelle de confidentialité déclare aucune donnée collectée. L’opérateur de l’application ne traite aucune donnée personnelle — le chiffrement a lieu entièrement sur l’appareil, et le texte chiffré ne quitte jamais le téléphone sauf si l’utilisateur opte pour la sauvegarde iCloud chiffrée.

Pour un clinicien traitant des données de santé au titre de l’article 9, cette architecture signifie que l’application de coffre elle-même n’introduit aucun traitement de données supplémentaire. C’est un outil de chiffrement local, pas un sous-traitant de données.

L’iPad partagé en clinique

De nombreuses cliniques fournissent un seul iPad pour l’enregistrement des patients, les séances de télémédecine ou la documentation clinique. Plusieurs professionnels utilisent le même appareil au cours d’une même journée. Sans séparation, les photos cliniques de chaque professionnel se retrouvent dans la même galerie.

La fonction Coffre Leurre d’AppVault répond directement à ce problème. Un second motif 5×5 ouvre un catalogue de coffre mathématiquement indépendant. Les deux catalogues ne partagent aucun matériel de clé. L’un ne révèle pas l’existence de l’autre.

Ce n’est pas un système multi-utilisateurs avec comptes. Il n’y a ni connexion, ni gestion d’utilisateurs, ni synchronisation cloud entre les coffres. Chaque catalogue de professionnel est un conteneur chiffré autonome. Si un professionnel quitte la clinique, son motif n’est tout simplement pas partagé avec le remplaçant.

Le moment de la transmission

Un collègue emprunte le téléphone pour passer un appel rapide. Un patient demande à voir une photo à l’écran et le téléphone lui est passé. Un ami prend une photo de groupe au restaurant et fait défiler plus loin que prévu.

Dans chaque cas, le risque est le même : le Rouleau Caméra est un seul défilement sans contrôle d’accès. Les photos cliniques sont visibles par quiconque tient le téléphone.

AppVault brise ce schéma. Les photos cliniques sont importées dans le coffre chiffré et supprimées du Rouleau Caméra. Le coffre n’apparaît pas dans l’application Photos, la grille photo ni les résultats de recherche. La seule façon de l’ouvrir est via l’interface propre du coffre — derrière le motif 5×5.

Le Lanceur Calculatrice ajoute une couche supplémentaire. L’application se présente comme une calculatrice iOS entièrement fonctionnelle. L’accès au coffre se fait par un appui long optionnel sur la touche égale. Ce n’est pas une tromperie — la calculatrice fonctionne. C’est une icône alternative conçue pour satisfaire la directive 4.3 d’Apple, fournissant un outil standard avec une fonction secondaire optionnelle.

Consentement du patient et problème du Rouleau Caméra

La plupart des cliniciens obtiennent un consentement avant de prendre des photographies cliniques. Le formulaire de consentement couvre généralement l’utilisation, le stockage et le partage. Il aborde rarement le fait que la photo se trouvera dans la même galerie que les images personnelles du clinicien, visible par quiconque prend le téléphone.

C’est un écart entre le consentement et la réalité technique. Le patient a consenti à une utilisation clinique de l’image. Le patient n’a pas consenti à ce que l’image soit visible par la famille, les amis du clinicien ou quiconque emprunte le téléphone.

AppVault comble cet écart. Une fois qu’une photo clinique est importée dans le coffre et que l’original est supprimé du Rouleau Caméra, l’image n’existe que dans le catalogue chiffré. L’intention du formulaire de consentement — usage clinique uniquement — est respectée par la mise en œuvre technique.

Clichés de télémédecine

Les consultations de télémédecine produisent souvent des images cliniques : une capture d’écran d’une affection cutanée prise lors d’un appel vidéo, une photo d’une étiquette de médicament, un schéma au tableau blanc que le patient a dessiné pour expliquer ses symptômes. Ces images sont des données cliniques. Elles appartiennent à un environnement protégé, pas au Rouleau Caméra.

Le flux d’importation d’AppVault permet la capture directe ou l’importation depuis l’appareil photo. L’image va directement dans le catalogue chiffré. Elle ne touche jamais la grille photo visible.

Pour les cliniciens qui pratiquent la télémédecine depuis un iPhone personnel, c’est la différence entre un flux de travail conforme et un Rouleau Caméra rempli d’images cliniques non chiffrées.

Ce contre quoi AppVault ne défend pas

L’honnêteté sur les limites est un principe de conception. AppVault ne protège pas contre :

• Un iPhone compromis. Si l’appareil est jailbreaké ou infecté par un logiciel malveillant, le chiffrement est sans objet. L’attaquant peut lire l’écran, intercepter le motif ou accéder au catalogue déchiffré en mémoire.
• Un clinicien qui partage le motif. AppVault ne peut pas appliquer la politique institutionnelle. Si un professionnel donne son motif à un collègue, le coffre est ouvert.
• La contrainte physique. AppVault n’inclut pas de fonction de contrainte. Si quelqu’un force le clinicien à déverrouiller le téléphone, le coffre s’ouvre comme n’importe quelle autre application.
• La sauvegarde iCloud sans la clé de sauvegarde. Si l’utilisateur opte pour la sauvegarde iCloud chiffrée mais perd la clé de sauvegarde par appareil, la sauvegarde est irrécupérable. Il n’y a pas de réinitialisation.

La page modèle de menace couvre ces scénarios en détail. Un produit qui exagère ses protections est un produit auquel on ne peut pas faire confiance.

Comment AppVault se compare aux autres applications de coffre-fort

La catégorie des coffres-forts photo est vaste. Keepsafe est le leader de la catégorie en nombre d’installations. Vaultaire est le concurrent le plus proche dans le créneau du coffre-calculatrice. La plupart des applications de cet espace ne publient pas leur pile cryptographique, ne citent pas de sources primaires et ne fonctionnent pas sans aucun appel réseau par défaut.

AppVault publie sa pile complète : AES-256-GCM, PBKDF2-SHA256 à 600 000 itérations, wrapping de clé par Secure Enclave, nonce unique de 96 bits par fichier. Chaque affirmation renvoie à une source primaire — NIST, OWASP, Apple Platform Security. L’application n’effectue aucun appel réseau par défaut. L’étiquette nutritionnelle de confidentialité déclare aucune donnée collectée.

Pour un clinicien évaluant des outils dans le cadre de la HIPAA ou du RGPD, cette transparence compte. La conformité dépend de la compréhension de ce que l’outil fait réellement, pas de ce que la page marketing prétend.

Configuration pour un usage clinique

Le flux de travail recommandé pour les professionnels de santé :

1. Installer AppVault et définir un motif 5×5. Noter la phrase de récupération et la stocker hors ligne — un tiroir de bureau, une armoire verrouillée, un coffre personnel.
2. Activer le Lanceur Calculatrice si l’icône alternative est utile dans votre cadre.
3. Si vous partagez un appareil avec un autre professionnel, configurer le Coffre Leurre avec un second motif. Chaque professionnel utilise le sien.
4. Importer les photos cliniques existantes depuis le Rouleau Caméra. Supprimer les originaux de l’application Photos.
5. À l’avenir, capturer les photos cliniques directement dans le coffre ou les importer immédiatement après la capture.
6. Ne pas activer la sauvegarde iCloud sauf si vous êtes prêt à gérer la clé de sauvegarde par appareil. Si vous l’activez, comprenez que perdre la clé signifie perdre la sauvegarde.

Ce flux de travail maintient les images cliniques dans un catalogue scellé, séparé des photos personnelles, hors du Rouleau Caméra visible, et chiffré à un niveau qui satisfait aux mesures de sécurité techniques de la HIPAA et aux exigences de traitement de l’article 9 du RGPD.

Le fardeau réglementaire est réel

Aucune application n’élimine l’obligation du clinicien de mener une évaluation des risques, de documenter les politiques et de s’assurer que le flux de travail global répond aux exigences réglementaires. La HIPAA et le RGPD sont des cadres organisationnels. AppVault est un outil technique.

Ce que l’outil fait, c’est supprimer le point de défaillance le plus courant : les photos cliniques qui traînent dans une galerie non chiffrée et publiquement visible sur un appareil personnel. Ce point de défaillance est celui qui est le plus susceptible de déclencher une plainte, une notification de violation ou une enquête réglementaire.

Pour un médecin, une infirmière, un dentiste, un dermatologue ou un thérapeute qui porte déjà un iPhone en milieu clinique, AppVault fait la différence entre un problème de Rouleau Caméra et un catalogue scellé.