La majorité des sites cliniques reposent sur des architectures d'assemblage. Ces plateformes génériques créent une dépendance structurelle à des écosystèmes tiers, où le contrôle du code et la maîtrise de l'infrastructure sont absents. Chaque composant ajouté devient une porte d'entrée pour des vulnérabilités. Le site n'est plus un actif, mais une construction fragile, louée sur un terrain incertain.

Le risque majeur réside dans l'incapacité de garantir la souveraineté et la sécurité des données patient. Une architecture assemblée est une "boîte noire", rendant souvent impossible de tracer avec certitude le parcours d'une information sensible. Cette opacité expose la clinique à des fuites de données, à une perte de confiance et à des sanctions financières. La responsabilité n'est jamais partagée ; elle incombe entièrement à la clinique.

Le cadre légal est d'une rigueur absolue. Au Québec, la Loi 25 impose des obligations strictes en matière de protection des renseignements personnels et de gouvernance des données. La Loi 5, quant à elle, mandate l'accessibilité des services pour toutes les personnes, y compris sur les plateformes numériques. Au niveau fédéral, la LPRPDE renforce ces principes. À l'international, des normes comme le GDPR en Europe ou HIPAA aux États-Unis établissent un standard global. Pour une clinique, être conforme n'est pas un objectif ; c'est la condition minimale de son existence.

Voir les Exigences de Conformité