Quand un patient cherche un chirurgien esthétique, il passe par Google. Il visite plusieurs sites, compare, hésite. Avant même de lire votre spécialité ou de regarder votre parcours, son navigateur a déjà émis un verdict sur votre site : sécurisé ou non sécurisé. Ce verdict s’affiche dans la barre d’adresse, en quelques symboles que la majorité des internautes savent désormais lire.

Un cadenas verrouillé : votre site est en HTTPS, les données sont chiffrées.

Une mention “Non sécurisé” accompagnée parfois d’un triangle orange ou d’un cadenas barré : votre site est en HTTP, les données circulent en clair.

Pour un cabinet médical qui collecte des informations de contact, cette distinction n’est pas un détail technique. Elle touche à la protection des données personnelles, au référencement Google, et à la perception que vos patients ont de votre professionnalisme.

Dans cet article
  • Ce qu’est techniquement HTTPS : TLS, certificat SSL, chiffrement expliqués simplement
  • Ce que voit le patient quand votre site est en HTTP
  • Pourquoi HTTP est un problème RGPD pour un formulaire de contact médical
  • L’impact concret sur votre référencement Google depuis 2018
  • Comment vérifier l’état HTTPS de votre site en deux minutes
  • Certificats gratuits vs payants : est-ce que ça change quelque chose ?
  • Ce qui se passe si vous migrez de HTTP à HTTPS sans redirections

Ce qu’est HTTPS techniquement, expliqué sans jargon

HTTP signifie HyperText Transfer Protocol. C’est le protocole qui permet à votre navigateur de communiquer avec un serveur web. Quand vous tapez une adresse dans un navigateur, votre ordinateur envoie une requête au serveur, qui renvoie la page. Ces échanges suivent les règles du protocole HTTP.

HTTPS, c’est HTTP avec une couche de sécurité ajoutée. Le “S” signifie Secure. Cette couche de sécurité repose sur une technologie appelée TLS (Transport Layer Security), que l’on appelle encore souvent SSL, son prédécesseur. TLS chiffre les données échangées entre le navigateur du visiteur et votre serveur.

Qu'est-ce que le chiffrement concrètement ? Sans chiffrement, les données qui transitent entre un navigateur et un serveur sont lisibles par quiconque intercepte la connexion. Sur un réseau Wi-Fi public (café, hôtel, salle d'attente), cette interception est techniquement accessible à des profils malveillants. Avec TLS, les données sont transformées en un flux illisible sans la clé de déchiffrement correspondante.

Pour que HTTPS fonctionne, votre serveur doit posséder un certificat SSL/TLS. Ce certificat joue deux rôles :

  1. Authentifier votre serveur : il prouve que le serveur qui répond est bien celui auquel le visiteur pensait s’adresser (votre domaine, pas un imposteur).
  2. Établir le chiffrement : il permet l’échange de clés cryptographiques qui vont sécuriser la session.

Ce certificat est délivré par une autorité de certification (CA pour Certificate Authority), un tiers de confiance reconnu par les navigateurs. Quand votre navigateur arrive sur un site HTTPS, il vérifie que le certificat est valide et émis par une autorité reconnue. Si tout est en ordre, le cadenas s’affiche. Si ce n’est pas le cas, le navigateur affiche un avertissement.

Ce que voit le patient

La différence entre HTTP et HTTPS est visible dans la barre d’adresse de n’importe quel navigateur moderne.

Site en HTTP

  • Mention “Non sécurisé” visible dans Chrome et Firefox
  • Parfois un cadenas barré ou un triangle d’avertissement
  • Sur les pages avec formulaire : Chrome affiche un avertissement renforcé
  • Certains navigateurs bloquent la soumission du formulaire avec un message explicite

Site en HTTPS

  • Cadenas fermé dans la barre d’adresse
  • Aucun avertissement affiché
  • Le visiteur peut soumettre ses informations sans message d’alerte
  • L’URL commence par “https://” (parfois masqué mais toujours présent)

La mention “Non sécurisé” est apparue dans Chrome en 2018. Avant cette date, les sites HTTP affichaient simplement rien de particulier : l’absence de cadenas était neutre. Depuis, Chrome a renversé la logique : l’absence de cadenas est un avertissement actif.

Pour un patient qui s’apprête à envoyer son prénom, son numéro de téléphone et le motif de sa demande de rendez-vous, voir cet avertissement au moment de cliquer sur “Envoyer” crée une hésitation. Et pour un chirurgien esthétique, où la décision de contact est déjà fragile, chaque hésitation peut coûter un patient.

85%

des internautes déclarent qu'ils abandonneraient un achat ou une action en ligne si le site leur semblait non sécurisé (étude GlobalSign, 2019). Ce chiffre est encore plus élevé quand il s'agit de communiquer des informations personnelles à un professionnel de santé.

GlobalSign Consumer Security Survey

Pourquoi HTTP est un problème RGPD pour un formulaire de contact médical

Le Règlement Général sur la Protection des Données (RGPD) impose aux responsables de traitement de mettre en place des “mesures techniques et organisationnelles appropriées” pour protéger les données personnelles. C’est l’article 32 du règlement.

Pour un formulaire de contact sur un site médical, les données collectées sont généralement : prénom, nom, numéro de téléphone, adresse email, et souvent une mention du motif de contact ou de l’intervention souhaitée. Ces données sont des données personnelles au sens du RGPD. Et selon le contexte (mention d’une pathologie ou d’une intervention), elles peuvent être qualifiées de données de santé, une catégorie particulièrement protégée.

Un formulaire de contact soumis via un site HTTP envoie ces données en clair sur le réseau. Elles ne sont pas chiffrées entre le navigateur du patient et votre serveur. Utiliser HTTP pour collecter des données de contact sur un site médical constitue une mesure de sécurité insuffisante au sens de l'article 32 du RGPD.

La CNIL a prononcé des sanctions pour des manquements à l’article 32, y compris envers des acteurs qui ne géraient pas de données de santé à proprement parler. Pour un praticien de santé, le niveau d’exigence est supérieur.

Il ne s’agit pas d’une menace théorique. Le risque réel est double :

  • Un signalement à la CNIL par un patient informé ou un concurrent, qui peut déclencher un contrôle.
  • Une mise en cause disciplinaire devant l’Ordre des médecins, qui peut estimer que ne pas protéger correctement les données des patients constitue un manquement aux obligations déontologiques.

L’impact de HTTP sur votre référencement Google

Google a officiellement annoncé en 2014 que HTTPS serait un facteur de classement. En 2018, avec l’arrivée des avertissements “Non sécurisé” dans Chrome, l’entreprise a renforcé ce signal.

Concrètement, un site HTTP est défavorisé dans les résultats de recherche par rapport à un site HTTPS ayant un contenu équivalent. Ce n’est pas le facteur de classement le plus puissant, mais dans un marché où les chirurgiens esthétiques se disputent les premières positions sur des mots-clés locaux précis, tout désavantage compte.

Google traite les sites de chirurgie esthétique dans la catégorie YMYL (Your Money or Your Life) : les critères de qualité et de fiabilité y sont plus stricts. Un site en HTTP envoie un signal de fiabilité insuffisante que Google capte et intègre dans son évaluation. Ce n'est pas seulement un malus technique : c'est un signal de manque de sérieux.

Il y a aussi un effet indirect. Google Search Console mesure le taux de rebond et l’engagement des visiteurs. Si des patients quittent rapidement votre site après avoir vu l’avertissement “Non sécurisé”, ce comportement envoie un signal négatif à Google sur la qualité de votre site.

Pour aller plus loin sur la modernisation technique de votre site, l’article sur la refonte de site pour médecin esthétique détaille quand et pourquoi une refonte complète s’impose.

Comment vérifier si votre site est en HTTPS

C’est une vérification qui prend deux minutes.

1
Ouvrez votre site dans Chrome ou Firefox

Tapez l'adresse de votre site dans la barre d'adresse. Regardez ce qui s'affiche à gauche de l'adresse : un cadenas fermé signifie HTTPS actif. La mention "Non sécurisé" ou un cadenas barré signifie HTTP.

2
Vérifiez toutes les pages avec formulaire

Ce n'est pas parce que votre homepage est en HTTPS que votre page contact l'est aussi. Vérifiez la barre d'adresse sur chaque page où vous collectez des informations.

3
Utilisez SSL Labs pour un diagnostic complet

L'outil gratuit SSL Labs (ssllabs.com/ssltest/) analyse la qualité de votre certificat HTTPS : version TLS utilisée, algorithmes de chiffrement, date d'expiration, erreurs de configuration. Il vous donne une note de A à F. Une note inférieure à B mérite attention.

4
Vérifiez la redirection automatique

Tapez "http://" (sans le S) suivi de votre adresse. Votre site doit vous rediriger automatiquement vers la version HTTPS. Si ce n'est pas le cas, les visiteurs qui tapent votre adresse sans le S arrivent sur la version non sécurisée.

Certificats gratuits vs certificats payants : est-ce que ça change quelque chose ?

Oui et non.

Let’s Encrypt est une autorité de certification à but non lucratif qui délivre des certificats SSL/TLS gratuitement. Ces certificats sont reconnus par tous les navigateurs modernes. Ils offrent exactement le même niveau de chiffrement que les certificats payants de base.

Ce que Let's Encrypt ne fait pas

  • Il ne valide pas l’identité juridique de votre organisation (pas de certificat EV)
  • Il n’offre pas de garantie financière en cas de compromission
  • Le cadenas affiché est identique à celui des certificats payants : aucune distinction visible pour le visiteur

Ce que Let's Encrypt fait

  • Chiffre les données en transit avec le même algorithme que les certificats payants
  • Est reconnu par tous les navigateurs (Chrome, Firefox, Safari, Edge)
  • Se renouvelle automatiquement tous les 90 jours
  • Est proposé nativement par Netlify, OVH, Infomaniak et la plupart des hébergeurs modernes

La différence entre un certificat gratuit (DV, pour Domain Validation) et un certificat payant de type EV (Extended Validation) réside dans le niveau de vérification de l’identité. Le certificat EV affichait autrefois le nom de l’organisation en vert dans la barre d’adresse. Chrome et Firefox ont supprimé cet affichage en 2019, estimant qu’il n’apportait pas d’amélioration de sécurité perceptible par les utilisateurs.

Pour un site de cabinet médical, un certificat Let’s Encrypt activé et configuré correctement est parfaitement suffisant. Ce qui compte, c’est qu’il soit actif, renouvelé automatiquement, et que toutes les redirections soient en place.

La plupart des hébergeurs modernes (Netlify, Vercel, Infomaniak, OVH) activent HTTPS avec Let's Encrypt en quelques clics, ou automatiquement à la création du site. Si votre site est hébergé sur l'une de ces plateformes et que vous êtes encore en HTTP, c'est souvent un simple paramètre à activer dans votre interface d'hébergement.

Ce qui se passe si vous migrez de HTTP à HTTPS sans redirections

C’est le piège classique de la migration mal préparée. Votre site est en HTTP depuis plusieurs années. Votre hébergeur vous propose d’activer HTTPS. Vous activez. Et sans redirection, votre référencement souffre.

Voici ce qui se passe :

  • Votre ancienne URL http://votresite.fr/rhinoplastie/ et votre nouvelle URL https://votresite.fr/rhinoplastie/ sont traitées par Google comme deux pages différentes.
  • Tout le “poids” SEO accumulé sur vos anciennes URLs HTTP (liens entrants, ancienneté, autorité) reste sur les URLs HTTP, qui n’existent plus ou qui renvoient vers HTTPS sans code de redirection approprié.
  • Google doit ré-indexer toutes vos pages sous leurs nouvelles URLs HTTPS, en repartant de zéro pour leur autorité.

La solution : les redirections 301 (redirection permanente) de chaque URL HTTP vers son équivalente HTTPS. Ces redirections indiquent à Google que le contenu a définitivement déménagé, et que l’autorité SEO doit être transférée vers la nouvelle adresse.

Une migration HTTP vers HTTPS sans redirections 301 peut entraîner une chute temporaire du référencement de plusieurs semaines à plusieurs mois. Pour un praticien qui dépend de son référencement naturel (le seul levier légal, la publicité étant interdite en chirurgie esthétique), c'est une perte directe de visibilité. Il est indispensable de confier cette migration à quelqu'un qui sait mettre en place les redirections correctement.

Les erreurs fréquentes lors d’une migration :

  • Rediriger uniquement la page d’accueil et oublier les sous-pages
  • Utiliser des redirections 302 (temporaires) au lieu des 301 (permanentes)
  • Oublier de mettre à jour le sitemap XML avec les nouvelles URLs HTTPS
  • Ne pas mettre à jour Google Search Console pour déclarer la nouvelle version HTTPS du site
  • Oublier de rediriger les URLs avec et sans “www” (les quatre combinaisons : http avec www, http sans www, https avec www, https sans www doivent toutes aboutir à une seule URL canonique)

Pour les sites construits en technologie statique, ces redirections sont configurées au niveau de l’hébergeur et ne nécessitent pas d’intervention sur le code. Pour un site WordPress, elles se configurent via un fichier .htaccess ou un plugin dédié. Dans les deux cas, une vérification post-migration avec un outil comme Screaming Frog permet de s’assurer qu’aucune redirection ne manque.

L’article sur les sites statiques et leur impact sur la performance d’un cabinet détaille comment l’architecture technique d’un site influe sur sa sécurité et sa résistance aux problèmes de configuration.

HTTPS et les contenus mixtes : une vigilance supplémentaire

Activer HTTPS sur votre site ne suffit pas toujours. Si votre site charge des ressources (images, scripts, polices) depuis des URLs commençant par “http://”, le navigateur considère que la page est en “contenu mixte”. L’avertissement de sécurité peut réapparaître même si votre site est officiellement en HTTPS.

Ce problème arrive fréquemment lors d’une migration : le code du site contenait des liens absolus en HTTP vers ses propres ressources, ou vers des services tiers non encore mis à jour.

Exemple concret : votre page intègre une image hébergée sur votre propre serveur avec l'URL "http://votresite.fr/images/photo-cabinet.jpg". Même si la page est servie en HTTPS, cette image est chargée en HTTP. Le navigateur signale du contenu mixte. La solution : remplacer toutes les URLs absolues HTTP par des URLs HTTPS, ou mieux, par des URLs relatives qui héritent du protocole de la page parente.

Une fois la migration effectuée, l’outil Chrome DevTools (clic droit sur la page, “Inspecter”, onglet “Console”) révèle les avertissements de contenu mixte avec la liste exacte des ressources concernées.

Ce que signifie HTTPS pour la conformité déontologique

Le Code de déontologie médicale impose au praticien une obligation de confidentialité envers ses patients. L’article R.4127-4 dispose que “le secret médical, institué dans l’intérêt des patients, s’impose à tout médecin”.

Un formulaire de contact sur un site médical n’est pas couverts par le secret médical au sens strict, mais il traite des données personnelles et potentiellement sensibles. La CNIL considère qu’un formulaire permettant à un patient de mentionner une pathologie ou une intervention entre dans le champ des données de santé dès lors que cette information est collectée dans un contexte médical.

Ne pas chiffrer le transport de ces données via HTTPS peut donc être interprété comme un manquement à la confidentialité attendue dans la relation médecin-patient.

Notre audit de conformité déontologique intègre la vérification du statut HTTPS parmi ses premiers points de contrôle. C'est l'une des corrections les plus simples à apporter, et l'une des plus importantes pour la protection des données de vos patients.

Récapitulatif : ce que HTTPS fait pour votre site

À retenir
  • HTTPS chiffre les données échangées entre le navigateur de vos patients et votre serveur : les données de contact ne transitent pas en clair
  • La mention “Non sécurisé” dans Chrome est visible par vos patients depuis 2018 : elle crée une hésitation au moment de soumettre un formulaire
  • Un formulaire de contact en HTTP sur un site médical constitue une mesure de sécurité insuffisante au sens de l’article 32 du RGPD
  • Google utilise HTTPS comme facteur de classement depuis 2014, renforcé en 2018 : un site HTTP est défavorisé dans les résultats de recherche
  • Les certificats Let’s Encrypt sont gratuits, automatiquement renouvelés et offrent le même niveau de chiffrement que les certificats payants
  • Une migration HTTP vers HTTPS sans redirections 301 entraîne une perte de référencement : toutes les URLs doivent être redirigées correctement
  • Les contenus mixtes (ressources HTTP sur une page HTTPS) réactivent les avertissements : vérifier après migration

Si vous souhaitez évaluer l’état de sécurité de votre site et identifier d’autres axes d’amélioration, notre page sur la création de site pour médecins esthétiques détaille notre approche, où HTTPS actif et correctement configuré est un prérequis non négociable de tout site que nous livrons.