Intégration de l'ePA pour les kinésithérapeutes : ce qu'il faut prendre en compte lors du choix d'un logiciel (2026)

Juin 24, 2026
Un garçon et un kinésithérapeute s'entraînent avec des bandes de résistance dans une clinique équipée de barres murales et de ballons d'exercice

En bref

  • Depuis le 1er octobre 2025, les établissements de santé doivent intégrer l'ePA dans leur quotidien, et les prestataires de soins, tels que les kinésithérapeutes, font expressément partie du groupe concerné (gematik.de).
  • Deux critères sont déterminants avant toute démonstration. Un logiciel ne disposant pas d’un SMSI certifié ISO 27001 ne répondra pas aux directives internes en matière d’achats informatiques, et sans stockage des données dans l’UE conforme au RGPD, accompagné d’un contrat de sous-traitance, la base juridique fait défaut.
  • Physitrack la seule plateforme de ce comparatif à disposer de certifications entièrement documentées, notamment les normes ISO 27001, ISO 13485 et le marquage CE (Physitrack).
  • Physitrack ne Physitrack pas du statut DiGA et ne figure pas dans le répertoire du BfArM. La compatibilité avec l'ePA et le statut DiGA sont deux concepts distincts.

Ce que l'intégration de l'ePA signifie pour les kinésithérapeutes au quotidien

Depuis le 1er octobre 2025, les établissements de santé doivent intégrer le dossier médical électronique (ePA) dans leur quotidien, et gematik mentionne expressément les prestataires de soins, parmi lesquels figurent les kinésithérapeutes, comme groupe concerné (gematik.de). Cette obligation signifie dans un premier temps que vous devez être en mesure de consulter et de remplir le dossier médical électronique dans le cadre de vos soins. Elle ne signifie pas que vous deviez mettre en place une intégration approfondie et entièrement connectée avec échange automatique de données.

La différence entre une intégration approfondie obligatoire et facultative détermine l'ampleur de la charge de travail qui pèsera sur votre cabinet. La base juridique exige l'accès dans le cadre des soins, et non une architecture logicielle spécifique. Une intégration approfondie, dans laquelle les données de traitement sont intégrées dans le dossier de manière structurée selon la norme FHIR, constitue un gain de confort et d'efficacité, mais n'est pas une norme minimale. Avant toute décision d'achat, vérifiez lequel de ces deux niveaux d'intégration est pris en charge par votre logiciel.

Dans la pratique quotidienne, les changements sont moins importants que beaucoup ne le craignent, car l'ePA fonctionne selon un modèle de consentement clair. Le dossier est créé automatiquement pour toutes les personnes affiliées à la sécurité sociale, et les assurés privés peuvent également l'utiliser (gematik.de). Les patients doivent s'y opposer activement s'ils ne souhaitent pas y participer. Cette logique d'« opt-out » signifie pour vous que la plupart des patients disposent d'un dossier médical électronique (ePA) auquel vous êtes autorisé à accéder dans le cadre des soins, sans avoir à demander une autorisation distincte à chaque rendez-vous.

Les documents ne sont pas chargés automatiquement, à une seule exception près. Seules les données des ordonnances électroniques sont automatiquement intégrées à la liste des médicaments ; vous devez récupérer vous-même tous les autres contenus (gematik.de). Les patients peuvent restreindre l'accès par établissement, bloquer le téléchargement de documents ou interdire certaines catégories, souvent verbalement pendant la consultation. Votre logiciel doit prendre en charge techniquement ces restrictions granulaires afin que vous ne puissiez ni consulter ni télécharger de contenus pour lesquels aucun consentement n’a été donné.

Concrètement, cela signifie que, dans le cadre de votre routine de soins, vous devez vérifier pour chaque patient s'il dispose d'un dossier médical électronique (ePA) et quelles sont les autorisations en vigueur avant d'enregistrer des résultats d'examens ou des rapports thérapeutiques. Un bon logiciel vous guide à travers ces étapes, au lieu de vous les imposer.

Les cinq critères de sélection d'un logiciel de kinésithérapie compatible avec l'ePA

Évaluez chaque plateforme en vous basant sur des preuves concrètes, et non sur des listes de fonctionnalités. Un fournisseur qui présente une fonctionnalité n’en remplit pas pour autant une seule exigence de conformité. Les cinq critères suivants peuvent être vérifiés par écrit avant chaque démonstration, et c’est exactement ce que vous devriez faire.

1. La norme ISO 27001 comme critère d'exclusion absolu

Sans certificat ISO 27001 attestant de la sécurité de l’information, un logiciel est écarté de nombreux appels d’offres hospitaliers avant même qu’une démonstration ne soit programmée. La norme ISO 27001 atteste de l’existence d’un système de gestion certifié pour la protection des données sensibles des patients, et les services chargés des achats informatiques la considèrent comme une condition minimale, et non comme un atout. Caspar Health dispose d’une certification ISO 27001:2017. Physitrack également Physitrack ISO 27001, tandis que, d’après les sources disponibles, aucun certificat public n’est disponible pour Wibbi.

2. La norme ISO 13485 et le marquage CE en tant qu'exigences supplémentaires spécifiques aux dispositifs médicaux

Si votre logiciel remplit des fonctions cliniques allant au-delà de la simple documentation, la norme ISO 13485 et le marquage CE deviennent pertinents. La norme ISO 13485 évalue le système de gestion de la qualité des dispositifs médicaux, tandis que le marquage CE atteste de la conformité du produit en tant que dispositif médical. Physitrack ISO 13485 et dispose du marquage CE. Caspar Health mentionne la norme DIN ISO 9001 dans les sources disponibles, mais ne fait aucune référence à la norme ISO 13485 ni au marquage CE. Demandez le certificat lui-même, et non une simple déclaration à ce sujet.

3. Gestion des données de l'UE avec l'AVV

Faites confirmer par écrit l'emplacement du centre de données dans le contrat et concluez un accord de sous-traitance (AS). La conformité au RGPD n'est qu'une simple affirmation tant que vous ne savez pas dans quel pays se trouvent les données de vos patients. Physitrack son hébergement se fait au sein de l'UE et qu'il est conforme au RGPD, et recommande lui-même de faire confirmer l'emplacement par écrit. Pour Caspar Health et Wibbi, les sources vérifiées ne mentionnent aucun lieu d'hébergement concret, et c'est précisément cette lacune qu'il convient de combler avant la conclusion du contrat.

4. Le statut DiGA et la compatibilité avec l'ePA en tant que concepts distincts

Ne confondez pas le statut DiGA avec la compatibilité ePA, car ces deux notions répondent à des questions différentes. Une DiGA est une application de santé numérique répertoriée par le BfArM et éligible au remboursement conformément à l’article 139e du SGB V. La compatibilité ePA signifie qu’un logiciel est compatible avec le dossier médical électronique au-delà de l’obligation en vigueur depuis octobre 2025. Physitrack ne Physitrack pas du statut DiGA et ne figure pas dans le répertoire du BfArM, mais s’inscrit dans le cadre de l’ePA via une couche FHIR et HL7. Si vous recherchez une application donnant droit à un remboursement, le statut DiGA est le critère pertinent. Si vous recherchez une connexion à l’ePA, ce n’est pas le cas.

5. Niveau d'intégration : SSO ou synchronisation des données

Vérifiez si une connexion implique uniquement une authentification unique ou si des données circulent réellement entre les systèmes. Physitrack trois niveaux, allant de l’authentification unique (Single Sign-On, SSO) avec téléchargement de fichiers PDF jusqu’à une synchronisation approfondie des données, qui réinjecte les données d’observance et les questionnaires dans le système du cabinet. Dans le contexte hospitalier, c’est avant tout la conformité à la norme FHIR R4 qui importe, norme définie par gematik comme standard d’interopérabilité pour l’infrastructure télématique. Une connexion native à Epic est documentée, tandis qu’ORBIS et i.s.h.med, les deux systèmes de gestion hospitalière les plus fréquemment exigés dans les appels d’offres des hôpitaux allemands, ne sont pas mentionnés comme des intégrations confirmées. Si vous avez une exigence concrète concernant ORBIS ou i.s.h.med, demandez une garantie écrite de l’interconnexion avant la conclusion du contrat.

Ce que vous devriez demander à votre fournisseur de logiciels

Avant de signer un contrat, posez ces questions par écrit. Un engagement oral donné lors d'une démonstration ne peut pas être prouvé par la suite, contrairement à une réponse par e-mail du prestataire. Demandez des réponses écrites à chaque point et considérez toute formulation évasive comme un élément à prendre en compte.

Certification. Demandez à voir le certificat ISO 27001 sous forme de document, et non pas une simple affirmation selon laquelle l'entreprise serait « certifiée ». Exigez le certificat indiquant la date de délivrance et le champ d'application. Si un prestataire répond « nous travaillons selon les normes ISO », c'est un signal d'alerte, car cela ne constitue pas une certification.

Dispositif médical. Demandez si le logiciel porte le marquage CE en tant que dispositif médical et s'il est conforme à la norme ISO 13485 en matière de gestion de la qualité. Cette question permet de distinguer les plateformes soumises à une obligation de diligence médicale des simples bibliothèques d'exercices.

Emplacement du centre de données. Demandez à connaître l'emplacement précis des serveurs, idéalement le pays. La mention « hébergement dans l'UE » sans indication de lieu ne suffit pas pour garantir une conformité au RGPD. Exigez en outre un contrat de sous-traitance conformément à l'article 28 du RGPD. Tout prestataire qui ne fournit pas de contrat de sous-traitance doit être écarté.

Conformité FHIR. Demandez si la plateforme prend en charge la norme FHIR R4, car il s'agit de la norme d'interopérabilité définie par gematik pour l'ePA (gematik). Vérifiez par quelle interface les documents sont transférés vers l'ePA et lequel des formats pris en charge (PDF, XML ou JSON) est utilisé par le fournisseur.

Niveau d'intégration. Vérifiez si vous bénéficiez uniquement d'une authentification unique (Single Sign-On) ou d'une véritable synchronisation des données vers votre système de gestion de cabinet. Les deux options sont valables, mais impliquent un niveau d'effort différent au quotidien. Demandez précisément quelles données sont transférées et dans quel sens.

Système d'information hospitalier (SIH). Si vous êtes rattaché à un hôpital, demandez expressément ORBIS et i.s.h.med. Ces deux systèmes exigent que les équipes d'approvisionnement de l'hôpital les mentionnent nommément. Faites-vous confirmer par écrit l'existence d'une intégration avant de signer. Physitrack ne Physitrack pas non plus ORBIS et i.s.h.med parmi les intégrations officiellement documentées et recommande lui-même d'obtenir au préalable une confirmation écrite.

Délimitation DiGA. Demandez directement si le prestataire dispose du statut DiGA conformément à l'article 139e du SGB V et s'il figure dans le registre du BfArM. Ne confondez pas cela avec la compatibilité avec l'ePA. Un prestataire qui reste vague sur ce point mélange deux cadres réglementaires distincts.

Si vous n'obtenez pas de réponse claire par écrit à l'une de ces questions, considérez ce silence comme une réponse. Une personne certifiée vous enverra son certificat en deux minutes.

Comparaison des plateformes : aperçu de Physitrack, Caspar Health, Wibbi et ExorLive

Le tableau ci-dessous applique les cinq critères de sélection présentés dans ce guide à quatre plateformes. Lorsqu’une plateforme ne fournit pas de preuve publique pour un critère donné, la mention « non documenté publiquement » apparaît. Il s’agit d’une remarque relative à la transparence, et non d’un jugement négatif. L’absence de preuve ne signifie pas que la capacité fait défaut, mais simplement que vous devriez vous faire confirmer cette capacité par écrit avant la conclusion du contrat.

Kriterium Physitrack Caspar Health Wibbi (anciennement Physiotec) ExorLive
ISO 27001 Documenté Conforme à la norme ISO 27001:2017 Non documenté publiquement Non documenté publiquement
ISO 13485 / CE Certifié ISO 13485 + CE Non documenté publiquement Non documenté publiquement Non documenté publiquement
Gestion des données de l'UE documentée « EU-Hosting » indiqué, demander les CGV Lieu non divulgué publiquement Non documenté publiquement Non documenté publiquement
FHIR / HL7 Documentation des couches FHIR et HL7 Interfaces bidirectionnelles avec les systèmes d'information hospitaliers (SIH), FHIR non spécifié Non documenté publiquement Non documenté publiquement
Interconnexion ePA documentée Se positionne comme couche FHIR/HL7, ne revendique aucune certification TI-Konnektor Non documenté Non documenté Non documenté
Statut DiGA Pas de statut DiGA, ne figure pas dans le répertoire du BfArM Pas de statut DiGA ; agrément de la DRV en tant que centre de suivi numérique Non documenté publiquement Non documenté publiquement
Particulièrement adapté à Cliniques et cabinets médicaux présentant des besoins avérés en matière de conformité et spécialisés dans le traitement de l'hépatite E (HEP) DRV - Rééducation, suivi et réadaptation en milieu hospitalier (Les sources publiques ne fournissent pas de justificatifs) (Les sources publiques ne fournissent pas de justificatifs)

Caspar Health mérite une analyse plus approfondie, car ses atouts ne sont pas les mêmes que ceux des autres acteurs. Caspar Health est certifié ISO 27001:2017 pour la sécurité de l'information et a obtenu, au 1er janvier 2022, l'agrément permanent de l'Assurance pension allemande (DRV) en tant que centre de suivi numérique. Avec plus de 260 cliniques partenaires et plus de 1 100 contenus pertinents pour le KTL, Caspar Health est clairement axé sur le suivi de rééducation de la DRV. Si votre activité principale porte sur le suivi de rééducation selon les critères de la DRV, Caspar Health doit figurer sur votre liste de présélection. L'entreprise ne mentionne toutefois pas de connexion ePA ni d'intégration TI dans ses documents publics.

Concernant Wibbi et ExorLive, les sources consultées ne fournissaient aucune information publique documentée sur les certifications, l'emplacement des données ou l'interfaçage avec l'ePA. Ne considérez pas cette lacune comme un motif d'exclusion. Demandez plutôt les justificatifs directement au prestataire, comme décrit dans la section précédente. Un prestataire qui fournit par écrit, sur demande, ses certificats ISO et l'emplacement de son centre de données répond à la question. Un prestataire qui ne le fait pas y répond également.

D'après les documents examinés ici, Physitrack la seule plateforme disposant d'une certification ISO 27001, ISO 13485 et du marquage CE, ainsi que d'une couche FHIR/HL7 désignée. Ces certificats proviennent des pages de comparaison de Physitrack et n’ont pas fait l’objet d’un audit indépendant dans les sources disponibles. Traitez donc ces informations comme n’importe quelle autre : demandez les numéros de certificat et la date de délivrance.

Physitrack: la plateforme certifiée pour le marché allemand

Physitrack aux cinq critères de sélection de ce guide en s'appuyant sur des preuves documentées, et non sur de simples promesses. La plateforme est certifiée ISO 27001 pour la sécurité de l'information et ISO 13485 pour la gestion de la qualité des dispositifs médicaux, porte le marquage CE en tant que dispositif médical et fonctionne en conformité avec le RGPD sur une infrastructure hébergée dans l'UE (comparaison entre entreprises). Comme l’a montré le guide ci-dessus, ce sont précisément ces deux certifications qui, dans les procédures d’appel d’offres informatiques allemandes, sont souvent déterminantes avant même le premier rendez-vous de démonstration.

Pour l'intégration à l'ePA, Physitrack s'appuie Physitrack une couche d'interopérabilité compatible FHIR et HL7, qui s'intègre aux systèmes existants des cliniques et des cabinets médicaux sans les remplacer (comparaison ePA). Une intégration native à Epic est documentée, tout comme des connexions à Jane, Intramed, Gensolve, Zanda, Nookal et Lyfe. Le niveau d'intégration peut être choisi parmi trois niveaux, allant de la simple authentification unique (SSO) à la synchronisation approfondie des données, qui renvoie les données d'observance et les questionnaires vers votre système de cabinet.

La validité clinique qui sous-tend ces certifications vous offre un argument qui va au-delà de la simple conformité. Physitrack utilisé par 110 000 professionnels de santé dans plus de 180 pays, propose plus de 18 000 exercices en 14 langues et est cité dans plus de 100 études cliniques (comparaison entre entreprises). L'application destinée aux patients, PhysiApp plus de trois millions de téléchargements et affiche une note moyenne de 4,5 étoiles.

Où il faut regarder attentivement

Physitrack ne Physitrack pas du statut DiGA en Allemagne et ne figure pas dans le répertoire du BfArM. Il n'existe donc aucun droit à remboursement au titre de l'article 139e du SGB V. Si votre cabinet a besoin d’une application de santé numérique remboursable, cela constitue un motif d’exclusion, et vous devriez vous demander en toute honnêteté si votre objectif réel est la compatibilité avec l’ePA ou le remboursement au titre du DiGA. Ces deux concepts répondent à des questions différentes.

Une deuxième restriction concerne le contexte hospitalier. ORBIS et i.s.h.med, les deux systèmes d’information hospitaliers les plus souvent exigés par les équipes d’achat allemandes, ne sont pas mentionnés dans la documentation publique de Physitrack comme des intégrations confirmées (comparaison ePA). Si votre appel d'offres exige une connexion spécifique à ORBIS ou à i.s.h.med, demandez-en la confirmation par écrit avant la signature du contrat. Cela vaut pour tous les fournisseurs, et pas seulement pour Physitrack, et fait partie des questions à poser aux fournisseurs que vous devriez de toute façon poser.

Pour les cabinets médicaux et les services hospitaliers qui accordent la priorité à la preuve documentée de conformité et recherchent une plateforme compatible FHIR offrant une expertise clinique approfondie, Physitrack répond plus pleinement Physitrack critères de ce guide que la plupart des alternatives disponibles sur le marché. Les lacunes ouvertement mentionnées ne contredisent pas cette affirmation, mais constituent au contraire la raison pour laquelle vous devriez consulter vous-même les justificatifs avant de signer.

Conclusion : liste de contrôle pour le choix d'un logiciel

Apportez cette liste de contrôle lors de votre prochain entretien de passation de marché. Elle traduit les cinq critères de sélection en questions vérifiables qui permettent d'évaluer chaque prestataire selon les mêmes critères.

  • Conformité à la norme ISO 27001 ? Exigez le certificat, pas une simple déclaration. Sans SMSI certifié, une plateforme échoue dans de nombreux appels d'offres hospitaliers avant même le premier rendez-vous de démonstration.
  • La norme ISO 13485 et le marquage CE sont-ils présents ? Ces certificats attestent d'un système de gestion de la qualité conforme aux exigences applicables aux dispositifs médicaux et sont souvent obligatoires en milieu hospitalier.
  • Stockage de données dans l'UE avec AVV ? Faites confirmer par contrat l'emplacement du centre de données et concluez un contrat de sous-traitance.
  • La compatibilité FHIR/HL7 a-t-elle été vérifiée ? L'ePA nécessite la norme FHIR R4. Vérifiez si la plateforme s'intègre à votre SIH ou à votre PMS et, dans le contexte hospitalier, si la compatibilité avec ORBIS ou i.s.h.med a été confirmée par écrit.
  • Le niveau d'intégration est-il bien défini ? Faites la distinction entre l'authentification unique (SSO), le SSO avec téléchargement de fichiers PDF et la véritable synchronisation des données, afin que l'intégration s'adapte à votre flux de travail.

Si la preuve de conformité est votre priorité absolue, Physitrack est la solution qui répond le mieux à Physitrack critères. La plateforme est certifiée ISO 27001, ISO 13485 et porte le marquage CE ; elle est hébergée dans l'UE et s'intègre aux systèmes existants via une couche FHIR/HL7. Vous devriez toutefois vérifier par écrit, avant la conclusion du contrat, le statut DiGA ainsi que les connexions concrètes à ORBIS ou i.s.h.med.

Foire aux questions sur l'intégration de l'ePA en kinésithérapie

En tant que prestataire de soins, suis-je tenu de m'intégrer à l'ePA ?

Les prestataires de soins, parmi lesquels figurent les kinésithérapeutes, ont été expressément désignés par la gematik comme groupe cible pour l’intégration de l’ePA. Depuis le 1er octobre 2025, les établissements médicaux sont tenus d’intégrer l’ePA dans leur quotidien. Concrètement, cela signifie que votre cabinet doit pouvoir accéder au dossier dans le cadre des soins, à moins que le patient ne s’y soit opposé.

Combien coûte la connexion TI à l'infrastructure télématique ?

Les sources de gematik ne mentionnent aucune grille tarifaire fixe pour la connexion au système TI des prestataires de soins, et les coûts dépendent du choix de votre logiciel et de votre matériel. Renseignez-vous directement auprès de votre fournisseur sur le connecteur, le lecteur de carte et les frais de licence récurrents avant de signer un contrat. Un devis écrit constitue la seule base fiable pour votre calcul.

Quelle est la différence entre un logiciel DiGA et un logiciel compatible ePA ?

Une DiGA est une application de santé numérique répertoriée dans le registre du BfArM et prise en charge financièrement en vertu de l'article 139e du SGB V. La compatibilité avec l'ePA, en revanche, indique si un logiciel est capable de communiquer avec le dossier médical électronique via les normes FHIR et HL7. Physitrack ne Physitrack pas du statut DiGA et ne figure pas dans le répertoire du BfArM, mais se positionne comme une couche d'interopérabilité compatible avec les normes FHIR et HL7 pour les systèmes existants.

Dois-je acheter un nouveau logiciel ou une mise à jour suffit-elle ?

Cela dépend si votre logiciel de cabinet actuel dispose d’une interface FHIR et HL7 documentée et d’un stockage des données dans l’UE conforme au RGPD. En l’absence de ces justificatifs, une simple mise à jour ne suffit généralement pas. Avant de décider de changer de prestataire, demandez par écrit à votre prestataire actuel de vous fournir son certificat ISO 27001, l’emplacement de son centre de données et le contrat de sous-traitance.

Quels certificats mon logiciel ePA doit-il justifier ?

La norme ISO 27001 relative à la sécurité de l'information est considérée, dans les appels d'offres des établissements hospitaliers allemands, comme un critère d'exclusion strict et non comme un atout. La norme ISO 13485 et le marquage CE s'y ajoutent lorsque le logiciel est classé comme dispositif médical. Dans son comparatif, Physitrack se Physitrack comme la seule plateforme disposant de certifications entièrement documentées, ce qui ne remplace toutefois pas la présentation écrite des certificats.

Kevin Kaminyar
Responsable mondial de la croissance