CYBERATTAQUE WEDA : QUELLES ACTIONS RGPD POUR LES MSP ?

Dans la nuit du 10 au 11 novembre 2025, l’éditeur Weda, filiale du groupe Vidal et leader français des logiciels médicaux, a subi une cyberattaque d’ampleur touchant plus de 23 000 professionnels de la santé (médecin généraliste, infirmier, sage-femme, etc…) exerçant à titre individuel ou de manière coordonnée au sein d’une maison de santé pluridisciplinaire (MSP). Cet incident a paralysé l’accès aux dossiers médicaux partagés et aux fonctionnalités essentielles, comme la télétransmission des feuilles de soins ou la gestion des ordonnances.

Dès la détection d’une « activité inhabituelle », Weda a suspendu ses services par précaution et engagé des experts en cybersécurité pour renforcer les mesures de protection. Bien que la faille ait été rapidement traitée, l’étendue exacte de la fuite de données reste indéterminée, laissant les professionnels de santé libéraux désemparés. Ceux-ci doivent désormais gérer une double urgence : rétablir leur activité tout en répondant à leurs obligations légales en matière de protection des données personnelles.

La cyberattaque subie par Weda a plongé les professionnels de santé dans une situation critique, les contraignant à travailler « à l’aveugle » pendant plusieurs jours, sans accès aux antécédents médicaux, aux résultats d’analyses ou aux traitements en cours de leurs patients.

Cette paralysie a non seulement perturbé la continuité des soins, mais a aussi révélé la dépendance accrue des praticiens aux systèmes d’information partagés (SIP), aujourd’hui centraux dans leur organisation.

Or, le SIP constitue un axe clé de l’Accord Conventionnel Interprofessionnel (ACI), qui encadre le financement des structures organisées en exercice pluriprofessionnel et les accompagne dans la structuration de l’offre de soins sur leur territoire.

La rémunération de ces structures est modulée en fonction de l’atteinte d’indicateurs organisés autour de trois axes : accès aux soins, qualité et coordination des soins, et enfin l’appui d’un système informationnel partagé.

À cet égard, les structures sont tenues, au minimum, de déployer un SIP labellisé « e-santé » défini par l’Agence du numérique en santé (ANS), avec un niveau de labellisation « standard » (niveau 1). Elles peuvent également opter, de manière facultative, pour un SIP labellisé « avancé » (niveau 2), qui offre des fonctionnalités supplémentaires adaptées à leurs besoins opérationnels.

Cette cyberattaque, ciblant le SIP de certaines MSP, les a placées dans une situation inédite, les obligeant à agir rapidement pour se conformer au RGPD, alors même que certaines méconnaissent encore l’étendue de leurs obligations en matière de protection des données. Les MSP qui portent le SIP ont dû gérer une double urgence : rétablir leur activité, tout en répondant aux exigences légales de notification et de transparence imposées par le RGPD.

Notifier la CNIL dans les 72 heures après avoir eu connaissance de la violation (article 34 du RGPD)

Comme le prévoit l’article 34 du RGPD, « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […], dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ».

Cela signifie que le délai de 72h a commencé à courir pour les MSP au moment où WEDA les a informé de la cyberattaque. Dès lors, les MSP étaient tenues de notifier rapidement auprès de la CNIL, et ce, alors même qu’elles n’étaient pas en possession de l’ensemble des informations relative à la cyberattaque subie et de l’étendue des données compromises.

En effet, le contenu de la notification est strictement encadré par l’article 34 du RGPD qui précise que celle-ci doit comporter les éléments suivants :

1. a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;
2. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
3. c) décrire les conséquences probables de la violation de données à caractère personnel;
4. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Pour autant, même avec des informations partielles, une déclaration initiale devra être réalisée à l’aide des éléments communiqués par l’éditeur. L’objectif de cette déclaration initiale est de permettre aux MSP de respecter le délai réglementaire prévu par l’article 33 du RGPD. Cette déclaration pourra être complétée ultérieurement lorsque l’éditeur fournira des précisions complémentaires sur l’étendue de la violation.

Ce point est confirmé par la lecture de l’article 34.4 du RGPD qui précise que « Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu ».

Or, dans le cas des MSP, celles-ci sont tributaires de l’avancée de l’enquête en cours par WEDA, réalisée conjointement avec la CNIL et l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il conviendra donc pour ces dernières de mettre à jour leur notification lorsque WEDA et/ou l’enquête leur apportera plus d’informations.

Précision importante : Les professionnels de santé exerçant au sein d’une MSP n’ont pas à notifier individuellement la CNIL. C’est en effet à la MSP, en tant qu’entité disposant d’un personnalité morale ayant contractualisée avec Weda, qui doit effectuer cette notification. Elle devra cependant partager l’avancée de la démarche avec ses membres.

Informer les patients concernés : oui mais comment ?  (article 35 du RGPD)

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement est tenu de communiquer la violation à la personne concernée dans les meilleurs délais.

En principe cette information doit pouvoir être nominative auprès des personnes concernées, or l’article 35.3 du RGPD prévoit que cette communication n’est pas nécessaire si celle-ci exige des « efforts disproportionnés », auquel cas, une communication publique ou une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace devra être mise en œuvre.

Cette exemption à l’obligation d’information des personnes concernées doit pouvoir faire l’objet d’une analyse rationnelle au cas par cas selon la situation de la MSP.

À ce titre, la CNIL a pu préciser dans le cadre de son référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données de santé ( Délibération n° 2021-118 du 7 octobre 2021 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé ) des éléments d’appréciation du caractère disproportionné d’une communication auprès des personnes concernées. En effet, la CNIL y précise que « cette exception [d’information] peut s’appliquer aux personnes pour lesquelles le responsable de traitement dispose d’un dossier médical mais qui ne sont plus suivies au sein de l’établissement ou centre où s’exercent des activités de prévention, de diagnostic et de soins ».

Ainsi, la CNIL pose dans ce contexte les critères suivants permettant d’apprécier le caractère disproportionné ou non de l’effort de communication :

• le nombre de personnes concernées ;
• l’ancienneté des données ;
• le coût et le temps de la délivrance des informations.

Pour les MSP, la gestion d’une patientèle nombreuse (parfois plusieurs milliers de patients) et l’absence de fonctionnalités de diffusion automatisée dans le SIP sont susceptibles de rendre une communication nominative difficilement réalisable.

Face à cette contrainte, les MSP devront documenter les raisons justifiant l’impossibilité d’une communication nominative, et faire preuve de créativité pour communiquer publiquement sur la violation de données en privilégiant des canaux publics pour toucher le plus grand nombre.

À ce titre, la présence d’une affiche au sein des locaux de la MSP comportant les informations relatives à la violation de données et ses conséquences auprès des patients constitue un début de conformité mais ne sera malheureusement pas suffisant pour répondre pleinement à cette exigence d’information.

En effet, d’autres canaux de communication devront être envisagés (ex : le site internet de la MSP, réseaux sociaux, affiches auprès des établissements de santé de la région fréquentés par la patientèle, les journaux locaux, Doctolib au moment de la prise de RDV, etc…).

S’agissant maintenant du contenu de l’information, celui-ci doit être le plus clair, pédagogique et rassurant possible, conformément aux exigences de l’article 12 du RGPD (transparence et accessibilité).

Le contenu du message adressé aux patients doit décrire clairement l’incident (nature, date, données potentiellement exposées comme l’identité, les coordonnées ou les éléments administratifs), expliquer les risques et les mesures de précaution à adopter (vigilance face aux sollicitations suspectes, signalement des tentatives de fraude) tout en rassurant sur les actions engagées (signalement à la CNIL, renforcement de la sécurité, disponibilité de l’équipe pour répondre aux questions). L’objectif est d’informer sans alarmer, en montrant que la situation est maîtrisée et que les patients sont accompagnés.

À ce titre, WEDA a adressé un modèle de communication sur lequel les MSP peuvent s’appuyer pour réaliser leur communication.

Renforcer la résilience informatique du SIP

• Les mesures d’urgence

Tout au long des précédentes étapes précédemment décrites, les MSP devront mettre en œuvre des mesures de sécurité techniques et organisationnelles adaptées au niveau de risque inhérent à la violation survenue pour faire face à ses conséquences et en atténuer les éventuelles conséquences négatives.

Pour ce faire, la MSP pourra bien évidemment s’appuyer sur son prestataire qui l’accompagnera dans la détermination des mesures adaptées et leur mise en œuvre, notamment au titre de ses engagements contractuels en tant que sous-traitant de données à caractère personnel.

La MSP devra toutefois de son côté tenir à jour dans un registre dédié (appelé « registre de violation ») une traçabilité complète des démarches engagées et des mesures correctives qu’elle met en œuvre pour faire face à l’incident. Ce registre constitue un élément essentiel en cas de contrôle par la CNIL.

Indépendamment des mesures mises en œuvre par WEDA pour faire face à la situation, les MSP devront réviser la gestion des mots de passe des utilisateurs de leur SIP en demandant à chacun de modifier sans délai ceux associés à WEDA.

Dans la mesure du possible, les MSP devront privilégier des mots de passe complexes, uniques pour chaque service, et évitez toute réutilisation entre plateformes (messagerie, Ameli Pro, etc.). À ce titre, l’utilisation d’un gestionnaire de mots de passe est vivement conseillée pour générer et stocker ces identifiants en toute sécurité, limitant ainsi les risques liés à une éventuelle compromission (et exit les post-it qui trainent sur le desk de l’accueil…).

En parallèle, les MSP devront aussi s’assurer que l’ensemble des équipements et logiciels connectés au SIP et à son réseau sont à jour : ordinateurs, tablettes et smartphones doivent bénéficier des dernières mises à jour de sécurité, qu’il s’agisse des systèmes d’exploitation (Windows, Mac) ou des applications tierces (navigateurs, clients mail). Les MSP devront également s’assurer que les solutions antivirus et anti-malware sont actives et régulièrement mises à jour sur chaque poste de travail, afin de réduire les vulnérabilités exploitables.

À noter le rôle essentiel d’une charte informatique interne opposable aux salariés et professionnels de la MSP dans ce genre de situation, permettant de contraindre les plus réticents à mettre en œuvre ces mesures, et le cas échéant, de les sanctionner.

• Les mesures pour l’avenir

Anticiper, c’est se protéger : la gestion d’une violation de données passe également par la détermination de mesures en interne pour pouvoir faire face à l’avenir à de telles situations.

Parmi les mesures devant être mises en œuvre par les MSP, nous retrouvons notamment la réalisation de session de sensibilisation des équipes aux cyber-risques (phishing, piratage de compte en ligne, Arnaque au faux support technique, ransomwares, attaques en déni de service, etc…).

La réalisation de ces séances de sensibilisation devront être documentées par la MSP afin de contribuer à la conformité de ses exigences posées par le RGPD, notamment au titre de l’article 32 du RGPD qui impose aux responsables de traitement la mise en œuvre de mesures techniques et organisationnelles adaptées afin de garantir un niveau de sécurité adapté au risque inhérent au traitement de données personnelles réalisé.

Pour garantir la continuité des soins en cas de nouvelle panne ou cyberattaque, la MSP doit pouvoir également élaborer (ou actualiser) un plan de continuité d’activité précis et opérationnel.

Ce document doit définir clairement les responsabilités de chaque membre de l’équipe lors d’une indisponibilité du logiciel médical, mais aussi les solutions de repli pour accéder aux informations vitales, comme la mise à jour manuelle d’un registre des patients chroniques ou la reconstitution immédiate des ordonnances en cours.

Une analyse collective des processus permettra d’identifier les activités prioritaires et de sécuriser leur maintien, même en mode dégradé. Pour s’inspirer, les MSP peuvent se référer à des initiatives comme l’opération Papyrus, menée en 2024 par le Centre hospitalier Annecy Genevois. Ce projet visait à renforcer la résilience de l’établissement face aux cybermenaces, de limiter les perturbations dans la délivrance des soins, même dans un contexte de crise.

Revoir les contrats avec leurs prestataires

Les MSP devront accorder une attention particulière à la rigueur juridique et technique des contrats qu’elles signent avec leurs prestataires, notamment à la lumière de l’incident survenu avec WEDA.

Dans le cadre de cette violation de données, il est impératif que les MSP se rapprochent activement de l’éditeur de la solution pour obtenir des informations précises sur les mesures correctives mises en œuvre afin de corriger la faille ou, à défaut, d’en atténuer les conséquences. Ces échanges doivent être traçables, avec une documentation écrite des demandes, des réponses et des actions engagées auprès du sous-traitant. Cette traçabilité est essentielle pour démontrer la diligence de la MSP en cas de contrôle ou de litige.

Ces recommandations ne concernent pas uniquement WEDA, mais s’appliquent à l’ensemble des prestataires techniques avec lesquels la MSP collabore, dès lors qu’ils agissent en tant que sous-traitants au sens du RGPD. À ce titre, les contrats doivent impérativement intégrer les mentions obligatoires prévues par l’article 28 du RGPD, notamment :

• la description des traitements de données confiés au sous-traitant ;
• les obligations de sécurité et de confidentialité ;
• les modalités de notification des violations de données ;
• les conditions de sous-traitance en cascade ;
• les engagements du sous-traitant à coopérer avec la MSP dans le cadre de ses obligations au titre de sa qualité de en cas de contrôle par la CNIL.

Or, trop souvent, les MSP considèrent les contrats proposés par les éditeurs comme non négociables, alors qu’il est tout à fait possible, et nécessaire, de les adapter pour protéger leurs intérêts.

Les clauses doivent ainsi être examinées avec soin, et des ajustements peuvent être demandés pour renforcer les garanties offertes par le prestataire. Par exemple, il est légitime d’exiger des engagements renforcés en matière de sécurité, des pénalités en cas de manquement, ou encore des obligations de transparence sur les incidents et les correctifs apportés. Une telle démarche proactive permet non seulement de se prémunir contre les risques juridiques et financiers, mais aussi de renforcer la confiance des patients et des partenaires dans la gestion des données.

Conformément aux dispositions de l’article 28 du RGPD, « lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Ainsi, en tant que responsable de traitement, la MSP reste légalement responsable des violations de données, même si elles sont causées par un sous-traitant (Articles 24 et 28 du RGPD).

Dès lors, les patients concernés seront en mesure de déposer une plainte auprès de la CNIL, laquelle pourra par la suite, en tant qu’autorité administrative indépendante chargée de veiller au respect du RGPD, mettre en œuvre (ou non) ces pouvoirs de contrôle et de sanction.

Ainsi, la CNIL serait en mesure de mener une enquête auprès de la MSP concernée par la/les plainte(s), et le cas échéant :

• imposer des mesures correctives (ex. : mise en conformité sous astreinte, suspension des flux de données) et/ou ;
• adresser des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total (le montant le plus élevé étant retenu), conformément à l’article 83, paragraphe 4, du RGPD et l’article 20 de la LIL.

De même, les patients concernées pourront également demander réparation du préjudice matériel et/ou moral subi devant les tribunaux civils.

À ce titre, la Cour de justice de l’Union européenne (CJUE), dans son arrêt du 14 décembre 2023 (C-340/21), a clarifié plusieurs points concernant la responsabilité des responsables de traitement en cas de violation de données personnelle.

La CJUE rappelle que la charge de la preuve revient au responsable de traitement qui doit être en mesure de prouver qu’il a mis en œuvre des mesures appropriées pour se conformer au RGPD. Ce dernier ne peut pas se contenter d’invoquer une attaque externe pour s’exonérer automatiquement de sa responsabilité, comme le permet l’article 82.3 du RGPD. Le responsable de traitement doit en pouvoir effet prouver que le dommage ne lui est nullement imputable (ex : mesures de sécurité optimales, absence de négligence de sa part, etc…) pour pouvoir s’exonérer.

Par ailleurs, la décision de la CJUE a également élargi la notion de préjudice moral subi par les personnes concernées dans un contexte de violation de données afin de mieux protéger les droits des individus. Ainsi, la crainte d’un usage abusif futur des données personnelles (ex : chantage, usurpation d’identité) peut suffire à constituer un préjudice moral indemnisable, même en l’absence de preuve d’un usage frauduleux effectif.

Toutefois, en cas de condamnation du responsable de traitement par la CNIL ou une juridiction civile pour une violation de données liée à une faute d’un prestataire, le responsable de traitement pourra se retourner contre ce prestataire pour obtenir réparation.

Cette action pourra être réalisée sur le fondement de la responsabilité contractuelle du prestataire qui aurait manqué à ses obligations de sécurité prévue par le contrat (d’où l’importance de bien négocier les clauses), ou sur le fondement de la responsabilité délictuelle si le contrat ne couvre pas explicitement le préjudice subi et/ou si le sous-traitant a commis une faute grave (ex : négligence dans la protection des données) auquel cas, il conviendra de rapporter la démonstration d’une faute, d’un dommage et d’un lien de causalité.

Dans cette situation, les MSP pourront également, si elles en disposent d’une, activer leur assurance cyber-risques ou assurance « protection juridique » auprès de leur assureur pour couvrir tout ou partie des coûts liés à une éventuelle amende, aux frais de défense engagés, ou encore pour être accompagnée dans ses démarches. En effet, les assurances professionnelles couvrent de plus en plus ce type de situation, mais attention toutefois aux conditions et exclusions prévues par le contrat d’assurance souscrit qui peuvent limiter les cas d’indemnisation.

Par ailleurs, si la MSP estime être victime de la violation de données (ex. : piratage de son réseau),  elle conserve la possibilité de porter plainte auprès du commissariat ou de la gendarmerie pour engager une action pénale contre les responsables de la violation. Cette démarche est d’ailleurs parfois nécessaire pour pouvoir bénéficier des assurances souscrites.

Les MSP se sont trouvées confrontées à un écosystème juridique et technique, souvent inédit pour la majorité d’entre elles, alors qu’il revêt une importance capitale pour le fonctionnement opérationnel de leurs activités et la qualité des soins dispensés à leurs patients.

Face à cette dépendance technologique croissante, essentielle à l’exercice de leurs missions de coordination, les MSP doivent désormais adopter une démarche proactive en matière de conformité aux exigences du RGPD. L’objectif est d’intégrer cette conformité comme un levier au service de la MSP et de ses patients, plutôt que comme une simple contrainte.

L’une des premières questions que doivent se poser les MSP aujourd’hui, est la suivante : Ma MSP doit-elle désigner un délégué à la protection des données pour l’accompagner dans sa démarche de mise en conformité au RGPD ? 

Le Délégué à la Protection des Données (DPD ou DPO pour Data protection officier), qu’il soit interne à la MSP ou externalisé (par exemple,  auprès d’un cabinet d’avocats comme le nôtre ), a pour missions de :

• Informer et conseiller la structure et ses employés sur leurs obligations RGPD ;
• Superviser la conformité des traitements, y compris la réalisation d’audits et la formation des équipes ;
• Coopérer avec la CNIL et servir de point de contact pour les autorités de contrôle ;
• Conseiller sur les analyses d’impact (PIA) et surveiller leur mise en œuvre ;
• Agir en tant qu’interlocuteur pour les personnes concernées, notamment pour l’exercice de leurs droits (accès, rectification, opposition, etc.).

Son rôle est donc à la fois stratégique (intégration de la protection des données dès la conception), opérationnel (gestion des incidents, comme les violations de données) et médiateur (interface entre la structure, les autorités et les individus).

À titre d’illustration, il nous arrive régulièrement au cabinet de conseiller les MSP pour lesquelles nous agissons en tant que DPO externe sur les règles d’utilisation du SIP et la gestion des informations médicales des patients qui y sont conservées (ex : comment gérer le cas des médecins remplaçants qui interviennent au sein de la MSP ? ou encore celui-ci des paramédicaux ?). Nous traduisons par la suite ces règles au sein d’une charte informatique qui délimite le niveau de responsabilité des professionnels et celui de la MSP dans l’usage du SIP et des ressources informatiques mises à disposition par la MSP.

Une MSP doit-elle obligatoirement désigner un DPO ? La désignation d’un DPO est obligatoire dans les cas limitativement prévus par l’article 37 du RGPD, notamment lorsque les activités impliquent :

• Un traitement à grande échelle de données sensibles (ex. : données de santé) et/ou ;
• Un suivi régulier et systématique des personnes concernées.

Cette notion de « grande échelle » est essentielle pour déterminer si une structure, comme une MSP, est dans l’obligation de désigner ou non un DPO. Sur ce point, le RGPD précise qu’il s’agit d’activité de traitement visant « un volume considérable de données personnelles au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées et qui sont susceptibles d’engendrer un risque élevé ».

La CNIL a pu toutefois préciser dans sa FAQ dédiée à la conformité au RGPD des acteurs de la santé que l’exercice « au sein d’un réseau de professionnels, les maisons de santé, centre de santé, ou encore les dossiers partagés entre plusieurs professionnels de santé », est susceptible de mettre en œuvre des traitements de données personnelles à grande échelle.

Par ailleurs, la CNIL a pu préciser également dans son référentiel dédié à la gestion des cabinets médicaux et paramédicaux qu’un volume annuel de 10 000 patients pourrait être considéré comme étant un traitement à grande échelle, obligeant ainsi une pharmacie (dans le cadre de l’exemple qu’elle cite) à désigner un DPO. Le volume ne doit pas être le seul indicateur, l’échelle géographique sur laquelle la structure exerce son activité doit également être prise en considération.

Dès lors, si une MSP dispose d’une patientèle supérieur à un 10 000 patients, celle-ci devra procéder à la désignation d’un DPO auprès de la CNIL.

Toutefois, l’absence de désignation d’un DPO par la MSP n’exempte pas celle-ci du respect de ses obligations en tant que responsable de traitement.

À ce titre, celle-ci reste tenue, par exemple, de tenir un registre de leurs activités de traitement (article 30 du RGPD), d’informer les personnes concernées par leurs activités, au rang desquelles nous retrouvons évidemment les patients (articles 13 et 14 du RGPD), de mener des analyses d’impacts relatives à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35 du RGPD), comme peut l’être notamment le déploiement d’un SIP au sein d’une MSP.

À noter également que la CNIL dispose d’une procédure de sanction simplifiée ( Introduite par la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure et présente aujourd’hui à l’article 22-1 de la LIL), lui permettant de prononcer des amendes jusqu’à 20 000 € pour des manquements mineurs ou manifestes, sans procédure contradictoire complète.

L’absence de désignation d’un DPO, alors que la MSP y est tenue, pourrait relever de cette procédure.

Alors plutôt que d’attendre une situation de crise, comme une violation de données, pour agir, les MSP ont donc tout intérêt à anticiper leur conformité et à intégrer la protection des données comme un pilier de leur organisation. Cette démarche proactive permet non seulement de sécuriser les données des patients, mais aussi de renforcer la confiance et de limiter les risques juridiques et opérationnels.

Dans cette perspective, les MSP peuvent s’appuyer sur des expertises externes spécialisées, comme celles proposées par le Cabinet Houdart, pour les accompagner dans cette réflexion et sa mise en œuvre, en veillant à ce que les solutions retenues soient adaptées à leurs spécificités métiers et à leur écosystème.