Par Sarah Kerboua, Avocat.
 
 

Essor de la télémédecine : quels impacts pour les données personnelles des patients ?

La télémédecine est une pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle comprend les actes de téléconsultation [1], de téléexpertise [2], de télésurveillance médicale [3] et de téléassistance [4].

Longtemps marginalisée, la télémédecine est aujourd’hui très usitée et pourrait bien s’installer dans les habitudes des professionnels de santé et des patients.

Si le recours massif à cette pratique est aujourd’hui largement justifié par le contexte sanitaire, sa pérennisation nécessite d’apporter une vigilance particulière à la protection des données personnelles des patients.

S’il devait y avoir un gagnant à la crise sanitaire actuelle, il s’agirait sans doute de la télémédecine. Pour faire face au coronavirus, le recours à cette pratique s’est en effet généralisé. L’Assurance Maladie décomptait ainsi 601.000 téléconsultations entre le 1er et le 28 mars, contre seulement 40.000 en février.

Cette explosion des chiffres s’explique bien entendu par le confinement et les instructions délivrées par les autorités publiques. Elle trouve également son explication dans l’assouplissement récent des règles encadrant la télémédecine.

Le gouvernement a dans un premier temps assoupli par décret du 9 mars dernier les modalités de réalisation de la téléconsultation (suppression, notamment, de l’obligation de recourir à la téléconsultation avec son médecin traitant) avant de porter le taux de son remboursement à 100% jusqu’au 31 mai 2020. Une ordonnance du 16 avril dernier vient d’étendre cette prise en charge totale jusqu’à la fin de l’état d’urgence sanitaire.

Dans un contexte de pandémie, ces assouplissements sont les bienvenus. Ils ne sont toutefois pas sans risque car la télémédecine implique la collecte et le traitement de données de santé lesquelles, du fait de leur caractère sensible, doivent bénéficier d’une attention particulière.

Une faille de sécurité entraînant une violation de données de santé hébergées sur une plateforme de télémédecine pourrait en effet avoir des conséquences dramatiques sur la vie privée des patients concernés.

Aussi, la pérennisation du recours aux outils de télémédecine ne peut se faire en dehors de tout cadre juridique.

Les professionnels de santé devraient porter une attention plus particulière aux actions suivantes :

1- Choisir un prestataire de télémédecine en conformité avec la réglementation.

Comme mentionné précédemment, le décret n° 2020-227 du 9 mars 2020 a assoupli les règles encadrant le recours à la télémédecine et a notamment permis de réaliser des téléconsultations « en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser des vidéotransmissions ». Concrètement, cela signifie qu’il est aujourd’hui possible d’assurer une téléconsultation sur WhatsApp, Face Time ou Skype.

Cet assouplissement ne peut qu’être temporaire car de telles applications ne permettent pas d’assurer des téléconsultations dans des conditions qui satisfont aux exigences du RGPD et du Code de la santé publique (CSP).

Il est ainsi souhaitable de recourir dès aujourd’hui (ou a minima à l’issue de l’état d’urgence sanitaire) à des plateformes de télémédecine qui offrent des garanties suffisantes en matière de sécurité et protection des données.

Lorsqu’un médecin décide d’utiliser une plateforme de télémédecine, il agit en tant que responsable du traitement de données à caractère personnel du patient. Il doit donc s’assurer que le contrat qui le lie au prestataire de télémédecine (son sous-traitant) est conforme au RGPD.

A ce titre, la Commission Nationale de l’Informatique et des Libertés (CNIL) et le Conseil National de l’Ordre des Médecins (CNOM) ont élaboré un guide dans lequel il est recommandé de vérifier que le contrat de sous-traitance prévoit que la plateforme de télémédecine :
- Ne traite les données personnelles que sur instruction du médecin ;
- Veille à la signature d’engagements de confidentialité par le personnel ;
- Prend toutes les mesures de sécurité requises ;
- Ne recrute pas de sous-traitant sans l’autorisation écrite préalable du médecin ;
- Coopère avec le médecin dans le respect de ses obligations en tant que responsable de traitement, notamment lorsque les patients adressent des demandes concernant leurs données personnelles ;
- Supprime ou renvoie au médecin l’ensemble des données personnelles à l’issue des prestations ;
- Collabore dans le cadre d’audits.

Par ailleurs, s’agissant de données personnelles relatives à l’état de santé, la plateforme devra faire appel à un hébergeur de santé certifié, dans les conditions prévues par le CSP.

2- S’assurer de la mise en œuvre de mesures de sécurité.

Afin d’éviter une violation de données personnelles de santé, les mesures de sécurité doivent être adaptées.

La CNIL recommande de recourir aux mesures suivantes :
- Un dispositif d’authentification forte doit être mis en place pour en reconnaître les utilisateurs et leur donner les accès nécessaires. Il existe différents dispositifs d’authentification (mot de passe, carte à puces…) et la CNIL considère qu’un dispositif d’authentification peut être qualifié de « fort » dès lors qu’il contient au moins deux dispositifs d’authentification. Par ailleurs, chaque utilisateur du dispositif de télémédecine doit recevoir un identifiant unique.
- Un dispositif de gestion des habilitations des utilisateurs du dispositif de télémédecine doit être mis en place pour limiter les accès aux seules données qui sont strictement nécessaires aux utilisateurs.

Des niveaux d’habilitations différents doivent ainsi être crées en fonction des besoins des utilisateurs : un dispositif de gestion des traces et des incidents doit être mis en place.

L’objectif est de pouvoir identifier un accès frauduleux, une utilisation abusive des données personnelles ou de déterminer l’origine d’un accident, afin de pouvoir réagir face à une violation des données.

3- Informer le patient.

En tant que responsable du traitement, le professionnel de santé doit veiller à ce que le patient ait été informé de façon claire et transparente sur les motifs de la collecte des données, les finalités du traitement et les modalités d’exercice de ses droits (droit d’accès, de rectification, possibilité d’effectuer une réclamation auprès de la CNIL…).

4- Documenter la conformité au RGPD.

En principe, les traitements de données à caractère personnel utilisés pour la mise en œuvre des actes de télémédecine ne font l’objet d’aucune formalité particulière auprès de la CNIL.

Pour autant, le responsable de traitement doit être en mesure de démontrer, à tout moment, la conformité du traitement de données aux exigences du RGPD.

Le médecin doit ainsi tenir un registre recensant tous les traitements mis en œuvre dans le cadre du dispositif de télémédecine.

Il peut également être tenu de réaliser une étude d’impact pour les traitements de données susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.

Les professionnels de santé qui souhaitent recourir davantage à la télémédecine ont tout intérêt à engager rapidement les actions de conformité adéquates.

Tirant les conséquences de l’actualité récente en matière de santé (télémédecine, développement des objets de santé connectés, violations de données personnelles au sein d’établissements publics...), la CNIL a en effet annoncé le 12 mars dernier que la sécurité des données de santé comptera parmi les trois thématiques prioritaires de son action de contrôle pour l’année 2020.

Sources :
- Règlement Général sur la Protection des Données (articles 9, 12, 13, 14 et 28).
- Code de la santé publique : articles L6316-1, R6316-1, L1111-8.
- Décret n° 2020-227 du 9 mars 2020 adaptant les conditions du bénéfice des prestations en espèce d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au covid-19.
- Décret n° 2020-277 du 16 mars 2020 modifiant le décret n° 2020-73 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus.
- Ordonnance n°2020-428 du 15 avril portant diverses dispositions sociales pour faire face à l’épidémie de covid-19.
- Guide pratique sur la protection des données personnelles, CNIL et CNOM, édition juin 2018.
- « Télémédecine : comment protéger les données des patients ? », fiche éditée sur le site de la CNIL, 7 septembre 2018.

Notes :

[1Consultation donnée à distance à un patient par un professionnel médical.

[2Avis sollicité à distance par un professionnel médical auprès d’un ou plusieurs professionnels médicaux.

[3Interprétation à distance des données nécessaires au suivi médical d’un patient.

[4Assistance à distance réalisée par un professionnel médical au profit d’un autre professionnel de santé au cours de la réalisation d’un acte.

Sarah Kerboua, Avocat au barreau de Paris

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs