L’épidémie de Covid-19 a accentué les consultations de médecine à distance. Les déserts médicaux, les urgences en péril dans diverses villes à l’instar de : Dole, Laval renforcent le recours à la médecine à distance.
Les consultations de médecine à distance peuvent être un pis-aller pour maintenir des soins urgents face à la discontinuité du service médical dans diverses zones ; notamment celles rurales.

La médecine à distance est connue sous diverses appellations : e-Connected Health, Telecare, E-health, télémédecine, Mobile telehealth, Telehealth.

La Commission de terminologie et de néologie pour le domaine de la santé définit l’acte médical comme

« tout acte dont la réalisation par des moyens verbaux, écrits, physiques ou instrumentaux est effectué par un membre d’une profession médicale, dans le cadre de son exercice et les limites de sa compétence ».

Cette simple définition montre que la télémédecine pose des problèmes nouveaux : le contact entre le patient et le médecin peut n’être ni verbal, ni écrit, ni physique, ni instrumental et le patient peut même se demander si la personne qui s’occupe de lui, qu’il ne voit pas et peut-être ne connaît pas, est vraiment membre d’une profession médicale.

Mais ce ne sont là que quelques-unes des difficultés juridiques que suscite le rapprochement de technologies nouvelles et d’une activité très ancienne et soumise à un droit finalement très traditionnel.

Examinons les contours de la médecine à distance en 7 Questions-réponses.

1. La présence d’un professionnel de santé est-elle indispensable ?

Oui, la présence d’un professionnel de santé est indispensable.

La télémédecine est une forme de pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d’autres professionnels apportant leurs soins au patient [1].

2. Le patient doit-il être informé et consentir à l’acte de télémédecine ?

Oui.

Toute personne a le droit d’être informée sur son état de santé. Cette information porte sur les différentes investigations, traitements ou actions de prévention qui sont proposés, leur utilité, leur urgence éventuelle, leurs conséquences, les risques fréquents ou graves normalement prévisibles qu’ils comportent ainsi que sur les autres solutions possibles et sur les conséquences prévisibles en cas de refus.

Cette information incombe à tout professionnel de santé dans le cadre de ses compétences et dans le respect des règles professionnelles qui lui sont applicables. Seules l’urgence ou l’impossibilité d’informer peuvent l’en dispenser [2].

Les actes de télémédecine sont réalisés avec le consentement libre et éclairé de la personne, en application notamment des dispositions des articles L1111-2 et L1111-4.

Les professionnels participant à un acte de télémédecine peuvent, sauf opposition de la personne dûment informée, échanger des informations relatives à cette personne, notamment par le biais des technologies de l’information et de la communication [3].

3. La télémédecine relève-t-elle du commerce ?

Elle ne relève pas du commerce électronique en France.

En France, la loi HPST « Hôpital, patients, santé, territoires » du 21 juillet 2009 et le décret du 19 Octobre 2010 considèrent la télémédecine comme une pratique médicale clinique à distance avec des actes médicaux réglementaires qui ne peuvent relever du e-commerce [4].

4. Comment sont protégées les données personnelles liées à un acte de télémédecine ?

Toute personne traitant des données personnelles est tenue de les protéger par des mesures adéquates selon l’article L226-17 du Code pénal.

Le médecin, premier contrôleur des données.

Le médecin doit veiller à la sécurisation des moyens utilisés pour la vidéotransmission ainsi que pour toute communication et transmission de documents pendant et à l’issue de la téléconsultation (résultats d’examens, données d’imagerie, ordonnances antérieures, prescription médicale, etc.).

La CNIL fait des recommandations très pratiques (Un mot de passe doit être mis en place sur l’’ordinateur et ce dernier doit faire l’objet d’’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique).

Les données à caractère personnel relatives à l’état de santé de la personne concernée sont qualifiées de données sensibles à l’article 9, paragraphe 1, du Règlement général sur la protection des données et à l’article 6 de la Convention 108 modernisée. Dès lors, le traitement des données médicales est soumis à un régime plus strict que les données non sensibles.

Interdiction du traitement de « données à caractère personnel concernant la santé ».

Le RGPD interdit le traitement de « données à caractère personnel concernant la santé » (entendues comme « l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée ») [5], ainsi que les données génétiques et les données biométriques, à moins que l’article 9, paragraphe 2, ne l’autorise. Ces deux types de données ont été ajoutés à la liste des « catégories particulières de données » [6].

5. Qui est responsable en cas de cyber attaque des données ?

Les technologies évoluent très vite. Il en va par exemple du Cloud computing.

Le Cloud, ou l’informatique en nuage est un système permettant de stocker des données sur des serveurs distants. Ainsi, aucun stockage physique n’est effectué sur le disque dur de l’’ordinateur et tout se retrouve localisé dans des data centres qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’’ailleurs des services de Cloud à des professionnels.

Le considérant 39 du RGPD indique que « Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement ».

Le considérant 49 du RGPD explique ce que le droit européen entend par « sécurité du réseau et des informations ». Il s’agit de « la capacité d’un réseau ou d’un système d’information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel conservées ou transmises (…) ».

L’article 5. 1 f) du RGPD insiste sur la responsabilité des acteurs :

« Les données (…) doivent être (…) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ».

L’article 32 du RGPD renforce l’obligation de sécurité à la charge du responsable du traitement :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) ».

 La personne chargée de la sécurité informatique est responsable en cas de cyber attaque si elle n’a pas respecté les formalités préalables (pare-feu, le contrôle des connections entrantes, l’utilisation du chiffrement ou encore des systèmes d’authentification pour accéder aux composants du système d’information).

L’article 226-16 du Code pénal prévoit que traiter des données personnelles sans respecter les formalités préalables (même par négligence), est puni de 5 ans d’emprisonnement et de 300 000 euros d’amende.

 Une enquête sera ouverte par le parquet concerné pour trouver la personne responsable de la cyber attaque si les formalités préalables ont été respectées par tous les acteurs.

6. Qui est responsable s’il y a une chaîne complexe pendant l’acte de télémédecine ? (bug informatique par exemple).

Responsabilité du professionnel de santé en cas de faute.

Ceci relève des obligations liées à l’acte médical et à la qualité de la prise en charge via un procédé de télémédecine [7]. La preuve doit être rapportée par le patient.

Responsabilité sans faute du professionnel de santé ou de l’établissement tenus à une obligation de sécurité-résultat pour le matériel de télémédecine assimilé à un dispositif médical [8].

Ceci relève des obligations liées à l’utilisation d’outils technologiques dans la réalisation des actes de télémédecine.

7. L’assurance RCP (responsabilité civile professionnelle) est-elle obligatoire pour les libéraux pratiquant des actes de télémédecine ?

Oui.

« Les professionnels de santé exerçant à titre libéral (…) sont tenus de souscrire une assurance destinée à les garantir pour leur responsabilité civile ou administrative susceptible d’être engagée en raison de dommages subis par des tiers et résultant d’atteintes à la personne, survenant dans le cadre de l’ensemble de cette activité » [9].

L’article L1142-25 du CSP prévoit qu’une amende de 45 000 euros peut être infligée, ainsi que l’interdiction d’exercice professionnel à titre de peine complémentaire.

L’assurance de responsabilité civile professionnelle a pour but de prendre en charge : la défense du professionnel de santé devant les juridictions administratives, civiles, commerciales, pénales, disciplinaires ou ordinales, ainsi que devant les commissions de conciliation et d’indemnisation (CCI), et le règlement des frais de procédure (honoraires d’avocat, frais d’expertise, etc.).

L’indemnisation financière du préjudice subi par un patient et/ou ses proches, mais aussi les tiers payeurs (organismes sociaux et employeurs notamment) qui disposent d’actions destinées à obtenir le remboursement des dépenses engagées par eux au regard du dommage subi par la victime [10].

Sabine Ndzengue Amoa, Juriste santé, environnement, droit public Présidente ASPROBIO AGM Association pour la protection de la biodiversité et adoption de gestes marqueurs.