Télémédecine et données de santé : quelle protection pour les patients ? 

L’attention portée à l’utilisation des données de santé à caractère personnel n’est pas nouvelle en France. En effet, la loi du 4 mars 2002, relative aux droits des malades et à la qualité du système de santé a posé le point de départ de la protection de ces données. Avec l’essor d’Internet et de la e-santé, la protection des données des patients est pourtant devenue un élément de plus en plus important dans le paysage médical. Retour sur cette pratique et sur les mesures de protections nécessaires. 

La télémédecine : de quoi s’agit-il ? 

Selon l’article L6316-1 du Code de la Santé Publique, la télémédecine, domaine de la e-santé, « est une forme de pratique médicale à distance utilisant les technologies de l'information et de la communication » et mettant « en rapport un professionnel médical avec un ou plusieurs professionnels de santé, entre eux ou avec le patient et, le cas échéant, d'autres professionnels apportant leurs soins au patient. Elle permet d'établir un diagnostic, d'assurer, pour un patient à risque, un suivi à visée préventive ou un suivi post-thérapeutique, de requérir un avis spécialisé, de préparer une décision thérapeutique, de prescrire des produits, de prescrire ou de réaliser des prestations ou des actes, ou d'effectuer une surveillance de l'état des patients ». 

Elle comprend 5 types d’actes : 

• la téléconsultation qui permet à un médecin de donner une consultation à distance à un patient
• la télé-expertise qui permet à un médecin de solliciter à distance l’avis d’un ou de plusieurs de ses confrères en raison de leurs formations ou de leurs compétences particulières, sur la base des informations liées à la prise en charge d’un patient
• la télésurveillance médicale permettant à un médecin d’interpréter à distance les données nécessaires au suivi médical d’un patient et, le cas échéant, prendre des décisions relatives à sa prise en charge. L’enregistrement et la transmission des données peuvent être automatisés ou réalisés par le patient lui-même, ou par un professionnel de santé
• la téléassistance médicale permettant à un médecin d’assister à distance un autre professionnel de santé au cours de la réalisation d’un acte
• la réponse médicale apportée dans le cadre de la régulation médicale des urgences ou de la permanence des soins.

Des mesures de sécurité indispensable pour les données de santé

• Qu’est-ce qu’une donnée de santé ?

Les données de santé étant des données à caractère personnel particulières, elles sont considérées comme sensibles et font, à ce titre, l’objet d’une protection particulière par les textes réglementaires et législatifs afin de garantir le respect de la vie privée des personnes. Ainsi, une donnée personnelle peut se définir comme "toute information se rapportant à une personne physique identifiée ou identifiable".

Dans le cadre médical, il s’agit plus spécifiquement de données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique qui révèlent des informations sur l’état de santé de cette personne. Ces données comprennent ainsi les informations liées à la personne elle-même, celles obtenues lors de tests ou d’examens d’une partie du corps ou substance corporelle ou encore les informations concernant une maladie, un handicap, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée. 

Toute personne prise en charge par un professionnel, un établissement ou un réseau de santé a, de fait, droit au respect de sa vie privée et au secret des informations la concernant. Ce secret couvre l'ensemble des informations la concernant et s'impose à tous les professionnels intervenant dans le système de santé.

• Quels moyens de sécurisation de l’information et du traitement de ces données ?

De manière générale, la sécurité de l'information repose sur trois piliers : la disponibilité (possibilité d'accéder à l'information), l'intégrité (absence de modification de l'information) et la confidentialité (seuls les destinataires de l'information en ont connaissance). Le professionnel de santé doit donc s'assurer de protéger les données qu'il traite contre les atteintes à ces trois piliers. Pour cela, il doit mettre en œuvre des mesures techniques (ex : un antivirus de qualité) et organisationnelles (ex : une gestion des accès différentiés au système d'information). Une atteinte à l'une de ces trois composantes de la sécurité informatique peut empêcher le professionnel de santé de poursuivre son activité (s'il ne peut plus accéder aux dossiers de ses patients par exemple), ou encore porter atteinte à la vie privée de ses patients (c'est le cas lorsque des données personnelles les concernant sont divulguées)(1). 

Par ailleurs, les traitements de données à caractère personnel utilisés pour la mise en œuvre des actes de télémédecine ne font l’objet d’aucune formalité particulière auprès de la CNIL. En effet, selon les situations, ils peuvent faire partie des traitements nécessaires à la médecine préventive, à l’établissement de diagnostics médicaux, à la prise en charge sanitaire, ou encore à la gestion des systèmes et des services de soins de santé. Il incombe alors au responsable de traitement d’être en mesure de démontrer, à tout moment, la conformité du traitement des données aux exigences de la Réglementation Générale sur la Protection des Donnés (RGPD) notamment la réalisation d’une analyse d’impact, la tenue du registre des activités de traitement, etc.

Pour autant, afin d’éviter une violation de données personnelles de santé, les mesures de sécurité doivent être adaptées et conformes aux dispositions des articles R.1110-1 et suivants du code de santé publique issu du décret de confidentialité du 17 mai 2007 et des référentiels sur la politique de sécurité et de sécurisation des accès. Ainsi, il est indispensable de mettre en place les mesures suivantes.

• Un dispositif d’authentification forte pour reconnaître les utilisateurs et leur donner les accès nécessaires. Il existe différents dispositifs d’authentification (mot de passe, carte à puces…) et la CNIL considère qu’un dispositif d’authentification peut être qualifié de « fort » dès lors qu’il contient au moins deux dispositifs d’authentification. Par ailleurs, chaque utilisateur du dispositif de télémédecine doit recevoir un identifiant unique.
• Un dispositif de gestion des habilitations des utilisateurs du dispositif de télémédecine pour limiter les accès aux seules données qui sont strictement nécessaires aux utilisateurs. Des niveaux d’habilitations différents et un dispositif de gestion des traces et des incidents doivent, par ailleurs, être créé en fonction des besoins des utilisateurs.

Enfin, en tant que responsable du traitement, le professionnel de santé doit veiller à ce que le patient ait été informé de façon claire et transparente sur les motifs de la collecte des données, les finalités du traitement et les modalités d’exercice de ses droits (droit d’accès, de rectification, possibilité d’effectuer une réclamation auprès de la CNIL…).

De fait, les solutions proposées par CompuGroup Medical, et notamment CLICKDOC pour la téléconsultation, ont ainsi été conçues dans le respect des enjeux règlementaires sur la protection et confidentialité des données patients. Et pour aller plus loin CompuGroup Medical a développé son offre de services spécifiques CGM SECURE pour répondre à la fois aux caractères réglementaires du traitement des données de santé par les praticiens, mais aussi pour leur faciliter la pratique dans ce domaine.

Petite particularité, ou plutôt grande spécificité, CompuGroup Medical est l’un des rares acteurs de la téléconsultation, de dimension internationale, à être son propre hébergeur agréé de données de santé. Une volonté et un engagement garantissant une sécurisation sans faille et un respect des réglementations européennes et françaises pour tous ses clients.

(1) https://www.cgm.com/fra_fr/magazine/articles/2021/guide-les-bonnes-pratiques-d-hygiene-informatique-en-cabinet-medical.html