Des modalités élargies de recours à la téléconsultation

L’assouplissement des règles relatives à la télémédecine et au télésoin pendant l’épidémie a conduit un nombre croissant de professionnels de santé à avoir recours à la télémédecine ou au télésoin . 

Les décrets des 9 et 19 mars 2020 posent les conditions dérogatoires de prise en charge des actes respectivement de télémédecine et de télésoin: 

Pour les premiers, le décret autorise les personnes atteintes ou potentiellement infectées par le coronavirus à être pris en charge par les caisses d’assurance maladie pour le recours à la telemédecine même si elles n’ont pas de médecin traitant pratiquant la téléconsultation ni n’ont été orientées par lui ni n’ont été connues du médecin téléconsultant. 

Comme le prévoit la convention médicale, ces téléconsultations devront cependant continuer à s’inscrire prioritairement dans le cadre d’organisations territoriales coordonnées. 

Pour les seconds, le décret autorise les personnes dont le diagnostic d’infection à covid-19 a été posé cliniquement ou biologiquement à être pris en charge pour le recours aux activités de télésoin réalisées par les infirmiers même si elles ne remplissent pas les conditions de droit commun, notamment parce qu’elles n’ont pas réalisé au préalable une première consultation en présentiel avec un infirmier. 

Ces activités de téléconsultation et de télésoin pourront être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission (site ou application sécurisé via un ordinateur, une tablette ou un smartphone, équipé d’une webcam et relié à internet). 

Pour le télésoin uniquement, lorsque le patient ne dispose pas du matériel nécessaire pour réaliser une vidéotransmission, les activités de télésoin pourront être effectuées par téléphone. 

Les décrets prévoient une exonération du ticket modérateur sur les téléconsultations réalisées pour les personnes dont le diagnostic d’infection à covid-19 a été posé ou suspectées de l’être ainsi que pour les actes de télésuivi infirmier. 

La possibilité qu’ont les patients de consulter un médecin qui n’est pas leur médécin traitant et sans être orienté par ce dernier pour répondre aux besoins pressants de consultation liées à la contamination par le covid 19 et limiter les consultations en présentiel constituent des accélateurs du recours à la téléconsultation. 

Par ailleurs, la mise en place technique de la téléconsultation est grandement facilitée alors que les plateformes de prise de rendez vous et d’agenda la mettent à disposition des professionnels de santé gratuitement  pendant la période de confinement. 

Ces centaines de milliers de téléconsultations posent un certain nombre de questions sur le plan de la protection des données. 

La nature des données collectées et traitées

Quelles sont les données recueillies dans le cadre de la télémédecine?

Selon le décret n° 2015-1263 du 9 octobre 2015 autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine (article 2),  il s’agit de trois catégories de données avec pour chacune des destinataires différents:

Les données nécessaires à la facturation: 

  • Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR);
  • Les noms, prénoms, date de naissance, lieu de résidence, organisme d’affiliation au titre du régime obligatoire et organisme d’assurance maladie complémentaire du patient ;

Ces données sont accessibles pour la caisse d’assurance maladie obligatoire compétente, et pour la caisse complémentaire compétente concernant uniquement le NIR. 

Les données nécessaires à la transmission du compte rendu de la téléconsultation:

Il s’agit des nom, prénom, numéro de téléphone, adresse postale, adresse de messagerie sécurisée des professionnels de santé et, lorsqu’il existe et que le patient a donné son consentement, les données nécessaires au dépôt du compte rendu dans son dossier médical personnel.

Elles sont accessibles aux professionnels destinataires du compte rendu qui ont également accès aux données relatives à l’identification du patient à savoir ses noms, prénoms, date de naissance, lieu de résidence, organisme d’affiliation au titre du régime obligatoire et organisme d’assurance maladie complémentaire du patient.

Les données cliniques notamment les résultats d’analyse et d’examen, les éventuels clichés, images, photos et autres supports numériques nécessaires à la réalisation de l’acte de télémédecine par le professionnel de santé requis à distance:

Elles ne sont accessibles qu’au professionnel de santé qui réalise la téléconsultation; ce dernier a en outre accès à l’ensemble des données mentionnées ci-dessus.  

Les données traitées à l’exception des données cliniques ont une durée maximale de conservation afin de permettre la réalisation de l’acte de télémédecine, la transmission du compte rendu de l’acte réalisé ou la facturation de l’acte de télémédecine:

– De 30 jours par le médecin prescripteur, le professionnel demandeur d’un acte de télémédecine suivant leur transmission au professionnel de santé qui réalise l’acte de télémédecine ;

– De 90 jours, par le professionnel de santé qui réalise l’acte de télémédecine, pendant une durée maximale de quatre-vingt-dix jours.

Les données cliniques, quant à elles, sont conservées exclusivement dans le dossier médical du patient.

Les données de santé 

Selon le RGPD, les «données concernant la santé», sont « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne».

Il s’agit notamment dans le cadre de la télémédecine, des données recueillies ou échangées pendant la téléconsultation, les diagnostics, prescriptions, résultats d’examen… 

Elles doivent être distinguées des données administratives qui sont recueillies pour les besoins de la facturation ou de la transmission du compte rendu à savoir: les noms, prénoms, date de naissance, adresse postale, numéro de téléphone, le numéro de sécurité sociale (numéro d’inscription au répertoire national d’identification des personnes physiques NIR), l’organisme d’affiliation au titre du régime obligatoire et l’organisme d’assurance maladie complémentaire du patient.

La qualification de données de santé emporte des conséquences sur le régime juridique applicable. Ainsi de nombreuses règles relatives à la protection des données ne s’appliquent qu’aux données de santé à l’exclusion des données administratives. 

C’est le cas notamment de la subordination du traitement des données de santé à une finalité de prise en charge médicale par un professionnel de santé ou par une personne astreinte au secret professionnel, les obligations relatives au secret médical et au respect de la vie privée, les obligations en termes de sécurité et d’interopérabilité des données de santé, les dispositions sur l’hébergement des données de santé.

A noter que le NIR est soumis à un régime spécifique depuis le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification qui liste limitativement les traitements dont la finalité nécessite l’utilisation du NIR. 

Les outils techniques 

Dans le cadre du recours à la téléconsultation, le professionnel de santé doit disposer des outils informatiques nécessaires pour l’échange de données à savoir une messagerie sécurisée de santé, pour le partage des données à travers une plateforme de partage et de téléchargement sécurisée et pour le stockage par l’hébergement des données de santé auprès d’un hébergeur agréé ou certifié.

Cependant selon l’ANS, Agence du Numérique en Santé, les téléconsultations relatives au coronavirus qui n’impliquent pas d’échanges de documents médicaux, peut se faire sans être équipé d’une solution spécifique de téléconsultation, et il suffit d’utiliser une solution d’échange vidéo comme il en existe déjà de nombreuses sur le marché suffirait (exemple : Skype, WhatsApp, FaceTime…). (fiche médecins recours à la téléconsultation dans le cadre de l’épidémie de coronavirus (COVID-19), 18 mars 2020).

Selon la CNAMTS, ces logiciels garantissent la confidentialité des échanges entre le médecin et son patient, les communications étant intégralement cryptées, sauf pour la  transmission de documents médicaux qui ne remplissent pas les conditions de sécurité suffisante.

Toutefois, les solutions intégrées sont plus complètes et plus fiables puisqu’elles permettent à la fois d’avoir accès aux données médicales, de transmettre les prescriptions et ordonnances et de facturer.  

A cet égard, l’ANS a publié la liste des éditeurs de solutions numériques de télémédecine et les a classé sur 10 points selon leur degré de sécurité relativement aux critères suivants : 

2 points pour la conformité RGPD (Règlement Général sur la Protection des Données), 2 points pour la certification HDS (Hébergeur des Données de Santé), 1 point pour la traçabilité de l’historique des actes, 1 points pour la sécurisation des flux vidéo ou de données (ex. chiffrement TLS), 1 point pour l’identification du patient (au moins 5 traits d’identité), 1 point pour l’authentification renforcée du patient (au moins 2 facteurs d’authentification), 1 point pour l’identification du professionnel (vérification du droit d’exercer), 1 point pour l’authentification renforcée du professionnel (au moins 2 facteurs d’authentification, CPS ou eCPS). 

Concernant la transmission du compte rendu de la téléconsultation, il y a lieu selon la CNIL d’avoir une messagerie sécurisée et à tout le moins une messagerie professionnelle avec un chiffrement de la pièce jointe. (Comment protéger les données des patients 7 septembre 2018).

La CNIL précise à cet égard que ces messageries sécurisées ne sont pas faites pour héberger des données de santé et que les messages ne doivent pas être conservés au-delà de la durée nécessaire. 

La sécurisation des données

Sur le plan de la protection des données personnelles, le responsable du traitement,doit garantir que les données médicales seront totalement préservées de la divulgation ou d’une utilisation quelle qu’elle soit outre pour les besoins de la prise en charge médicale,  qu’elles répondront aux exigence de sécurité et d’interopérabilité et qu’elles seront stockées chez un hébergeur de données de santé certifié selon la procédure prévue au décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel.

Le responsable du traitement 

Le décret n° 2015-1263 du 9 octobre 2015 autorisant la création de traitements de données à caractère personnel pour la mise en œuvre des actes de télémédecine définit comme responsables de traitement les professionnels qui mettent en œuvre sollicitent ou réalisent la téléconsultation. 

Cependant, compte tenu de la définition du responsable du traitement à savoir « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement;(…) » (Article 4.7 RGPD) les éditeurs et plateformes qui fournissent des solutions clefs en main notamment quant aux moyens de traitement pourraient être considérés comme co-responsables du traitement et leur responsabilité pourrait être engagée à ce titre et pas seulement en qualité de sous-traitant, en cas de violation du RGPD. 

Le professionnel de santé devra néanmoins, en sa qualité de responsable de traitement, vérifier que le fournisseur de solution technique assure la protection des données conformément à la réglementation et notamment qu’il a pris un certain nombre d’engagements dans ses conditions générales de vente et d’utilisation et dans sa politique de protection des données personnelles dont celui de ne pas avoir accès aux données de santé et de ne pas communiquer ni utiliser les données personnelles de santé des patients. 

Les éditeurs et plateformes doivent notamment garantir la confidentialité tant de la téléconsultation elle même que des données échangées entre le patient et le professionnel de santé. Il en est particulièrement ainsi des données cliniques nécessaires à la réalisation de l’acte de télémédecine par le professionnel de santé téléconsultant.

De même, les données de santé qui apparaissent au moment de la prise de rendez vous sur les plateformes à savoir le motif de la consultation, la fréquence et l’historique des rendez-vous, les données du dossier médical que le médecin souhaite voir renseigner ou partager avec le patient ou un autre professionnel de santé, auront pour seul destinataire le professionnel téléconsultant. 

Ainsi, dans le cadre de l’épidémie de covid 19, les médecins peuvent paramétrer les motifs de consultation pour faire apparaître les questions portant sur l’existence de symptômes liés à une contamination par le coronavirus. 

Il convient de s’assurer que ces données ne peuvent être consultées ni bien sûr utilisées par ces mêmes plateformes à quelque titre que ce soit et ne peuvent être transmises à un tiers.

Les patients qui souhaitent exercer leurs droits d’accès à ces données devront s’adresser au professionnel de santé  concerné. 

Par ailleurs, le professionnel de santé devra mettre en oeuvre toutes les mesures de sécurité physique pour ce qui concerne l’accès à ses locaux, la sécurisation des postes de travail et de l’informatique mobile qu’il utilise, la limitation et la traçabilité des accès, la gestion des incidents et notamment l’identification des utilisations frauduleuses. (Recommandations HAS mai 2019). 

Malgré toute cette réglementation et les dispositifs visant à en renforcer la fiabilité et la sécurité, il serait vain de minimiser les risques pour la protection des données personnelles que comportent les solutions de téléconsultations. 

Aujourd’hui et compte tenu de la valorisation des données personnelles, les cyber attaques se multiplient; leur fréquence augmente dans un contexte de pandémie comme cela s’est vérifié ces derniers jours auprès de l’APHP.  

L’utilisation massive des données de santé par l’intermédiaire du numérique et le foisonnement des acteurs impliqués, sous-traitants, professionnels, patients, peuvent engendrer des atteintes à la sécurité et à la confidentialité de ces données sensibles: altération ou modification des données pouvant avoir des conséquences graves sur la santé des patients, accès et utilisations non autorisés attentatoires à la vie privée, exploitation commerciales des données…

Les exigences vis à vis des fournisseurs, éditeurs et plateformes, qui sont de plus en plus puissants grâce justement aux données personnelles qu’ils détiennent, doivent encore être accrues. 

Il apparaît difficile pour les professionnels de santé d’exercer un contrôle approfondi pour lequel ils n’ont pas forcément les compétences ni le temps nécessaire. Quant aux patients, ils apparaissent comme particulièrement démunis et isolés pour pouvoir exercer leurs droits. 

La protection des données personnelles doit encore gagner en visibilité et en efficacité que ce soit pour l’identification des acteurs impliqués, pour la traçabilité des données, ou pour l’exercice des droits d’accès des usagers. 

Elle doit continuer à évoluer pour assurer la conformité des nouvelles modalités d’exercice dans le secteur ultra sensible de la santé notamment à travers le renforcement des missions de modélisation, de contrôle et d’accréditation des organismes indépendants comme la CNIL.  

Carole A. YOUNES

Avocat à la Cour

www.yavocats.fr