Définie par une
loi de 2009, la télémédecine englobe
cinq activités :
- La téléconsultation,
- La téléexpertise,
- La télésurveillance,
- La téléassistance médicale,
- La régulation médicale (réponse médicale apportée dans le cadre de l’activité des centres 15).
De nombreuses données de santé sont ainsi collectées. Du fait de leur caractère sensible, ces données doivent bénéficier d’une attention particulière et d’un régime de protection renforcés. Depuis l’entrée en application du RGPD, le traitement des données de santé ne font plus l’objet de formalités préalables. Néanmoins, il est nécessaire que chaque acteur (professionnels de santé et prestataires) documente leur conformité et soit capable de la démontrer à tout moment.
Quels sont les points d’attention ?
1° La solution de téléconsultation
Les prestataires proposant ces services doivent mettre en œuvre des mesures techniques et organisationnelles supplémentaires afin d’assurer l’intégrité et la confidentialité des données de santé collectées et traitées : outre l’obligation légale de faire appel à un prestataire certifié « hébergeur de données de santé
[4] » (s’il s’agit d’une solution SaaS), le personnel doit être soumis à une stricte obligation de confidentialité (en cas d‘accès aux données pour une opération de maintenance s’il s’agit d’un logiciel on premise)
Une faille de sécurité entrainant une violation de données à caractère personnel pourrait avoir de (très) graves conséquences sur la vie privée des personnes concernées. Le maximum des efforts doit être concentré sur ces mesures de sécurité : dispositif d’authentification fort des utilisateurs (la CNIL recommande de combiner
a minima2 dispositifs d’authentification : utilisation de la carte professionnelle, clé usb, mot de passe), dispositif d’habilitation d’accès aux données strictement nécessaires, messagerie sécurisée ou a minima un chiffrement des échanges si ces derniers portent sur les données de santé, garder une trace des incidents afin de pourvoir déterminer ses origines. La mise en œuvre de ces mesures n’exonère pas de mettre en place les mesures de sécurité physique qui incombent à tous : sécurité physique des locaux, des postes de travail, des appareils nomades etc.
La politique de confidentialité qui figure sur le site doit clairement expliquer la façon dont les données collectées sont sécurisées pendant les actes de télémédecine.
Enfin le sous-traitant ou
consultant RGPD doit tenir un registre des activités de traitement pour les traitements effectués pour le compte du professionnel.
2. Les professionnels de santé
Lorsque les professionnels de santé réalisent des actes de télémédecine, ils agissent en tant que responsable de traitement. Ils doivent donc s’assurer que le contrat qui les lie au prestataire de télémédecine est conforme aux exigences du RGPD : obligation de confidentialité, traitement de données uniquement sur instruction écrite, pas de détournement de finalité (par exemple de la recherche médicale sur les données personnelles stockées des patients), devoir d’assistance et de conseil etc. Le recours à des sous-traitants ultérieurs doit au mieux faire l’objet d’une autorisation écrite préalable et à minima d’une notification par écrite préalable.
Les professionnels de santé doivent être en capacité de répondre effectivement aux demandes de leurs patients notamment pour les droits d’accès, de rectification et d’opposition. Ils doivent également tenir un registre des traitements.
3. Le patient
En tant qu’utilisateur de ces solutions, le patient doit donner explicitement en premier lieu explicitement son consentement à l’utilisation d’un dispositif de télémédecine aux termes des articles L. 1111-2 et L. 1111-4 du Code de la santé publique.
Il bénéficie également d’un droit à l’information devant être délivrée de façon claire et transparente : pourquoi les données sont-elles collectées et à quelles fins ; quels moyens de sécurité sont mis en place ; comment contacter le DPO (le cas échéant) ; comment faire une réclamation auprès de la CNIL etc.
Le patient bénéficie également d’un droit d’accès à son dossier médical et peut s’opposer à ce que ses données soient utilisées par des tiers (par exemple assureur ou une complémentaire santé qui pourraient proposer leurs produits).
Nous vous invitons à lire cet article sur le
MDM, outil de conformité RGPD (Master Data Management)
– Narindra Ravahimanana
