Le respect du RGPD par les professionnels de santé médicaux devrait contribuer au développement de bonnes pratiques de téléconsultation

Le CNOM, en collaboration avec la CNIL, a publié en juin 2018 un livre blanc intitulé " Guide pratique sur la protection des données personnelles".  VersuHealth Consulting a publié également la même année "RGPD 2018 : Enjeux et conséquences pour les professionnels de santé" (image du billet). Ces deux publications sont intéressantes à parcourir, car elles fournissent un cadre légal (national et européen) à la pratique de la télémédecine, en particulier celle d'une téléconsultation (TLC) sécurisée et de qualité, propos de ce billet.

https://www.conseil-national.medecin.fr/sites/default/files/guide_cnom_cnil_rgpd.pdf

https://www.leslivresblancs.fr/livre/informatique-et-logiciels/donnees-personnelles/rgpd-2018-enjeux-et-consequences-pour-les

Le RGPD est un texte exigeant en matière de protection des données personnelles, en particulier des données de santé jugées très sensibles par le législateur.

Le considérant 35 de la directive européenne donne une définition beaucoup plus large qu'auparavant des données de santé à caractère personnel : les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. 

La télémédecine étant une forme de pratique médicale qui rejoint la consultation présentielle et la visite médicale au domicile, les 7 grands principes auxquels les professionnels de santé médicaux doivent se conformer sont applicables à la pratique de la télémédecine, en particulier à celle de la téléconsultation.

Le principe d"'accountability" (rendre des comptes en cas de contrôle)

La charge de la preuve de la conformité est désormais à la charge de l’organisateur du service de téléconsultation. Il n'a plus besoin d'obtenir un accord préalable de la CNIL sur la manière dont les données de santé à caractère personnel sont traitées. Il doit aujourd'hui, en cas de contrôle, fournir tous les documents attestant de la conformité des processus et mesures mis en oeuvre pour une TLC qui préserve la confidentialité des données de santé à caractère personnel. Compte tenu de l'élargissement de la définition des données de santé, s'il a reçu un accord de la CNIL avant la mise en oeuvre du RGPD, il devra apporter les corrections nécessaires.

Par exemple, les plateformes de TLC ponctuelle qui ont contractualisé avec l'ARS dans les années 2010-2017, après avoir obtenu  le feu-vert de la CNIL, doivent certainement reconsidérer la conformité des process de l'époque avec ceux qu'impose aujourd'hui le RGPD.

Le principe de licéité

Les données à caractère personnel ne peuvent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions du responsable du traitement. Pour les données de santé, elles ne peuvent être recueillies et traitées que pour un usage à finalité médicale auquel le patient a donné préalablement son accord.

Par exemple, une plateforme de TLC ponctuelle ne peut fournir de données médicales à des compagnies d’assurance ou à toute entreprise qui en feraient un usage commercial. Les plateformes qui sont financées par les compagnies d'assurance sont particulièrement visées lorsqu'elles offrent à leurs adhérents en garantie l'accès à 6 TLC ponctuelles/an. Les médecins qui ont accepté de travailler sur ces plateformes sont pleinement responsables des données de santé à caractère personnel qu'ils reçoivent lors de l'acte médical. Ils doivent connaître ce que deviennent les données de santé saisies par le logiciel de la plateforme.

Les médecins qui sont dans ce type d'exercice médical de façon ponctuelle ou permanente doivent respecter le code de déontologie médicale. Le médecin a le devoir d'informer son patient avant toute pratique médicale, quelle qu'elle soit, à visée préventive, diagnostique et thérapeutique, sur les bénéfices et les risques de ce qui lui est proposé.

Le patient a le droit d'avoir cette information avant de donner son consentement au médecin. Le mode de fonctionnement des plateformes de TLC ponctuelle rend difficile le respect de ces obligations. Les informations données sur le site des plateformes sont souvent incomplètes, car elles n'abordent pas les risques éventuels de cette pratique.

L'organisateur de la plateforme doit fournir une information concise, lisible, facilement accessible et adaptée lorsqu'il s'agit de patients âgés et/ou handicapés. L'organisateur doit clairement afficher sa politique de confidentialité, c'est à dire la manière dont les données de santé à caractère personnel qui ont été collectées pendant l'acte de téléconsultation sont protégées.

Le principe de minimisation

Seules les données strictement nécessaires à la finalité du traitement peuvent être collectées. Ce principe s'applique tant au médecin qu'à l'organisateur de la plateforme.

En matière de TLC, qu'elle soit ponctuelle ou programmée, l'organisateur de la plateforme doit recueillir les informations techniques qui lui permettent de mettre le patient en relation avec le médecin. Lorsque la TLC est ponctuelle, que deviennent les informations recueillies ? Par exemple, le logiciel doit-il garder l'adresse IP du patient alors que le médecin qui a réalisé cette TLC n'est pas le médecin traitant du patient ? Là encore, ces informations doivent clairement figurer sur le site de la plateforme.

Le principe de conservation limitée

Les données personnelles ne peuvent être conservées que le temps nécessaire à l’exécution du traitement.

Si les données de santé à caractère personnel doivent être conservées 20 ans, les données recueillies pour la facturation de l'acte, notamment les données bancaires du patient consultant, ne doivent être stockées que le temps de la transaction.

Le principe de sécurité

Toutes les mesures nécessaires à la sécurisation des données personnelles (confidentialité, intégrité, disponibilité) doivent être mises en place. En matière de données de santé, celles-ci sont considérées comme "sensibles" par le législateur.

Il est obligatoire de mettre en oeuvre des mesures de sécurité afin d’éviter toute fuite ou perte de données. Le RGPD considère nécessaire de bien cloisonner les zones qui hébergent les données de santé, de durcir certains postes de travail, d'avoir une gestion centralisée des incidents de sécurité. L’ensemble des mesures sont définies lors d’une analyse des risques et consignées dans le document ad hoc (déclaration d’applicabilité).

Le principe de "security by design" (sécurité dès la conception)

La sécurité des données personnelles doit être prise en compte dès la phase de conception de toute activité (services, développement applicatif, etc.). En ce qui concerne la télémédecine, notamment la mise en place technique de la TLC, qu'elle soit ponctuelle ou programmée, le projet doit évaluer dès sa conception les risques de violation des données de santé

Avant la publication du RGPD, la CNIL assurait cette mission et la contractualisation des plateformes de TLC ponctuelle n'était effective que lorsque la CNIL avait donné son accord. Aujourd'hui, il revient aux organisateurs de télémédecine, en particulier de plateformes de TLC, de définir le process qui garantira la confidentialité des données de santé. La qualité du process ne sera évaluée qu'en cas de contrôle par la CNIL.

Le principe d'information

Les personnes doivent être informées de leurs droits et consentir explicitement à la collecte et au traitement de leurs données personnelles. De plus, en cas de fuite de données, les personnes concernées ainsi que la CNIL doivent être prévenues dans un délai de 72 heures.

Chaque organisateur de plateformes de TLC doit identifier un délégué à la protection des données personnelles qui puisse être contacté par le patient s'il a des questions à lui poser. L'organisateur de la TLC doit informer les patients sur l'utilisation qu'il fera des données personnelles collectées après avoir recueilli leur consentement explicite. La plateforme transfère-t-elle dans le DMP ? ou transfère t'elle directement au médecin traitant ? où assure t'elle l'hébergement ?
 
Par exemple, les offreurs de services de télésurveillance des maladies chroniques à domicile doivent donner les informations utiles à la compréhension de l'algorithme et sa logique lorsqu'il y a une décision automatisée, avec l'envoi d'alertes graduées sur la plateforme de télésurveillance et les conséquences sur la personne concernée par cette télésurveillance médicale.
 
 
7 avril 2019