L'impact du réglement général sur la protection des données (RGPD) dans la pratique de la télémédecine et de la santé connectée

On ne peut passer sous silence ce 25 mai 2018, date de la mise en place du Réglement Général sur la Protection des Données (RGPD). Après l'affaire de violation de dizaines de millions de données personnelles sur Facebook, cette directive européenne arrive à point nommé pour protéger la vie privée des citoyens et des patients à l'heure du traitement des data par l'Intelligence artificielle (IA). Cette réglementation s'applique à toutes données personnelles, notamment aux données de santé à caractère personnel. La France a déjà une réglementation robuste depuis la création de la CNIL en 1978 et la loi sur les droits des personnes malades du 4 mars 2002, dite loi "Kouchner" (voir le billet intitulé " Loi Kouchner en 2017" dans la rubrique "On en parle")

Le but de ce billet est d'évaluer l'impact de ce RGPD sur les pratiques de télémédecine et de santé connectée qui bénéficient aux patients.

Ce billet s'inspire du récent article paru sur le site de la CNIL :

https://www.cnil.fr/fr/les-droits-pour-maitriser-vos-donnees-personnelles

L'exercice du droit d'information en télémédecine et en santé connectée

Il n'y a pas de consentement sans information préalable. Le médecin a le devoir d'informer son patient avant toute pratique médicale, quelle qu'elle soit, à visée préventive, diagnostique et thérapeutique, sur les bénéfices et les risques de ce qui lui est proposé. Le patient a le droit d'avoir cette information avant de donner son consentement au médecin.

Les droits du patient et les devoirs du médecin s'appliquent à la télémédecine comme le rappelle le décret du 19 octobre 2010 à l'article R.6316-2 du Code de la santé publique (CSP) : les actes de télémédecine sont réalisés avec le consentement libre et éclairé de la personne, en application notamment des dispositions des articles L. 1111-2 et L. 1111-4 (articles du CSP consacrés aux droits des patients). Le consentement à la télémédecine ne peut être "éclairée" que si l'information, tant sur la pratique médicale en générale que sur la pratique spécifique de la télémédecine, a bien été délivrée. Le Code de déontologie médicale, à son article R.4127-35 du CSP, rappelle que le médecin doit à la personne qu’il examine, qu’il soigne ou qu’il conseille une information loyale, claire et appropriée sur son état, les investigations et les soins qu’il lui propose.

Les récentes recommandations de la HAS sur les pratiques de la téléconsultation et de la téléexpertise asynchrone (voir le billet intitulé "Soft Law et TLM" dans la rubrique "Droit de la santé") montrent que ces pratiques ne peuvent pas être réalisées sans que le patient concerné ait été informé sur les bénéfices et les risques, et ait donné ensuite son consentement. Sans revenir sur l'évaluation du service médical rendu (SMR) à un patient par la télémédecine clinique, à laquelle le patient doit participer (voir le billet intitulé "SMR et patients" dans la rubrique "articles de fond"), il faut reconnaître que ce sont bien la téléconsultation programmée et la téléexpertise asynchrone de 1er ou de 2ème niveau (et bientôt de 3ème niveau) qui ont le rapport bénéfices/risques le plus favorable.

Comme nous l'avons souvent rappelé sur ce site, la téléconsultation immédiate comporte plus de risques d'erreur médicale que la téléconsultation programmée, qui s'inscrit dans un parcours de soins coordonnés, alternant les téléconsultations et les consultations en face à face. La téléconsultation programmée respecte l'art.R.6316-3 du CSP, à savoir l'accès des professionnels de santé aux données médicales du patient nécessaires à la réalisation de l'acte de téléconsultation, bientôt le DMP.

Les organisateurs de plateformes de téléconsultations, qu'elles soient programmées ou immédiates, doivent aujourd'hui se mettre en conformité avec le RGPD : l'information doit être concise, lisible, facilement accessible et adaptée lorsqu'il s'agit de patients âgés et/ou handicapés. L'organisateur doit clairement afficher sa politique de confidentialité, c'est à dire la manière dont les données de santé à caractère personnel qui ont été collectées pendant l'acte de téléconsultation sont protégées.

Chaque organisme doit identifier un délégué à la protection des données personnelles qui puisse être contacté par le patient s'il a des questions à lui poser. L'organisme doit informer sur l'utilisation qu'il fera des données personnelles collectées avec le consentement des patients concernés: les transfére-t-il dans le DMP ? Les transfère t'il directement au médecin traitant ? Les héberge-t-il ? Et si oui, chez quel hébergeur ? Le consentement au mode d'hébergement des données a-t-il été obtenu préalablement ? Des tiers (tenus au secret professionnel) auront-ils accès à ces données ? Les modalités d'accès aux droits des patients doivent être clairement décrites par l'organisateur de la plateforme de téléconsultation.

Les plateformes de téléconseil médical devront faire apparaître les mêmes informations. 

L'organisateur de la plateforme de téléconseil ou de téléconsultation, en particulier les complémentaires santé ou d'assureurs qui offrent ce service en garantie, doit très clairement indiquer l'utilisation qu'il fera de ces données pour que le patient puisse exercer ses droits, notamment celui au retrait du consentement à tout moment.

En matière de santé connectée, les offreurs de services de télésurveillance des maladies chroniques à domicile doivent donner les informations utiles à la compréhension de l'algorithme et sa logique lorsqu'il y a une décision automatisée, avec l'envoi d'alertes graduées sur la plateforme de télésurveillance et les conséquences sur la personne concernée par cette télésurveillance médicale.

Si l'organisateur des solutions de télémédecine subit de manière accidentelle ou illicite une violation des données de santé à caractère personnel, il doit le signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des patients concernés. Si ces risques sont élevés, l’organisme doit également en informer les patients le plus rapidement possible.

L'exercice du droit d'opposition en télémédecine et en santé connectée.

Tout patient a le droit de s'opposer à l'utilisation par un organisme de télémédecine ou de santé connectée de ses données de santé à caractère personnel

Le droit d'opposition doit se faire auprès du délégué à la protection des données personnelles de l'organisme.

Dans quelles circonstances ce droit d'opposition peut-il s'exprimer ? Elles sont nombreuses et on peut citer quelques unes parmi les plus sensibles.

Lorsqu'un patient accepte en garantie d'un complément d'assurance l'accès à une plateforme de téléconsultation immédiate, il peut craindre que ses données de santé soient utilisées par l'assureur pour évaluer ses risques en santé... Ces données de santé sont normalement garanties par le secret professionnel et aucune personne administrative de l'assurance ne peut avoir accès à ces données. S'il a des doutes, il peut en référer au délégué à la protection des données et lui signifier son opposition à toute utilisation, laquelle serait de toute façon illégale.

De même dans l'usage du DMP pour le suivi médical, il peut exercer son droit à l'oubli pour certaines pathologies qu'il ne souhaite pas conserver dans son DMP dont il est propriétaire. C'est l'hébergeur du DMP qui a désormais le devoir de faire connaître le délégué à la protection des données auquel le patient pourra s'adresser pour exercer son droit d'opposition ou son droit à l'oubli.

Dans l'usage des applis mobiles en santé pour le suivi de certaines pathologies chroniques telles que le diabète, l'hypertension artérielle, la maladie asthmatique, le cancer en rémission, etc. le patient doit rester vigilant et vérifier que ses données de santé ne soient pas utilisées à des fins commerciales ou de recherche sans qu'il en ait été informé et ait donné un éventuel consentement.

Dans l'usage des dispositifs médicaux pour la télésurveillance des maladies chroniques, la transparence sur le contenu de l'algorithme doit être obtenue. Les promoteurs du dispositif médical doivent donner les informations utiles à la compréhension de l'algorithme et sa logique lorsqu'il y a une décision automatisée vers une plateforme de télésuivi.

On pourrait multiplier les exemples. A l'ère du "Dataïsme" (voir le billet intitulé " Dataïsme et TLM" dans la rubrique "On en parle") où le traitement des datas par l'IA va représenter dans les prochaines années une source importante de richesse pour certains organismes, le RGPD permet aujourd'hui aux citoyens et patients d'exercer leurs droits à l'information et à l'opposition sur le traitement de leurs données de santé à caractère personnel. Ces droits sont à l'évidence renforcés.

 26 mai 2018

 

Commentaires

Max

09.02.2019 17:54

Attention, faire un article sur LE RGPD et ne pas connaitre son genre masculin, ça fait un peu tache... C'est LE règlement général sur la protection des données.

Pierre Simon

09.02.2019 18:46

Vous avez raison "règlement" est le terme exact au plan juridique pour l'acronyme RGPD, mais on parle aussi en France de la réglementation sur la protection des données...

Bob

26.05.2018 16:33

Heu!!! Vous êtes sûrs. Beaucoup d'administratif pour pas grand chose. Cela n'empêchera en rien des failles ou des pertes de données.

Pierre Simon

26.05.2018 21:13

Ce billet se veut simplement factuel à partir des données de la RGPD. Il n'est en aucune manière l'expression d'une certitude ou d'une position.

Derniers commentaires

01.12 | 12:57

Merci, très intéressant cet article qui me permet de donner un exemple pour illustrer un cours!

16.11 | 16:08

Merci du commentaire

16.11 | 16:07

Merci de votre commentaire

16.11 | 04:04

Très intéressant en effet, merci.

Partagez cette page