Aller au contenu principal

menu
Menu

Nos experts partagent leur connaissance de l’environnement et vous accompagnent dans la compréhension des sujets d’actualités.

Retrouvez l'ensemble des publications de Sham.

Sham

5 min | le 31/01/20

Télémédecine et protection des données des patients

La télémédecine et la protection des données des patients sont des éléments de plus en plus importants dans le paysage de la santé moderne, et c'est pourquoi Sham s'y intéresse. Nous revoyons dans cet article la définition de la télémédecine et les grands axes qui composent la protection des données à caractère personnel dans les établissements de santé.

« La télémédecine est une forme de pratique médicale à distance utilisant les technologies de l'information et de la communication (TIC). Elle met en rapport un professionnel médical avec un ou plusieurs professionnels de santé, entre eux ou avec le patient et, le cas échéant, d'autres professionnels apportant leurs soins au patient.


Elle permet d'établir un diagnostic, d'assurer, pour un patient à risque, un suivi à visée préventive ou un suivi post-thérapeutique, de requérir un avis spécialisé, de préparer une décision thérapeutique, de prescrire des produits, de prescrire ou de réaliser des prestations ou des actes, ou d'effectuer une surveillance de l'état des patients. » (1).

Cinq types d’actes sont ainsi concernés :

  • la téléconsultation : permet à un médecin de donner une consultation à distance à un patient, un professionnel de santé ou un psychologue peut être présent auprès du patient et, le cas échéant, assister le médecin au cours de cet acte ;
  • la télé-expertise : permet à un médecin de solliciter à distance l’avis d’un ou de plusieurs de ses confrères en raison de leurs formations ou de leurs compétences particulières, sur la base des informations liées à la prise en charge d’un patient ;
  • la télésurveillance médicale : permet à un médecin d’interpréter à distance les données nécessaires au suivi médical d’un patient et, le cas échéant, prend des décisions relatives à sa prise en charge. L’enregistrement et la transmission des données peuvent être automatisés ou réalisés par le patient lui-même, ou par un professionnel de santé ;
  • la télé-assistance médicale : permet à un médecin d’assister à distance un autre professionnel de santé au cours de la réalisation d’un acte ;
  • la réponse médicale apportée dans le cadre de la régulation médicale des urgences ou de la permanence des soins.

Les exigences légales de la télémédecine

Les exigences applicables à la télémédecine définies dans aux articles R. 6136-1 et suivant du Code de la Santé Publique sont les suivantes :

  • le recueil du consentement éclaire du patient, y compris de façon dématérialisée ;
  • l’authentification du patient et des professionnels de santé intervenant dans l’acte ;
  • l’accès par les professionnels aux données médicales du patient, nécessaires à la réalisation de l’acte ;
  • l’enregistrement pour chaque dossier du compte-rendu de l’acte, des prescriptions, de l’identité des professionnels de santé, de la date et heure de l’acte, des éventuels incidents ;
  • lorsque la situation l’impose, la formation ou la préparation du patient à l’utilisation du dispositif de télémédecine.

Respect des réglementations de protection des données de santé édictées par la RGPD et le CNIL

Au-delà des dispositions légales et règlementaires spécifiques à la télémédecine, les activités déployées dans ce cadre doivent également satisfaire aux exigences du Règlement européen à la protection des données personnelles (RGPD) et de la loi Informatique et Liberté (LIL). A ce titre, il incombe au responsable de traitement d’être en mesure de démontrer, à tout moment, la conformité du traitement de données de santé aux exigences de la règlemention précitée, notamment la réalisation d’une analyse d’impact, la tenue du registre des activités de traitement, …

En contrepartie de cet engagement, le responsable de traitement n’a pas à solliciter d’autorisation spécifique de la CNIL préalablement à la mise en œuvre de l’activité.

Précisons toutefois que si l’acte de télémédecine envisagé s’inscrit dans le cadre d’une recherche dans le domaine de la santé, les traitements de données nécessaires à cette recherche doivent faire l’objet soit d’une autorisation, soit d’une déclaration de conformité à l’un des méthodologies de références.

télémédecin et actes de téléconsultations

S’agissant plus spécifiquement des mesures de sécurité des données de santé, l’activité de télémédecine doit en outre se conformer aux exigences des dispositions des articles R.1110-1 et suivants du CSP issu du décret de confidentialité du 17 mai 2007 et des référentiels sur la politique de sécurité et de sécurisation des accès.

Ainsi, il est indispensable qu’un système d’authentification forte soit mis en place pour reconnaître les utilisateurs et leurs délivrer les accès nécessaires.

La CNIL préconise à ce titre la mise en place d’un dispositif de gestion des habilitations des utilisateurs du dispositif de télémédecine « pour limiter les accès aux seules données qui sont strictement nécessaires aux utilisateurs ». Elle précise que « des niveaux d’habilitation différenciés doivent être créés en fonction des besoins des utilisateurs. » (2). De même, la CNIL recommande qu’un dispositif de gestion des traces et des incidents soit mis en place pour identifier un accès frauduleux ou une utilisation abusive des données personnelles ou déterminer l’origine d’un accident.

Par ailleurs, si le dispositif de télémédecine implique une externalisation, les conditions de sécurité prévues en matière d’hébergement des données de santé par l’article L. 1111-8 du code de la santé publique doivent également être respectées.

La CNIL rappelle enfin que « le responsable de traitement doit mettre en œuvre toutes les mesures de sécurité physique et logique pour ce qui concerne les postes de travail, l’informatique mobile, le réseau informatique interne, les serveurs, les sites web, l’archivage, la maintenance, la sous-traitance, etc. »

Références

 

(1) Article L. 6316-1 du CSP

(2) www.cnil.fr

Merci pour votre intérêt pour le travail des experts Sham ! Si cet article vous a plu, n'hésitez pas à consulter nos Recommandations Sham en E-Santé !