WhatsApp, Telegram, Signal et autres applications équivalentes sont aujourd’hui largement utilisées chez les professionnels de santé. Parce que c’est simple, rapide, facile, et que tout le monde est dessus. "Mais je fais très attention, je n’envoie jamais le nom d’un patient", "et puis qui s’intéresse à l’eczéma de Mme X ?", entend-on souvent. Qu'a-t-on vraiment le droit d'échanger via ces messageries ? Que risque-t-on concrètement ? Et comment faire autrement ? Réponses pratiques.
Des messageries instantanées grand public utilisées par les professionnels de santé
Les messageries instantanées grand public (WhatsApp, Telegram, Signal ou autres équivalents) sont de plus en plus utilisées dans des cadres professionnels et la santé ne fait pas exception à la règle. Ce n’est pas très surprenant de constater que les professionnels s’emparent de ces solutions, quand on sait que les établissements de santé sont encore les plus gros acheteurs de fax au monde ! Les études font le même constat, que ce soit en Allemagne, en Angleterre, en Italie…
En pratique, les usages de ces messageries sont multiples : obtenir un avis auprès de collègues, partager des résultats avec l’équipe de soins, s’organiser en cas de retard… c’est rapide, bien adapté aux smartphones, cela permet une communication fluide au sein de groupes, bref les avantages sont nombreux.
Quid de la réglementation française sur les données de santé
Problème : ces messageries grand public ne respectent pas la réglementation sur les données de santé en France. En particulier :
- les données sont soit stockées uniquement sur le smartphone du professionnel (auquel cas tout est perdu s’il perd son téléphone), soit hébergées sur un serveur non agréé données de santé (situé aux Etats-Unis pour WhatsApp, par exemple) ;
- pour ouvrir l’application, il suffit souvent d’avoir le code Pin du téléphone, ce qui ne respecte pas la règle de la double authentification forte.
Attention, cela ne veut pas dire que ces plateformes ne sont pas « sécurisées » ! Les messages sont chiffrés de bout en bout, avec des protocoles très solides. Notre propos n’est donc pas de dire que toute donnée envoyée via WhatsApp peut être volée ou exploitée par Facebook, ni de discuter du bien-fondé des règles établies par les autorités. Nous rappelons simplement ces dernières et clarifions les implications concrètes pour les professionnels de santé.
"Je ne mets jamais le nom du patient", un argument souvent insuffisant…
Il est donc illégal d’utiliser ces messageries pour échanger des données de santé non anonymisées. Mais en pratique, comment savoir si ce qui est envoyé est concerné ?
D’abord, même une information qui peut paraître anodine est considérée comme une donnée de santé, à partir du moment où une conséquence peut être tirée sur l’état de santé de la personne
. La CNIL cite par exemple les prestations de soins réalisés
. Par exemple, une infirmière qui envoie à sa collègue je suis en retard, j’arrive chez Mme X dans 20 min
, révèle que cette personne-là reçoit des soins infirmiers, ce qui constitue une donnée de santé.
Cela ne serait pas un problème si ces données étaient anonymes. Mais suffit-il pour cela de ne pas citer le nom du patient ? Hélas, non. Sans entrer dans trop de détails techniques, la CNIL précise ce qu’est l’anonymisation des données, et notamment la différence avec la pseudonymisation. Une tache de naissance ou un tatouage sur une photo ? Elle n’est plus anonyme. Une photo géolocalisée (ce qui est le cas par défaut pour la plupart des smartphones) ? Elle n’est plus anonyme si c’était au domicile du patient. Un message qui se réfère au patient via ses initiales ? Pas anonyme. Bref, on tombe très vite dans la catégorie données de santé.
Quels sont les risques ? Une forte amende voire plus…
La violation de données personnelles soumet potentiellement le professionnel qui en est à l’origine à une sanction de la CNIL - amendes administratives allant jusqu’à 20 millions d’euros - ou à une procédure menée par les patients. Au titre de la responsabilité pénale (1), l’amende peut aller jusqu’à 300 000€ et 5 ans d’emprisonnement.
Et ce n’est pas uniquement théorique, la CNIL n’hésitant plus à condamner des praticiens libéraux : 5000 € d’amende pour un médecin de Marseille en 2017, pour avoir mis en place une base de données sur des serveurs non agréés pour l’hébergement de santé ; 10 000 € d’amende pour un dentiste qui tardait à donner son dossier médical à un patient...
Au niveau d’un établissement, un exemple frappant est l'hôpital de Barreiro, au Portugal, qui a écopé d'une amende de 400 000 euros en raison de sa politique d'accès aux bases de données des patients.
Pourquoi protéger ces données plus que les autres ? Les pirates s'y intéressent ?
Mais qui s’intéresse à l’eczéma de Mme X ?
disent certains. Certes. Le problème est que le numérique donne accès à des informations en masse. Il y a un marché des données de santé sur le darknet
, où les dossiers médicaux se vendent à quelques centaines de dollars : en 2016, un pirate proposait ainsi 10 millions de dossiers médicaux de patients.
Aux Etats-Unis, depuis 1999 le HIPAA oblige les acteurs de santé à déclarer les viols de confidentialité des dossiers de santé. Selon la revue médicale JAMA on en compte 176 millions de 2010 à 2017, dont 132 millions sur la seule année 2017. Et déjà 32 millions pour les 6 premiers mois de 2019.
Et ce n’est pas près de s’arrêter : il y a quelques jours, une société spécialisée dans la sécurité publiait une étude montrant qu’ils avaient pu se procurer 400 millions d’images médicales non anonymées, en raison de failles de sécurité.
Alors, que faire ? Développer des solutions spécialisées
De nouvelles solutions sont en train d’émerger, offrant aux professionnels de santé les bénéfices d’une messagerie instantanée simple et pratique, tout en respectant la réglementation française. Au-delà de cet argument réglementaire, le développement de solutions spécialisées pourra offrir de nombreux avantages, par exemple l’interfaçage avec d’autres systèmes d’information en santé, ou des fonctionnalités spécifiques aux besoins des professionnels de santé.
Idomed, mais également Globule, MiSS, Pandalab, ou encore TeamDoc, les solutions qui respectent la législation sont variées. Elles ont leurs spécificités, mais elles partagent un objectif en commun : la volonté de fluidifier les échanges du quotidien entre les professionnels de santé.
Note
Vincent Lambert Idomedvincent.lambert@idomed.fr
Cet article a été publié le 16 octobre 2019 par l’auteur sur Linkedin. Merci de ce partage.
LÉGISLATIVES
Un infirmier libéral dénonce le « harponnage de procuration »
SYNDICAT
Réingénierie du métier infirmier : la première mouture du référentiel est sur la table
PROTESTATION
Colère des IDEL : la Fédération nationale des infirmiers lance "un avertissement au gouvernement"
IDEL
Infirmiers libéraux et familles : des relations complexes à gérer