« Le respect des données à caractère personnel, véritable contrat de confiance entre le monde médi cal et les patients ! »

Marguerite Brac de La Perrière, avocate, experte en droit de la santé numérique.

ACMF le mag’ : Vous dirigez le département Droit de la santé numérique au sein du Lexing Alain Bensoussan Avocats : que cela recouvre-t-il précisément ?

Marguerite Brac de La Perrière :
Dédié à la santé numérique, le département adresse tout le secteur de la santé, et tous ses acteurs, dont bien sûr les professionnels de santé, les établissements de santé privés comme publics, les éditeurs, les hébergeurs, les assureurs et mutuelles, les groupements de coopération sanitaire, les unions régionales de professionnels de santé, les ordres professionnels etc. Le dénominateur commun de tous nos dossiers, c’est la data, autrement dit la donnée à caractère personnel. Dans le secteur santé, l’une des principales problématiques consiste à déterminer quelles sont les mesures techniques et organisationnelles appropriées à mettre en oeuvre pour assurer la sécurité des données. En effet, les traitements de données à caractère personnel doivent être réalisés dans le respect de la nouvelle réglementation européenne, le RGPD, mais également des réglementations nationales et référentiels sectoriels, tels que ceux sur l’hébergement de données de santé, sur les recherches, sur la sécurité des systèmes d’informations de santé et en particulier relatifs à l’authentification des acteurs et aux règles pour les interventions à distance encadrant notamment la maintenance applicative.

Dans le cadre de l’entrée en vigueur de la loi Règlement général sur la protection des données (RGPD), quelles sont les obligations légales pour les professionnels de santé ?

Concrètement, les professionnels de santé doivent s’assurer qu’ils ne collectent et traitent que les données strictement nécessaires à la prise en charge des patients ou à la finalité poursuivie, tenir un registre des traitements de données à caractère personnel qu’ils réalisent (exemples : suivi des patients, gestion des fournisseurs, gestion de la paie…) décrivant leurs caractéristiques (selon le modèle fourni par le Cnil), mettre en place et en oeuvre une politique de suppression des données au-delà de la durée de conservation préconisée pour chaque traitement (20 ans pour les dossiers médicaux), mettre en place les mesures de sécurité appropriées et veiller, notamment au moyen des contrats, à ce que ses sous-traitants (éditeurs et hébergeur notamment) s’engagent à respecter l’état de l’art en la matière (authentification forte, hébergement agréé, télémaintenance encadrée, etc.), informer les patients des traitements réalisés et de leurs droits et organiser le respect de ces droits. Le guide pratique sur la protection des données de juin 2018 à destination des professionnels de santé, corédigé par le Conseil national de l’Ordre des médecins en association et la CNIL (Commission nationale de l’informatique et des libertés) constitue un outil clair et synthétique sur lequel s’appuyer pour initier les actions de mise en conformité, d’autant qu’y sont annexés des modèles.

Comment identifier les risques associés à un traitement de données ?

Il faut en particulier tenir compte de la typologie de chaque donnée traitée et de la finalité ou des finalités poursuivies. Prenons le traitement mis en oeuvre au moyen d’un outil de prise de rendez-vous. Evidemment, les risques pour les droits et libertés des personnes ne seront pas les mêmes selon que la spécialité du professionnel de santé apparaît, que le motif du rendez-vous est précisé, ou que des pièces sont jointes. L’une des questions qui se posera sera la proportionnalité du traitement de chacune de ces données au regard de la finalité poursuivie. Si l’outil offre un espace de stockage de documents, la finalité poursuivie ne sera plus seulement la prise de rendez-vous mais aussi la constitution d’un dossier médical, éventuellement partagé. Ainsi, les mentions d’informations à destination des patients et les mesures de sécurité devront être adaptées. S’agissant des mesures de sécurité, elles devront être conformes à l’état de l’art (et aux éventuels référentiels applicables) et figurer explicitement au contrat liant le professionnel de santé à l’éditeur parmi le clauses obligatoires. En tout état de cause, toutes ces données qui constituent des données de santé à caractère personnel doivent faire l’objet de mesures de sécurité particulières, et notamment être hébergées dans un environnement agréé ou certifié.

Qu’en est-il du sujet de la télémédecine, que le gouvernement encourage vivement en cette rentrée 2018 ?

Le cadre légal et réglementaire est désormais complet pour entériner le déploiement de la téléconsultation et la télé-expertise prises en charge par l’assurance maladie en France, et ce, depuis le 15 septembre. Dans le cadre de la télémédecine, les professionnels de santé doivent recourir à des systèmes de visioconférence professionnels et sécurisés, ou à des plateformes leur permettant en particulier de s’authentifier, et de réaliser des visioconférences, le tout de manière sécurisée. En pratique, plusieurs prestataires offrent des solutions dédiées. En tout état de cause, il appartient au médecin de s’assurer que le prestataire met bien en oeuvre des mesures de sécurité appropriées (accès avec authentification forte, traçabilité, chiffrement idéalement, hébergement agréé si l’hébergement des données est externalisé…).

D’un point de vue juridique, assiste-t-on à un changement de paradigme de la pratique médicale elle-même ? 

Il s’agit d’une évolution plutôt que d’une révolution, dans la mesure où notre Loi Informatique et libertés française, datant de 1978, posait déjà les mêmes principes fondamentaux. Toutefois, en lieu et place des formalités préalables auprès de la Cnil, il appartient désormais à tous les acteurs qui traitent des données à caractère personnel de se responsabiliser à l’égard de ces traitements, de déterminer les mesures techniques et organisationnelles à mettre en oeuvre, en fonction de la sensibilité des traitements, des données, de l’état de l’art… Dans le sens d’un changement de paradigme, on ne peut pas ignorer le montant des sanctions encourues en cas de non-respect, pouvant atteindre 20 millions d’euros. Enfin, les personnes concernées par les données, notamment les patients, ayant subi un dommage du fait d’une violation du RGPD, peuvent obtenir réparation des préjudices subis, sachant que les personnes connaissent désormais leurs droits à l’égard des données. D’ailleurs, le nombre de plaintes auprès de la Cnil a augmenté de 56 % ces derniers mois.

Quel nouvel environnement législatif se dessine pour la santé dans les années 2020 : va-t-on vers un système de santé dit « à l’américaine », ou plutôt vers l’affirmation d’un modèle de santé à « l’européenne » ? 

On ne peut pas comparer les modèles de santé américain et européen. La logique n’est pas la même, les Américains doivent payer pour être soignés, tandis qu’en Europe et en particulier en France, nous sommes encore sur un modèle de prise en charge collective. Dans ce contexte, les patients français sont moins intransigeants et procéduriers que les patients d’un système de santé privé. Reste que la relation de confiance avec le médecin pourrait être affectée en cas de non-respect par celui-ci de ses obligations à l’égard de la protection des données, et que les plaintes auprès de la Cnil ont augmenté de manière exponentielle.

Interview réalisée par D. Deveaux

 

Categorie: