Téléconsultations : la modération en question(s)

La question de la modération a ressurgi au mois d’août avec l’affaire Doctolib. Le leader français et européen de la prise de rendez-vous médicaux en ligne s’est retrouvé au cœur d’un scandale mettant en scène une figure de la naturopathie. Jusqu’alors, la start-up la mieux valorisée de France (5,8 milliards d’euros, source : Le Monde) n’avait pas donné suite aux critiques liées au référencement sur son site de praticiens qui exercent des activités de bien-être non réglementées.

Ces derniers représentent 3% des 250 000 professionnels référencés (Source : Doctolib). Le groupe, qui compte 45 millions d’inscrits en France, propose des abonnements professionnels entre 130 et 250 euros par mois (gestion des rendez-vous, suivi des patients, téléconsultation…). Quelque 250 établissements publics de santé et la moitié des CHU de France, parmi lesquels l’AP-HP (Paris) et l’AP-HM (Marseille), utilisent ses services en ligne (Sources : Le Monde; Le Figaro).

Le monopole comme frein à la régulation ?

Frédéric Bizard, président de l’Institut Santé et professeur d’économie à l’ESCP Business School

“Avec Doctolib, nous sommes face à un acteur hégémonique qui délivre ce qui est quasi un service public, l’accès à un professionnel de santé”, soulève Frédéric Bizard, président de l’Institut Santé et professeur d’économie à l’ESCP Business School. “Si on ne régule pas mieux un acteur quasi monopolistique, on écope de toutes les dérives liées au modèle économique de cet opérateur privé à but lucratif, dont l’objectif est de maximiser les profits”, renchérit-t-il. “C’est lui qui fixe les règles du jeu. L’autre travers est qu’il a tendance à tuer l’innovation”, conclut-il.

Le 25 août, face au tollé médiatique, le groupe a annoncé par communiqué le renforcement de ses procédures de vérification des professionnels référencés sur son site. Parmi ces mesures, Doctolib a ouvert une consultation avec les syndicats professionnels et les Ordres de santé, les associations de patients et les autorités sanitaires afin “de mieux encadrer le référencement des praticiens non réglementés sur Doctolib”. “Cette consultation donnera lieu à une nouvelle série de mesures communiquées à son issue”, précise le texte. Doctolib n’a pas encore donné suite à nos sollicitations. Le 7 octobre, la date de présentation des conclusions de la consultation n’était pas encore arrêtée. “Pour le moment, elle est fixée autour de la mi-octobre”, expliquait le responsable des relations médias.

L’Ordre des médecins ne souhaite pas s’exprimer sur le sujet pour le moment. Dans un communiqué, il avait appelé Doctolib à “renforcer ses règles éthiques d’inscription sur sa plateforme afin de garantir la sécurité et la qualité des soins pour les patients” et s’était dit prêt à “participer à cette indispensable réflexion”.

“5 à 10% du budget de MaQuestionMedicale passe dans la sécurité”

Dr Jean Tafazzoli, président et cofondateur de MaQuestionMedicale

Quel coût pour la régulation ?

Créée en 2018, la start-up MaQuestionMedicale compte 3200 médecins, toutes spécialités confondues. “Seuls les professionnels de santé sont utilisateurs de la plateforme”, insiste le Dr Jean Tafazzoli, président et cofondateur de la société, qui devrait réaliser “entre 500 000 et un million d’euros de chiffre d’affaires en 2022”. La première version de sa solution logicielle (ERP) a été lancée en décembre 2019. “Entre 5 et 10 % du budget de MaQuestionMedicale passe dans la sécurité”, explique le médecin généraliste.

Cette enveloppe couvre les coûts de développement, la rémunération des personnes référentes, la mise en place de procédures internes, la formation du personnel, les frais d’avocats… En août 2020, MaQuestionMedicale a été victime d’un faux profil. La société a déposé plainte et déclaré l’incident concernant les violations de données auprès de la Commission nationale de l’informatique et des libertés (Cnil). Le faux médecin généraliste a été interpellé et jugé à Lyon en mai pour exercice illégal de la médecine et mise en danger de la vie d’autrui, rapporte Le Progrès.

La modération préventive, une nouvelle nécessité ?

“À l’époque, on ne bloquait pas le médecin durant le processus de vérification”, explique le président de la société. “Nous étions en pleine crise du Covid, nous recevions des demandes d’inscription de tous les côtés et les professionnels de santé voulaient démarrer tout de suite”. Face aux risques encourus par les patients et l’entreprise, MaQuestionMedicale a décidé de “bloquer d’emblée les nouveaux inscrits”. “Tout médecin peut s’inscrire sur le site mais il ne pourra rien faire sur son compte tant que son profil n’aura pas été validé par nos services”, explique le Dr Tafazzoli.

Dr Jean Tafazzoli, président et cofondateur de la société MaQuestionMedicale

Pendant la première vague de la pandémie, la vérification de l’identité des nouveaux inscrits était automatisée via des tests croisés. Ceux-ci permettaient de recouper leurs identifiants avec le Répertoire Partagé des Professionnels de Santé (RPPS), le répertoire unique de référence qui enregistre les médecins, chirurgiens – dentistes, sage-femmes, pharmaciens, masseurs, kinésithérapeutes, pédicure – podologues et infirmiers. Dès la fin du printemps 2020, MaQuestionMedicale a mis en place un contrôle humain. “À chaque inscription, une opératrice échange par téléphone avec le professionnel de santé et vérifie les documents envoyés”, explique le Dr Tafazzoli.

La société est en train d’implémenter l’API Pro Santé Connect, développée par l’Agence du numérique en santé (ANS), qui permet aux éditeurs de logiciels d’authentifier leurs utilisateurs à partir du RPPS. Les professionnels de santé pourront s’identifier grâce à leur carte de professionnel de santé (CPS ou e-CPS).

La société “a adopté un plan d’assurance sécurité et on a nommé un Délégué à la Protection des Données (DPO), qu’on a choisi d’internaliser et qui s’occupe aussi de l’architecture système”, poursuit le Dr Tafazzoli. S’agissant de la protection des données, “le site n’est pas propriétaire de ce qui se passe entre le médecin et le patient dans les téléconsultations au nom du respect du secret médical. Ces informations sont doublement chiffrées et elles ne restent pas sur nos serveurs”, affirme le président de MaQuestionMedicale. La société précise que, comme le prévoit le Code de la Santé publique, les données de santé transitant via les services sont hébergées auprès d’un hébergeur certifié en matière de données de santé (certification HDS).

“Il y a une accélération pour produire des cadres qui soient plus adaptés à ces pratiques innovantes et qui soient opposables”

Hélène Guimiot-Breaud, cheffe du service de la santé de la Cnil.

Un arsenal juridique suffisant ?

À ce jour, il n’y a pas de texte spécifique sur les plateformes de prise de rendez-vous médicaux en ligne et de téléconsultation. “Il y a une accélération pour produire des cadres qui soient plus adaptés à ces pratiques innovantes et qui soient opposables”, souligne Hélène Guimiot-Breaud, cheffe du service de la santé de la Cnil. Ceci dit, “il n’y a pas de vide juridique”, assure-t-elle. Par exemple, l’exercice illégal de la médecine, la violation du secret médical ou encore la publicité trompeuse sont visés par des dispositions du Code de la santé publique et le Code pénal.

D’après le Règlement général sur la protection des données (RGPD), la responsabilité juridique de ces plateformes pourrait être engagée “en cas de défaut de sécurité des données, de mauvaise information des personnes concernées, de collectes de données qui ne répondent pas au principe d’anonymisation, de réutilisation des données à d’autres fins…”, énumère Hélène Guimiot-Breaud. “En règle générale, on considère que ces plateformes sont sous-traitantes et non pas responsables de traitement au sens du RGPD car ce sont des outils mis à disposition des professionnels de santé”, précise-t-elle.

Hélène Guimiot-Breaud, cheffe du service de la santé de la Cnil

“Elles manipulent des données sensibles et doivent utiliser des serveurs sécurisés”, poursuit Hélène Guimiot-Breaud. “Cette obligation de sécurité est prévue par le Code de la santé publique, dont la Cnil est amenée à vérifier le respect”, ajoute-t-elle. En France, plusieurs institutions sont chargées de contrôler les acteurs du numérique en santé. À ce jour, l’ANS “a un rôle de régulation, en matière de création de règles et de référentiels”, explique la juriste.

Face à l’explosion du nombre d’actes de téléconsultation, le Projet de loi de financement de la sécurité sociale (PLFSS) 2023, qui est arrivé à l’Assemblée nationale le 20 octobre, prévoit de mieux encadrer juridiquement la profession. Entre autres, il impose aux sociétés de téléconsultation un agrément et entend mettre fin au remboursement des arrêts de travail délivrés en téléconsultation lorsque ceux-ci ne sont pas délivrés par le médecin traitant.

Le Digital Service Act (DSA)

Le Digital Service Act (DSA), voté définitivement par le Parlement européen le 5 juillet 2022, a été adopté par le Conseil de l’Union européenne (UE) le 4 octobre. Le règlement doit entrer en application en 2024. Le texte cible les TGPL (les très grandes plateformes en ligne, celles qui ont plus de 45 millions d’utilisateurs mensuels) et vise à rendre plus efficace les signalements de contenus illicites. Il dote ainsi la Commission européenne d’un nouvel arsenal législatif contre“les publicités illégales ou les techniques de manipulation et de désinformation ayant un effet négatif réel et prévisible sur la santé publique”. Un système de signalement est prévu, au travers notamment de “signaleurs de confiance”, présents dans chaque Etat, et les sanctions sont considérablement renforcées : elles peuvent atteindre 6% du chiffre d’affaires mondial et, “en cas d’urgence”, l’interdiction pour un TGPL d’exercer ses activités sur le territoire de l’Union Européenne. Objectif affiché par Thierry Breton, commissaire européen au marché intérieur, qui porte ce texte : “Que ce qui est interdit off line, le soit aussi on line”.

Protection des données : que se passerait-il si Doctolib était vendu à une société étrangère ?

“Tout dépend du pays dans lequel est basée la société-mère”, souligne Hélène Guimiot-Breaud, cheffe du service de la santé de la Commission nationale de l’informatique et des libertés (Cnil). “Dans le territoire de l’Union européenne (UE), le RGPD (Règlement Général sur la Protection des Données, ndlr) s’applique. En dehors de l’UE, il faudra analyser la législation applicable dans le pays en question.”

D’après l’article 45 du RGPD, “un transfert de données à caractère personnel vers un pays tiers peut avoir lieu lorsque la Commission a constaté par voie de décision que (celui-ci) assure un niveau de protection adéquat”. Ou bien lorsque le responsable du traitement ou le sous-traitant “a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, précise l’article 46.

Le 16 juillet 2020, la Cour de justice de justice de l’Union européenne a rendu un arrêt majeur, invalidant le régime de transferts de données entre l’Union européenne et les États-Unis, “Schrems II”. “La question de l’accès aux données par les autorités (liée à l’article 48 du RGPD, ndlr) n’est pas encore résolue. Des dispositifs sont mis en place entre l’UE et les États-Unis sont mis en place pour apporter des réponses à cette problématique”, précise Hélène Guimiot-Breaud.

Pour rappel, en novembre 2021, à la suite de plusieurs critiques du sur la gestion des données de santé de ses utilisateurs , la société Doctolib a obtenu la certification d’hébergeur de données de santé (HDS) pour ses propres serveurs.

Natacha Gorwitz

Besoin d’informations complémentaires ?

Contactez

le service d’études à la demande de mind