La Cnam autorise les messageries instantanées pour la téléconsultation

“Les outils de communication vidéo existants sur le marché (exemple : Skype, FaceTime…) apparaissent suffisamment sécurisés pour l’échange vidéo avec le patient lorsqu’il est connu.” Cette précision de l’Assurance maladie (Cnam), publiée mi-septembre à l’occasion du remboursement de la téléconsultation, a été relevée par l’ancien président de la Société française de télémédecine Pierre Simon : “Troublant. […] La Cnam permet aux GAFAM de connaître les médecins traitants des patients français et indirectement leur pathologie, en contravention avec le règlement général sur la protection des données (RGPD).” Apple, Facebook et Microsoft détiennent en effet FaceTime, Whatsapp et Skype. “C’est de l’open data bien inattendu de la part de la Cnam !”, s’étonne Pierre Simon qui rappelle qu’il est impossible de vérifier que ces géants du web offrent, qui plus est avec des outils gratuits, une protection fiable des données de santé. L’Assurance maladie recommande d’ailleurs de les éviter pour les échanges de documents médicaux. Mais, relève Pierre Simon, “quel médecin empêchera un patient, avec qui il est en ligne pour une téléconsultation, de lui adresser en live un document d’examen biologique ou une photo pour le contenu de cette téléconsultation ?”

Cécile Théard-Jallu, avocat à la cour et associée chez De Gaulle Fleurance & Associés, spécialisée notamment en santé numérique, abonde : “Les données personnelles de santé sont considérées comme des données sensibles et en effet bordées par le RGPD et des textes nationaux. Entres autres mesures, elles exigent un niveau de sécurité supérieur aux données personnelles ordinaires, quelle que soit l’information de santé véhiculée (maladie ou non, grave ou non…). C’est tout l’état de santé, physique ou mental, passé, présent ou futur, qui est visé. Et avec la téléconsultation, nous sommes au coeur du sujet. Sur un plan juridique, compte tenu notamment de la globalisation des échanges de données par le biais de l’IoT (Internet of things, Internet des objets), chaque médecin est-il en mesure de savoir où vont les données de ses patients et ce qui en est fait en utilisant son smartphone ou sa tablette ? Dans ce contexte, je comprends que l’annonce de l’Assurance maladie puisse soulever des inquiétudes, d’autant plus qu’elle a elle-même fait l’objet d’une mise en demeure pour défaut de sécurité des données dans le cadre de l’exploitation du Système national d’information interrégimes de l’Assurance Maladie (Sniiram).”

Le choix du pragmatisme

Le directeur de l’Assurance maladie Nicolas Revel déclarait lui-même en février dernier, dans un entretien accordé aux Échos, qu’“il n’est pas question d’utiliser Skype ou FaceTime. Il s’agit de données médicales, les communications doivent être sécurisées.” Pour Cécile Théard-Jallu, peut-être l’Assurance maladie a-t-elle entre-temps fait le choix du pragmatisme : “La téléconsultation sort tout juste du stade expérimental et, pour lui donner ses chances, il faut mobiliser le corps médical en facilitant son quotidien.”

Et alors qu’“il n’existe pas encore de liste exhaustive des offres existantes”, dit-elle elle-même, l’Assurance maladie fait porter la responsabilité de la sécurité des données échangées sur les médecins : “dans tous les cas, les médecins doivent vérifier auprès de leur éditeur de logiciels ou de leur fournisseur de solutions de télémédecine que les critères de sécurité sont bien respectés”, stipule-t-elle dans sa communication de mi-septembre. Une obligation prévue par le Code de la santé publique. “C’est lourd à porter pour des personnes dont ça n’est pas le métier et qui sont surchargées de travail !, commente Cécile Théard-Jallu. Sur le papier, en cas de fuite de données par exemple, le médecin serait responsable s’il est établi qu’il n’a pas respecté ses obligations de sécurité et d’interopérabilité prévues par les textes.” Elle nuance toutefois : “l’article 32 du RGPD exige des mesures appropriées ‘afin de garantir un niveau de sécurité adapté au risque’ compte tenu notamment des coûts de mise en oeuvre et du contexte”. En d’autres termes, le médecin devrait donc s’assurer lui-même de certains critères de sécurité sans qu’on puisse attendre de lui qu’il garantisse une sécurité absolue. L’Assurance maladie s’est-elle reposée sur cette notion ?

En attendant que celle-ci opère un tri dans les outils de téléconsultation existants, et que la Haute autorité de santé (HAS) publie son guide en la matière, prévu pour la fin de l’année, “pour l’instant la situation paraît incertaine pour les médecins, sauf pour ceux ayant déjà obtenu les garanties qui s’imposent de la part de leurs fournisseurs”, regrette Cécile Théard-Jallu.