Retour à la newsletter

N° 29 - Avril 2019

TELE-PRATIQUER, OUI MAIS PAS A LA LEGERE

La Belgique n’a pas défini, à ce jour, de cadre légal à la « télémédecine ». Le concept se fraye de plus en plus un chemin dans les esprits, alors que les autorités soutiennent des expériences pilotes de m-Health, la « santé mobile ». L’exercice par TIC interposées est régi par les grands principes du RGPD.

La téléconsultation (tenir une consultation par l’intermédiaire de technologies d’information et de communication), la télé-expertise (demander à un confrère un avis spécialisé sur un cas via ce même canal des TIC), la télésurveillance (par exemple le monitoring à distance des paramètres biologiques d’un patient) ou la téléassistance (lorsqu’à la surveillance s’ajoute une dimension d’alerte ou d’intervention) sont autant d’actes de télémédecine. Une pratique pour laquelle la Belgique n’a pas encore de cadre légal défini (lire par ailleurs l’encadré « La France a officialisé la télémédecine ») mais qui est régie par les grands principes du RGPD.

Ainsi, le prestataire tiers qui met à votre disposition une technologie de télémédecine pour assurer la prise en charge d’un patient et avec une connexion extérieure (par exemple un appareil de mesure connecté qui sauvegarde les infos dans le cloud) est considéré comme un sous-traitant. Vous-même êtes le responsable de traitement des données du patient. Vous devez veiller à ce que votre sous-traitant offre des garanties et un niveau de sécurité adaptés et conclure avec lui un contrat détaillé (lire la fiche n° 4 de la série RGPD).

Vous ne devez pas recueillir le consentement du patient pour faire de la télémédecine, considérée comme un acte médical. En revanche, une série d’obligations vous incombent, comme l’informer que ses données sont collectées pour une prise en charge à distance et vérifier qu’il pourra bien faire valoir ses droits (d’accès, de rectification et d’opposition).

Quasi toujours un risque élevé

Comme le détaille notre nouvelle fiche télémédecine, vous êtes aussi tenu de mettre en place toutes les mesures requises pour assurer la protection des données du patient. La démarche, on l’a vu, commence par la vérification du sérieux du sous-traitant (cf. supra). Elle se poursuit par la sécurisation « physique » de vos postes de travail et appareils mobiles, de votre réseau informatique interne et de son serveur… Enfin, les accès aux données doivent être soumis à un dispositif d’authentification forte et limités (à ce qui est nécessaire selon le métier de l’intervenant), avec un système qui enregistre les logs et incidents. Un responsable de traitement est en effet supposé protéger les données contre toute intrusion, perte ou destruction, notamment quand leur traitement inclut une ou des transmissions vers un réseau internet. Si jamais une fuite se produit, il doit la signaler à l’Autorité de protection des données.

Un point à garder en tête : on considère que le recours à la télémédecine implique quasi toujours, pour le patient, un risque élevé d’atteinte au respect de ses droits et libertés. Par conséquent, dès que vous employez une nouvelle technologie pouvant signifier une protection moindre des données personnelles, vous devez réaliser une « analyse d’impact des risques » (voir la fiche n°6 de notre collection).

rgpd

Nomade mais pas insouciant

L’univers des applications mobiles, y compris en santé et « bien-être », est en expansion. Le professionnel de santé qui, dans l’exercice de ses fonctions, fait usage à partir de son smartphone ou de sa tablette d’une application mobile pour consulter les dossiers de ses patients ou communiquer des infos relatives à ceux-ci, est aux termes du RGPD un responsable de traitement.

En tant que tel, il doit respecter les grands fils rouges du Règlement. Ainsi l’appli doit-elle avoir une finalité déterminée, légitime et explicite, le recueil de données et leur temps de conservation ne doivent pas être disproportionnés par rapport à cette finalité, et, bien sûr, la confidentialité des éléments recueillis doit être garantie.

Dès lors, il y a des règles de sécurité à instaurer au niveau du smartphone sur lequel tourne l’appli. Il faut éviter de le prêter ou de le laisser sans surveillance. Il doit être protégé par mot de passe et bénéficier d’un verrouillage automatique après une courte durée. Il est plus prudent de ne pas conserver les données des patients dans sa mémoire interne. Les données sensibles doivent être chiffrées et, comme nous le soulignions le mois dernier, il faut éviter de recourir pour la transmission à la première messagerie lambda venue.

Vous retrouverez plus de détails sur les mesures de prudence à appliquer dans notre nouvelle fiche. Elle évoque les principes de Privacy By Design et de Privacy By Default (lié au paramétrage de l’application mobile pour maximiser la protection des données).

La France a formalisé la télémédecine

Depuis septembre 2018, la France a officiellement instauré la téléconsultation, en lui donnant un cadre juridique et technique, et en prévoyant son remboursement. La télé-expertise a suivi, en février 2019. Elle est actuellement réservée à des publics précis (malades chroniques, patients des zones en pénurie de médecins, résidents des MRS…) mais pourrait s’étendre. Chacune de ces deux pratiques requiert de recueillir préalablement le consentement du patient. Une rétribution des professionnels participants a été définie.

En savoir plus via le site de l’assurance maladie française


rgpd

retour à la newsletter

e-santewallonie.be

PPLW | Plateforme de la Première Ligne Wallonne
rue des Dames Blanches, 1 | 5000 NAMUR | contact@e-santewallonie.be