Dr Stéphanie MARSAN
Vigilance dans l’utilisation des assistants à la consultation en ligne !
De plus en plus de médecins utilisent des outils en ligne (SaaS) sans se rendre compte des risques qu’ils font prendre à leurs patients et à eux-mêmes.
Certains sont très séduisants proposant d’enregistrer toute la consultation pour générer un compte-rendu immédiat. (ex : Nabla)
Mais attention : dès lors que vous soumettez des données à caractère personnel (cf. .1) à un tiers, vous êtes dans l’obligation de respecter le RGPD. Ainsi, tout traitement doit reposer sur une base légale ( .1), respecter les du RGPD et les .
En utilisant des outils externes, au regard du RGPD le médecin est considéré comme un « responsable de traitement » puisqu’il définit seul la finalité du traitement et qu’il a défini seul le moyen de réaliser cette finalité (l’outil en question). De son côté, l’éditeur du service est généralement considéré comme un « sous-traitant » puisqu’il agit pour le compte du médecin ( .7 et 4.8).
En tant que responsable de traitement, le médecin a l’obligation sécuriser les données à caractère personnel qu’il collecte, à savoir celles de ses patients, quel que soit les outils qu’il utilise ( ). Et ce d’autant plus lorsqu’il s’agit de catégories particulières de données au sens du RGPD : des données de santé ( ).
Certains éditeurs revendiquent fièrement une « conformité RGPD », une anonymisation ou une sécurité « parfaite » (le risque zéro n’existe pas !) des données qu’ils traitent.
En tant que responsable de traitement et garant de la sécurité des données de ses patients, le médecin a le devoir de s’assurer que la conformité et les mesures évoquées par son sous-traitant lui semblent suffisantes au regard des enjeux, et ne pas succomber aux sirènes du marketing. D’autant plus que les personnes qui subiront les conséquences d’une mauvaise évaluation sont avant tout ses patients.
Vérifier que le sous-traitant s’engage à respecter le de la CNIL est essentiel pour pouvoir commencer à croire en la revendication d’une conformité au RGPD. Cela ne suffit pas nécessairement car les risques dépendent du contexte, mais constitue une base raisonnable.
Sachez qu’un sous-traitant a l’obligation de mettre à la disposition de son client les informations permettant de démontrer le respect des obligations du RGPD ou pour permettre la réalisation d’audits (cf. , p.12). Vous pouvez donc lui poser des questions précises et s’il ne répond pas c’est un très mauvais signe !
Voici des engagements et mesures de sécurité qui devraient apparaître dans un contrat de sous-traitance :
- respect du RGPD globalement,
- respect des mesures imposées par le RGPD ( , et ),
- seules les personnes habilitées ayant le besoin d’en connaître peuvent accéder aux données,
- échanges et stockage de données sont chiffrés avec des moyens cryptographiques conformes à l’état de l’art en la matière (en particulier suivre les recommandations de l’ANSSI et de la CNIL, ainsi que les jurisprudences des décisions de sanctions),
- l’authentification des utilisateurs et des administrateurs est forte ou multifacteur, d’autant plus que les données sont sensibles.
Il ne faut pas non plus se fier aveuglément aux informations fournies, et adopter un esprit critique. Par exemple, dans le cas d’un service en vogue en ce moment il est indiqué que toutes les données sont anonymisées. Pourtant selon le même texte toutes les opérations sont réalisées sur les serveurs de l’éditeur. Donc les données arrivent bien non anonymisées sur le serveur. Il est mentionné qu’elles ne sont pas stockées non anonymisées et donc que personne ne peut y avoir accès. Mais comme elles arrivent non anonymisées, elles sont par conséquent nécessairement stockées, ne serait-ce qu’en mémoire vive et le temps de leur anonymisation, sur le serveur. Cette affirmation est donc aussi fausse, et il est possible de le comprendre sans compétence particulière en sécurité de l’information.
En conclusion, sachez :
- Que vous êtes responsables des données de vos patients
- Que vous êtes responsables de la sécurité des outils que vous utilisez
- Que vous êtes soumis au RGPD, qui vous impose de vérifier que le niveau de sécurité des données est suffisant
- Que vous devez vérifier dans quel cadre vous êtes autorisé à réaliser le traitement (base légale, cf. .1 et .2)
En plus de tous ces aspects techniques et réglementaires, une problématique éthique se pose. Le (CCNE) rappelle que la relation de soin se fonde sur une relation humaine directe, basée sur la confiance et un ensemble de décisions véritablement partagées entre le médecin et le patient, même si l’informatisation des systèmes de soin est maintenant généralisée.
Trois principes éthiques peuvent être fragilisés par l’utilisation des données massives :
- Le secret médical, par la multiplication des informations partagées et échangées entre divers acteurs, dont certains ne relèvent pas du milieu médical ;
- La responsabilité de la décision médicale, par le risque d’automatisation que crée la multiplication des logiciels algorithmiques ;
- La relation personnelle entre le médecin et son patient, qui est menacée d’appauvrissement avec les innovations attendues du traitement des données massives, le patient risquant d’être réduit à un ensemble de données à interpréter, semblant rendre inutile son écoute.
Le CCNE rappelle que les technologies du numérique doivent rester une aide à la décision et estime que le temps ainsi gagné devrait être mis à profit pour libérer du temps d’écoute, d’échange, de prise en compte personnelle du patient.
Pour toutes ces raisons nous avons interpellé à ce sujet le CNOM qui en attendant une étude plus poussée par la section «Éthique et déontologie» de la direction juridique et le service Droit du numérique du CNOM, recommande une grande prudence dans l’utilisation de ces services.