« Je tairai les secrets qui me seront confiés ». En 2017, ce passage du serment d’Hippocrate semble un poil désuet. Et pour cause. Aujourd’hui, le secret médical ne s’arrête plus aux murs insonorisés des cabinets de médecine. Big Brother est passé par là. Les données de santé sont transmises, échangées, partagées dans le cloud, à une vitesse telle qu’elles échappent parfois à la plus élémentaire vigilance. « Aujourd’hui, le numérique avance plus vite que la médecine, et lui n’a pas de code de déontologie », constate le Dr Jérôme Marty, président de l’Union française pour une médecine libre syndicat (UFMLS).
Partage de dossiers médicaux, applis santé, objets connectés, plateformes de rendez-vous en ligne… « On peut vérifier beaucoup de choses sur du papier, sur Internet je n’ai aucun contrôle, s’inquiète aussi le président de la Fédération des médecins de France (FMF), le Dr Jean-Paul Hamon. Je ne sais pas où sont parties les données ni comment elles seront utilisées. » Le syndicaliste est plus particulièrement préoccupé par les plateformes de rendez-vous en ligne : « Les patients donnent leurs noms, adresses, coordonnées et même le motif de consultation. La plateforme sait aussi quel médecin est consulté. » Un dernier détail a son importance pour le généraliste de Clamart, qui protège le secret médical jusque dans la rue : « Quand je les croise, j’attends que mes patients viennent me saluer. Les gens ne sont pas censés savoir que je suis leur médecin. »
Récemment, la FMF s’est rapprochée de MG France à ce sujet. Le syndicat de généralistes travaille en effet depuis plusieurs mois sur sa propre plateforme de rendez-vous, à la fois pour protéger les données et diminuer le coût de ce service. « Nous sommes en période de test, explique le président sortant de MG France, le Dr Claude Leicher. Une centaine de médecins est en train d’évaluer l’outil. La protection de ces données est pour nous un vrai sujet de société. » Si les plateformes de rendez-vous certifient faire appel à des hébergeurs de données de santé (HDS) agréés par le ministère et l’Agence française de la santé numérique (ASIP-Santé) (voir encadré page 12), elles ne sont toutefois pas à l’abri du vol de données. En juillet dernier, nos confrères du Soir rapportaient qu’un hacker était parvenu à pirater les données personnelles de 500 000 Belges sur le site de rendez-vous en ligne Digitale Wachtkamer.
Patients imprudents
Selon Claude Leicher, le secret médical est peu menacé au sein des cabinets. Il l’est davantage lorsque le patient partage ses données de santé en ligne, sur des applis ou objets connectés. « Les outils d’agenda se trouvent eux à la frontière », précise le généraliste. Un constat que partage Marc Paris, responsable communication pour le groupe interassociatif de patients France Assos Santé.
« Ce qui est préoccupant, c’est le manque de conscience de certaines personnes sur la sensibilité de ces données, en particulier dans l’utilisation des outils de bien-être », relève-t-il. « La numérisation est à la fois une chance et un risque, poursuit le Dr Claude Leicher. Si je pars faire un jogging avec une application connectée, ces données suffisent à me cibler avec des publicités. » Le Dr Jérôme Marty dénonce par ailleurs le développement de services liés à la santé par des mutuelles, ou des assurances qui « ont accès aux données, financent le soin, l’organisent, en perçoivent les rétributions et en plus fixent les cotisations des gens, ce qui poignarde très largement le secret médical », martèle-t-il.
Les outils utilisés entre professionnels de santé, notamment la messagerie sécurisée et le dossier médical partagé (DMP) gardent la confiance des usagers. « Il y a eu des craintes avec la loi Santé, qui permet un partage des données dans les équipes de soins, raconte Marc Paris. Le DMP nous semble apporter un certain nombre de garanties, avec le choix par le patient de l’information qu’il rend accessible. » Les médecins sont plus critiques à l’égard de ce nouvel outil, qui peine encore à trouver sa place. « La loi Touraine a mis le DMP aux mains des financeurs, on peut supposer que les personnels administratifs ont accès aux données des patients, il y a donc une rupture du secret médical », alerte le Dr Jérôme Marty. « Avant de déployer le DMP, il faut transmettre la culture de la communication par messagerie sécurisée aux médecins et aux professionnels de santé », estime Dr Jean-Paul Hamon.
Réglementation complexe
Au sein des compagnies d’assurances, on garantit cependant une étanchéité complète entre les services de santé et les activités assurantielles. Peggy Séjourné, directrice de la stratégie des services et de l’innovation de CNP Assurances, dont la plateforme Lyfe propose entre autres des prises de rendez-vous en ligne avec Mondocteur et bientôt des services de téléconseil, rassure : « Nous ne recueillons aucune donnée de santé. Les datas personnelles sont traitées chez nos prestataires de services qui sont agréés hébergeurs de données de santé ». Pour elle, la clé du succès de la plateforme Lyfe est « la confiance ». Elle ajoute : « Pour ce faire, nous travaillons main dans la main avec notre avocat-conseil en “data protection”. C’est donc totalement étanche, il n’y a pas d’échanges avec d’autres systèmes. »
Il existe plusieurs réglementations et recommandations en matière de partage de données et organismes qui en ont la veille : loi informatique et libertés (CNIL), Agence nationale de la sécurité des systèmes d’information (ANSSI), guide de la HAS... Dans ce florilège de codes de bonnes conduites pour les applis, plateformes et autres services de santé en ligne, difficile de s’y retrouver. « Il y a désormais un référentiel légal très volumineux et les sources sont multiples, il n’est donc pas forcément facile à appréhender », avoue Me Marguerite Brac de La Perrière, directrice du département Santé numérique au sein de Lexing Alain Bensoussan Avocats. Un nouveau règlement européen sur la protection des données (RGPD), applicable en mai 2018, va changer la donne. Ce texte « aura pour vocation à renforcer la protection des données et mettre à la charge des personnes qui les traitent des obligations d’information des patients plus importantes, des conditions de légalité et de sécurité », explique l’avocate. Cette nouvelle réglementation précise que « le traitement des données de santé pour des motifs d’intérêt public ne devrait pas aboutir à ce que des informations à caractère personnel soient traitées à d’autres fins par des tiers, tels que les employeurs ou les compagnies d’assurances ».
Les sanctions seront plus lourdes. Les amendes administratives pourront aller jusqu’à 10 millions d’euros dans le cas d’une entreprise et jusqu’à 2 % du chiffre d’affaires. Des réparations pourront être versées aux « personnes dont le secret médical aurait été violé ».
Applis, les mauvaises élèves ?
Le mot d’ordre reste donc la pédagogie. France Assos Santé a par exemple publié sur son site une longue note à destination des patients sur « la prudence et la vigilance à avoir sur le partage de ces données qui sont assez sensibles ». Lors du congrès de l’UNAPL, Vincent Strubel, sous-directeur expertise à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a prévenu : « Les syndicats professionnels doivent jouer un rôle en matière de sécurité numérique, comme les associations en ont un auprès des patients, pour que tout le monde adopte les réflexes de base. Il ne faut pas confier ses données à n’importe qui ». Pour le Dr Jérôme Marty, la préservation du secret professionnel se fera aussi auprès des jeunes médecins. « Il faut sacraliser le secret médical, intégrer dans les études l’apport sociologique, économique, politique et sanitaire des nouvelles technologies pour qu’ils soient maîtres de l’outil et non l’outil du maître. »
Pause exceptionnelle de votre newsletter
En cuisine avec le Dr Dominique Dupagne
[VIDÉO] Recette d'été : la chakchouka
Florie Sullerot, présidente de l’Isnar-IMG : « Il y a encore beaucoup de zones de flou dans cette maquette de médecine générale »
Covid : un autre virus et la génétique pourraient expliquer des différences immunitaires, selon une étude publiée dans Nature