L’informatique prend une place de plus en plus importante dans l’activité médicale. Maintenant que les logiciels de gestion de cabinet (LGC) et bases de données de médicaments numériques sont monnaie courante, l’envoi de comptes rendus et ordonnances par email tend à se généraliser, tandis que les médecins à la pointe de la technologie commencent à utiliser et « prescrire » des applications de santé mobile et objets connectés. Peu importe le degré de technophilie, la quasi-totalité des praticiens dépend désormais, d’une façon ou d’une autre, du numérique.
Face à ce phénomène, nombreux sont encore les professionnels à s’interroger quant à la compatibilité de ces nouveaux outils avec leur déontologie, et notamment le secret médical. Puis-je utiliser une messagerie électronique « classique » ? Puis-je avoir recours à des téléservices, comme la prise de rendez-vous en ligne ? Puis-je déposer mes dossiers Patients dans le « Cloud »[1] ?
Dans ce contexte, les livres blancs et déclarations du Conseil National de l’Ordre des Médecins (CNOM)[2] ainsi que les normes simplifiées[3] et recommandations[4] de la Commission Nationale de l’Informatique et des Libertés (CNIL) se succèdent rapidement. L’allure est tellement vive que l’on s’y perd rapidement.
Revenons sur les dernières évolutions et faisons le point sur les obligations des médecins.
Suis-je concerné ? En vigueur depuis 1978, la loi Informatique et Libertés prescrit à tout professionnel, peu important son statut ou son domaine d’activité, un cadre juridique pour le traitement – informatique ou non – de données à caractère personnel. A l’instar des autres professionnels de santé, les médecins sont donc concernés par cette loi dès lors qu’ils exercent à titre libéral, et ce que leurs dossiers Patients soient informatisés ou non. La règle du secret médical est ici sans effet, elle ne justifie aucune exonération.
Si vous ne l’avez pas déjà fait, il faut donc procéder aux formalités idoines sur le site www.cnil.fr.
Et pourquoi ? Déjà parce qu’il s’agit d’une obligation légale, passible de sanctions disciplinaires ainsi que de 5 ans d’emprisonnement et 300 000 euros d’amende[5], là où la violation du secret médical n’est sanctionnée que d’un an d’emprisonnement et 15 000 euros d’amende[6].
Ensuite parce que dans l’environnement technologique et juridique actuel, le secret médical ne suffit pas à garantir le respect de ce principe cardinal de la médecine. En effet, le secret médical et le principe de confidentialité des données ne couvrent pas précisément la même sphère d’activité.
Un exemple : le certificat attestant de la réalisation d’une vaccination obligatoire, nécessaire à l’inscription à l’école d’un enfant. Ce document n’est pas couvert par le secret médical, il doit être établi en vue de sa remise au directeur d’établissement. En revanche, ce même document entre de plein droit dans la sphère de la confidentialité des données : le directeur ne peut le transmettre à qui que ce soit, il doit en taire le contenu.
La loi Informatique et Libertés doit donc ici être considérée comme le relais du secret médical dans la vie « civile ».
Mais quel intérêt pour un médecin de se conformer à cette loi, alors ? C’est assez simple. Le secret médical est une règle se caractérisant par sa généralité, dont découlent son universalité et son intemporalité. En 2015, cette règle doit s’accompagner de développements plus précis afin de tenir compte de l’évolution des technologies et, plus particulièrement, des moyens de communication. Là encore, on peut voir dans la loi de 1978 un complément au secret médical.
Voyons donc brièvement quelles sont les obligations techniques et administratives des professionnels médicaux.
L’informatique se limite à un logiciel de gestion de cabinet pour vous ? Ici, les formalités à accomplir ont été pensées afin de simplifier la vie des praticiens. La CNIL a en effet pris en considération d’une part l’assujettissement des praticiens au secret médical et d’autre part le caractère standard de l’informatisation des cabinets médicaux pour leur proposer un régime plus souple : la norme simplifiée n° 50 (NS 50)[7].
Au plan « technique », rien d’impossible. La norme prescrit l’installation d’un antivirus et l’utilisation de la carte de professionnel de santé (CPS) pour accéder au logiciel de gestion de cabinet, option de série sur tous les logiciels du marché. En pratique, vous devriez également installer un pare-feu et veillez à régulièrement mettre à jour votre ordinateur.
Au plan administratif, il suffit d’envoyer à la CNIL un engagement de conformité – 5 minutes, montre en main, sur le site www.cnil.fr.
Le seul désagrément tient à la nécessité d’établir par écrit, dans un protocole de confidentialité, les mesures effectivement mises en œuvre. L’inconvénient reste toutefois mesuré, les besoins d’évolution de ce document étant limités. Il suffit, en pratique, de l’actualiser en cas de modification de la configuration informatique du cabinet.
Vous échangez des données par internet ? L’email permet d’échanger rapidement des informations relatives à vos patients avec des confrères, des laboratoires, d’autres professionnels de santé. Ici, la prudence s’impose, en ce qui concerne le respect tant du secret médical que de la confidentialité des données. En effet, le 31 juillet 2014, un juge du US District Court of New York a exigé de tous les fournisseurs de services de télécommunication américains qu’ils mettent à la disposition des autorités américaines la totalité des données échangées par le biais de leurs services[8]. Vos échanges par internet ne sont donc pas confidentiels si vous utilisez une messagerie US.
Techniquement, comment assurer la sécurité de vos emails alors ? En premier lieu, ayez recours à un prestataire européen et mettez en place un système de chiffrement recourant au certificat X509 de votre CPS. Vous ne savez pas ce dont il s’agit ou comment cela fonctionne ? Pas de problème, des prestataires publics et privés proposent des services de messagerie électronique. Certains sont même gratuits. Au plan administratif, pas de difficulté majeure non plus. La CNIL a adopté le 12 juin 2014 une autorisation unique facilitant les formalités pour échanger par voie électronique des données de santé à travers un système de messagerie sécurisée[9]. Temps nécessaire à accomplir la déclaration de conformité sur le site www.cnil.fr : 5 minutes, là encore. Avantage, sous l’égide de cette autorisation unique, vous pouvez sereinement communiquer avec des professionnels du secteur médico-social.
Vous utilisez ou proposez des « téléservices » ? Les formalités à accomplir varient ici en fonction le « téléservice » en cause, voire de la sensibilité des données télétransmises. Mais une chose est quasi certaine, ils ne ressortiront pas de la NS-50. Pas de panique pour autant. Ces formalités ne sont pas nécessairement beaucoup plus compliquées.
Si, par exemple, vous proposez à vos patients de prendre rendez-vous en ligne, il s’agit en principe d’une simple « déclaration normale » – et votre prestataire devrait normalement vous éclairer quant aux éléments techniques. Il devrait ainsi vous préciser, au minimum, que le service est hébergé par un prestataire agréé par le Ministre de la Santé et que les communications sont chiffrées.
Si vous participez à un programme de télémédecine, les formalités sont en revanche nettement plus complexes, une demande d’autorisation devant préalablement être déposée à la CNIL. Mais rassurez-vous, cette charge revient presque de plein droit au porteur de projet.
Vous vous installez ? Vous voulez vous mettre en conformité ? Vous en conviendrez. Les inconvénients liés à l’accomplissement de ces formalités préalables sont limités ou, en tout cas, minimes par rapport au risque encouru en cas de non-conformité. Si vous n’êtes pas conforme ou si vous êtes en train de vous installer, pensez-y et faites le nécessaire !
Après avoir vérifié le régime applicable à vos traitements de données, rendez-vous sur www.cnil.fr et profitez de la possibilité de « mutualiser » les déclarations de conformité. Dans une seule et même procédure, il vous sera ainsi possible de vous engager à respecter la NS-50 et l’AU-037, par exemple. Mieux, vous pourrez même déclarer d’autres traitements, comme ceux nécessaires à la gestion du personnel du cabinet[10].
En revanche, les formalités relevant d’un autre régime devront en pratique être réalisées dans des procédures distinctes. Dans ce cas, si vous exercez en structure de groupe, il peut être intéressant de désigner un Correspondant Informatique et Libertés (CIL) « externe » pour les SCP et SEL ou « mutualisé » pour les SCM. Ce professionnel réalisera alors lui-même les formalités déclaratives, après avoir audité vos traitements de données, pourra vous accompagner dans les procédures d’autorisation et surtout pourra rédiger votre politique de confidentialité, permettant ainsi un usage des TIC conforme à la règle du secret médical !
[1] Le Cloud ou « Informatique en nuage » désigne notamment le fait d’utiliser des logiciels installés directement sur les serveurs de l’éditeur, et non plus sur l’ordinateur du praticien.
[2] Pour le CNOM : De la e-santé à la santé connectée, 3 février 2015 ; Charte de conformité déontologique applicable aux sites web professionnels des médecins, CNOM, 30 janvier 2014 ; Déontologie médicale sur le web, CNOM, Décembre 2011.
Mais les autres ordres médicaux ne sont pas en reste : Charte ordinale relative à la publicité et à l’information dans les médias, CNOCD, 2014 (revenant sur le recours à des téléservices).
[3] Autorisation unique AU-033 (Téléobservance) du 30 janvier 2014 (désormais abrogée) ; Autorisation unique AU-037 (MSS) du 12 juin 2014.
[4] Guide « Professionnels de santé », CNIL, Nov. 2013 ; Le Corps, nouvel objet connecté ?, CNIL, 28 mai 2014
[5] Art. 226-17 NCP.
[6] Art. 226-13 NCP.
[7] http://www.cnil.fr/documentation/deliberations/deliberation/delib/186/.
[8] http://www.dataguidance.com/dataguidance_privacy_this_week.asp?id=2696.
[9] http://www.cnil.fr/documentation/deliberations/deliberation/accessible/non/delib/314/.
[10] http://www.cnil.fr/documentation/deliberations/deliberation/delib/169/.