Cinq types d’actes sont ainsi concernés :

• la téléconsultation : permet à un médecin de donner une consultation à distance à un patient, un professionnel de santé ou un psychologue peut être présent auprès du patient et, le cas échéant, assister le médecin au cours de cet acte ;
• la télé-expertise : permet à un médecin de solliciter à distance l’avis d’un ou de plusieurs de ses confrères en raison de leurs formations ou de leurs compétences particulières, sur la base des informations liées à la prise en charge d’un patient ;
• la télésurveillance médicale : permet à un médecin d’interpréter à distance les données nécessaires au suivi médical d’un patient et, le cas échéant, prend des décisions relatives à sa prise en charge. L’enregistrement et la transmission des données peuvent être automatisés ou réalisés par le patient lui-même, ou par un professionnel de santé ;
• la télé-assistance médicale : permet à un médecin d’assister à distance un autre professionnel de santé au cours de la réalisation d’un acte ;
• la réponse médicale apportée dans le cadre de la régulation médicale des urgences ou de la permanence des soins.

Les exigences légales de la télémédecine

Les exigences applicables à la télémédecine définies dans aux articles R. 6136-1 et suivant du Code de la Santé Publique sont les suivantes :

• le recueil du consentement éclairé du patient, y compris de façon dématérialisée ;
• l’authentification du patient et des professionnels de santé intervenant dans l’acte ;
• l’accès par les professionnels aux données médicales du patient, nécessaires à la réalisation de l’acte ;
• l’enregistrement pour chaque dossier du compte-rendu de l’acte, des prescriptions, de l’identité des professionnels de santé, de la date et heure de l’acte, des éventuels incidents ;
• lorsque la situation l’impose, la formation ou la préparation du patient à l’utilisation du dispositif de télémédecine.

Respect des réglementations de protection des données de santé édictées par la RGPD et le CNIL

Au-delà des dispositions légales et règlementaires spécifiques à la télémédecine, les activités déployées dans ce cadre doivent également satisfaire aux exigences du Règlement européen à la protection des données personnelles (RGPD) et de la loi Informatique et Liberté (LIL). A ce titre, il incombe au responsable de traitement d’être en mesure de démontrer, à tout moment, la conformité du traitement de données de santé aux exigences de la règlemention précitée, notamment la réalisation d’une analyse d’impact, la tenue du registre des activités de traitement... (plus d'informations sur les 4 enjeux de la donnée de santé).

En contrepartie de cet engagement, le responsable de traitement n’a pas à solliciter d’autorisation spécifique de la CNIL préalablement à la mise en œuvre de l’activité.

Précisons toutefois que si l’acte de télémédecine envisagé s’inscrit dans le cadre d’une recherche dans le domaine de la santé, les traitements de données nécessaires à cette recherche doivent faire l’objet soit d’une autorisation, soit d’une déclaration de conformité à l’un des méthodologies de références.

S’agissant plus spécifiquement des mesures de sécurité des données de santé, l’activité de télémédecine doit en outre se conformer aux exigences des dispositions des articles R.1110-1 et suivants du CSP issu du décret de confidentialité du 17 mai 2007 et des référentiels sur la politique de sécurité et de sécurisation des accès.

Ainsi, il est indispensable qu’un système d’authentification forte soit mis en place pour reconnaître les utilisateurs et leurs délivrer les accès nécessaires.

La CNIL préconise à ce titre la mise en place d’un dispositif de gestion des habilitations des utilisateurs du dispositif de télémédecine « pour limiter les accès aux seules données qui sont strictement nécessaires aux utilisateurs ». Elle précise que « des niveaux d’habilitation différenciés doivent être créés en fonction des besoins des utilisateurs. » (2). De même, la CNIL recommande qu’un dispositif de gestion des traces et des incidents soit mis en place pour identifier un accès frauduleux ou une utilisation abusive des données personnelles ou déterminer l’origine d’un accident.

Par ailleurs, si le dispositif de télémédecine implique une externalisation, les conditions de sécurité prévues en matière d’hébergement des données de santé par l’article L. 1111-8 du code de la santé publique doivent également être respectées.

Merci pour votre intérêt pour le travail des experts Sham ! Si cet article vous a plu, n'hésitez pas à consulter nos Recommandations Sham en E-Santé !

Les Experts Sham viennent de délivrer le premier Livre Blanc sur le risque Cyber et ses enjeux pour et dans les établissements de santé. N'hésitez pas télécharger le Livre Blanc Risques Cyber et en apprendre plus sur les enjeux de la cybersécurité, la numérisation, la gouvernance et les bonnes pratiques, notamment en temps de crise Covid-19.