Les messageries sécurisées de santé sont une obligation - L'Infirmière Libérale Magazine n° 368 du 01/04/2020 | Espace Infirmier
 

L'infirmière Libérale Magazine n° 368 du 01/04/2020

 

COMMUNIQUER

VOTRE CABINET

Lisette Gries  

Les échanges d’informations concernant les patients passent encore souvent par des voies électroniques classiques (SMS ou courriel). Pourtant, l’utilisation de messageries sécurisées est une obligation prévue par le RGPD depuis 2018. Les Idels doivent donc être vigilantes sur certains aspects avant de finaliser leur choix d’un opérateur.

Transmettre un bilan, demander un avis sur une plaie prise en photo, ou encore se coordonner sur un protocole : combien de fois par semaine les Idels communiquent-elles avec leur réseau professionnel par SMS ou par e-mail ? Pourtant, passer par ces canaux n’est pas anodin, voire interdit… « Le règlement général sur la protection des données personnelles (RGPD) encadre, depuis mai 2018, la collecte, la conservation et l’échange des données sur les patients, rappelle Me Sébastien Mafray, avocat spécialisé. Un code d’accès à l’ordinateur et au téléphone portable, ainsi qu’un antivirus, sont donc incontournables. Les échanges de données ne doivent pas transiter par des messageries non sécurisées. »

Données cryptées et accès limité requis

Exit, donc, WhatsApp, Gmail, Messenger, etc. Il faut désormais que les Idels s’inscrivent sur une messagerie sécurisée de santé. Ces services garantissent un chiffrage des données, et ne sont accessibles qu’aux détenteurs d’une carte de professionnel de santé (CPS). Différents opérateurs, notamment des gestionnaires de logiciels professionnels, ont développé des messageries spécialisées. Certaines ne s’utilisent qu’en interne, entre les associés du cabinet, d’autres permettent de communiquer avec d’autres praticiens. Plusieurs messageries connectent leurs utilisateurs à l’espace sécurisé du service MSSanté, mis au point par l’Agence du numérique en santé (ANS). Il garantit un hébergement des données sur des serveurs situés en France ou dans l’Union européenne, ainsi qu’un cryptage des informations échangées. Un annuaire des professionnels de santé inscrits facilite aussi les échanges. Les ordres professionnels ont ainsi développé Mailiz, une interface liée à MSSanté et gratuite. Dans certaines régions, le GIP (groupement d’intérêt public) e-santé a mis au point sa propre solution, adossée, là encore, à MSSanté dans la plupart des cas.

Des data centers implantés en Europe

D’autres messageries, payantes, proposent des services similaires. « Gratuite ou payante, la solution choisie doit être validée par l’ANS (auparavant Asip Santé), être interopérable avec les autres messageries sécurisées et répondre aux besoins des professionnels en ne leur faisant pas perdre du temps ou de l’efficacité », conseille Jean-François Bouscarain, président de l’URPS infirmier Occitanie. Il suggère notamment aux Idels de se rapprocher de leur URPS avant de finaliser leur choix, pour s’assurer que tous les critères de sécurité sont remplis.

Outre l’interopérabilité et la restriction d’accès aux seuls détenteurs d’une CPS, la question du lieu d’hébergement des données est plus importante qu’il n’y paraît. Dans tout service de messagerie, courriel ou autre, les données échangées ne sont pas totalement immatérielles puisqu’elles sont stockées dans d’immenses serveurs. Quand ces data centers sont situés hors de l’Union européenne, le niveau de sécurité garanti n’est pas le même, car ils sont plus sensibles aux attaques de pirates (lire l’encadré).

Peu d’utilisateurs

Dans les faits, les messageries sécurisées de santé semblent encore peu passées dans les mœurs. L’URPS infirmier Occitanie a ainsi interrogé les participants à son récent forum consacré au numérique. Si 96 % des répondants déclarent échanger par SMS ou par mail des informations sensibles concernant leurs patients, à peine plus de la moitié d’entre eux utilisent une messagerie sécurisée de santé.

« C’est certes une garantie pour le respect du secret professionnel, mais les solutions qui nous sont proposées aujourd’hui restent assez peu faciles d’utilisation », déplore Cédric Puiroux, Idel et contributeur du site i-idel.fr. Si son cabinet utilise une messagerie interne, il communique peu avec le réseau soignant via une messagerie sécurisée. « On s’aperçoit rapidement que même les professionnels inscrits ne consultent pas leurs messages, donc on repasse par des moyens plus habituels. »

Des sanctions à la clé

Mais contourner cette obligation qui découle du RGPD est risqué. « Peu d’Idels se rendent compte qu’elles encourent des sanctions si elles échangent par des moyens non sécurisés, notamment une amende administrative de 20 millions d’euros ou 4 % du chiffre d’affaires annuel, met ainsi en garde Me Sébastien Mafray. Je n’ai pas connaissance, à ce jour, d’une condamnation, mais de la même façon que l’Urssaf et la Cpam mènent des investigations, on peut très bien imaginer des contrôles par la Cnil dans quelques années. » L’avocat souligne également la possibilité, dans le cas d’une séparation de cabinet conflictuelle, qu’une Idel fasse peser cet argument contre une collègue qui ne serait pas en règle. « Dans les conventions d’exercice en commun, il est intéressant d’inclure une clause relative au RGPD, pour se protéger », suggère-t-il.

Il revient à chacun, désormais, de se mettre en conformité avec la loi.

LES DONNÉES DE SANTÉ, UN TRÉSOR DE PLUS EN PLUS CONVOITÉ

« On a du mal à imaginer qui pourrait être intéressé par les escarres de Mme Unetelle », souffle Cédric Puiroux, Idel, qui voit là l’une des principales sources de désintérêt des professionnels de santé pour les messageries sécurisées. Pourtant, ces données sont au cœur de tractations financières, légales ou non. En mai 2019, des laboratoires (Novartis, Otsuka, Pfizer, Sanofi) ont signé des partenariats avec une filiale de Google (Verily) afin d’utiliser les algorithmes et les données de santé collectées par cette plate-forme. L’objectif étant d’accélérer le processus de sélection de patients pour des essais cliniques. Aux États-Unis, mais aussi en France, les systèmes informatiques des hôpitaux sont régulièrement victimes de cyberattaques. Avec le développement des soins à domicile, les informations échangées par les soignants de ville risquent de prendre de la valeur prochainement.

Articles de la même rubrique d'un même numéro