Numérique en santé : le point sur les obligations juridiques qui pèsent sur les médecins

Aujourd’hui, le numérique s’installe de plus en plus dans les cabinets, grâce aux outils connectés, à la téléconsultation, aux logiciels embarquant l'IA... Egora vous aide à y voir plus clair sur ce que vous devez faire et ne pas faire d’un point de vue juridique.

 

• Consentement et accès aux données de santé

En avril dernier, 77% des généralistes disaient utiliser "systématiquement" Mon espace santé, d’après l’Agence du numérique en santé. Pour l’heure, toutes les données d’un patient sont accessibles aux professionnels de santé qui le prennent en charge, le "consentement préalable n’est pas requis […] au sein de cette équipe", peut-on lire sur le site internet de Mon espace santé. Pour les autres professionnels en revanche, il faut un "consentement préalable".

D’ici quelques mois, il sera possible pour les médecins d’accéder aux vaccins et autres dépistages effectués ou à prévoir de leurs patients via leur tableau de bord Ameli. Mais faudra-t-il pour le généraliste obtenir un consentement écrit ou oral pour y accéder ? Pour l’heure, aucune information n’a été dévoilée.

 

• Communication entre professionnels de santé

Pour joindre un confrère, beaucoup de médecins utilisent les mails, les réseaux sociaux ou encore des applications comme WhatsApp. Mais en cas de piratage, "on pourrait considérer que le médecin a violé le secret professionnel", indique Me Camélia Navarre, avocate au barreau de Toulouse. "L’idéal serait d’avoir des boites mail sécurisées qui demandent à la personne qui envoie un mail de confirmer qu’elle n’est pas un robot, pour limiter la captation de données personnelles", poursuit-elle. Mais cet outil a un certain coût. S’il est plus facilement utilisé par de grandes structures comme les hôpitaux, ces boîtes mails le sont moins dans les cabinets.

 

• Logiciels et RGPD

Pour faciliter leur pratique, de nombreux médecins utilisent des logiciels ou applications qui parfois viennent juste d’arriver sur le marché. À ce sujet, Me Anne-Sophie Viard-Crétat, avocate qui intervient en droit de l'informatique et en données personnelles, émet des recommandations. "D’abord, il faut privilégier des outils dédiés au domaine de la santé, parce que pour être mis sur le marché, ils ont des obligations légales à respecter, en termes d’hébergement des données de santé ou au niveau du respect du référentiel Ségur…" Elle avertit notamment ceux qui utilisent Chat GPT, qui est loin d’être un outil dédié à la santé.

La deuxième recommandation de l’avocate est de s’intéresser à la partie réglementaire de l’outil et "ne pas se contenter d’un tampon qui dirait ‘conforme au RGPD’". "Il faut se demander où vont les données de patients dans ce logiciel et qui peut y accéder’". Elle considère également le fait de devoir signer des contrats ou des conditions générales d’utilisation comme un "bon signe". Si l’entreprise n’en a pas, "ça doit déjà mettre la puce à l’oreille sur le fait qu’elle n’est pas très structurée juridiquement". Pour les outils qui stockent les données de patients, elle conseille de consulter un avocat "car c’est de la responsabilité pénale pour les professionnels de santé", notamment pour les outils proposés par des start-ups qui se lancent sur le marché.

 

• Nouvelle réglementation européenne sur l'IA

Certaines technologies nécessitent une mise au point réglementaire, c’est par exemple le cas de toutes les questions entourant l’IA, qui "est pourtant déjà présente au quotidien dans les outils des professionnels de santé, pour la gestion des rendez-vous, le suivi des patients…" En juin 2024, un texte, appelé l’AIact, a été adopté par l'Union européenne. "Il va s’appliquer progressivement d’ici 2027", indique Me Viard-Crétat. Dans ce texte, il est notamment question de "garantie humaine". Cela signifie que pour un logiciel qui utilise une IA d’aide au diagnostic par exemple, les fabricants devront créer une option permettant à l’utilisateur de désactiver cette aide pour garder "un contrôle humain". Cette fonctionnalité est d’autant plus pertinente lorsque l’IA donne un résultat erroné ou que le médecin ne le trouve pas pertinent. Ainsi, il sera en mesure de rectifier par lui-même.

Un autre texte a également été adopté au niveau européen en 2024. Il s’agit de l’Espace européen des données de santé (EHDS). Dans un premier temps, il doit "faciliter l’accès aux données de santé pour les patients", indique Me Viard-Crétat. Ce texte permettra également aux professionnels de santé de "pouvoir recevoir les données de santé détenues par d’autres professionnels de santé au sein de l'UE". Cela permettra par exemple au généraliste d’un patient français d’accéder à ses données même s’il se fait soigner dans un pays européen.

L’EHDS doit permettre dans un second temps de réutiliser les données de santé, qui seront stockées dans ce grand entrepôt européen, notamment pour favoriser la recherche et l’innovation. Elles seront principalement à destination des "chercheurs, des entreprises pharmaceutiques, des autorités sanitaires…" A l’instar de l’entrepôt de données créé par SOS Médecins, ces informations de santé "seront anonymisées" et sécurisées.

 

• Cyberattaques

Si ces données sont si précieuses pour la recherche, elles sont aussi très convoitées, notamment lors de cyberattaques. Pour prévenir au maximum ce type d’incidents, Me Viard-Crétat insiste sur le fait de "s’entourer d’acteurs qui connaissent les particularités du secteur de la santé, parce qu’ils vont pouvoir limiter le risque que les données soient lisibles par d’autres lors d’une cyberattaque". Cela signifie que même si ces données subissent une fuite, les hackers ne pourront rien en faire, car elles seront cryptées.

Parfois, la prévention ne suffit pas, l’attaque est déjà là. Dans ce cas, l’avocate précise qu’il y a des "obligations légales, comme porter plainte, prévenir immédiatement son prestataire. Si ce n’est pas un prestataire spécialisé en cyberattaque, il va falloir se rapprocher de l’Agence nationale de la sécurité des systèmes d’information (Anssi)". Là encore, il faut s’entourer de personnes compétentes pour prendre les mesures adéquates, car si l’attaque le nécessite, il faudra faire une déclaration auprès de la Cnil. "Cela n’arrive pas tous les quatre matins, reconnaît Me Viard-Crétat, mais c’est important de savoir qui contacter dans ces cas-là, pour réagir vite."

 

• Droit à l’image

La santé prend aussi de plus en plus de place sur les réseaux sociaux. Les étudiants les utilisent pour se former, les médecins pour sensibiliser les patients... Mais derrière cette nouvelle utilisation, se cache un point juridique à ne pas négliger : le droit à l’image. L’avocate travaille actuellement sur un dossier en lien avec cette problématique. "J’ai eu une patiente qui avait fait de la médecine esthétique. La médecin l’avait prise en photo pour faire un 'avant-après', mais ne lui avait pas dit que ses photos serviraient à faire la promotion de son activité sur les réseaux sociaux", relate Me Navarre. Quelques jours plus tard, la patiente remarque des photos d’elle sur Instagram, avec "des petites étoiles sur ses yeux, mais qui laissaient voir tout le reste de son visage, explique l’avocate. Quand j’ai vu la photo et que j’avais la patiente en face de moi, je pouvais la reconnaître".

Pour Me Navarre, ces photos ne relèvent pas de la "mauvaise volonté des médecins", "je pense juste qu’ils ne savent pas qu’ils ne peuvent pas faire ça". Pour elle, la médecin aurait dû soit faire en sorte que la patiente soit non identifiable, soit – et c’est ce qu’elle privilégie – demander une autorisation écrite de la personne qui est filmée. Elle rappelle toutefois que si un médecin veut filmer un patient pour ensuite montrer les images dans un cadre privé, par exemple à un interne, "il n’y aurait pas de difficulté". "C’est lorsqu’il y a diffusion à un grand groupe qu’il faut une autorisation".

 

• L’intérêt d’une formation ?

Tous ces points juridiques sont loin d’être connus par l’ensemble des professionnels de santé. Pour Me Viard-Crétat, il faudrait que les médecins ou les étudiants en médecine aient "une sensibilisation sur leurs obligations juridiques". Même si l’avocate reconnaît que la "sensibilisation aux services informatiques et à ses risques" est de plus en plus importante, pour elle, il faut continuer et approfondir ces notions. "En ayant mieux accès à l’information, on a moins peur d’engager sa responsabilité. Je pense que ça aurait du sens pour rassurer les professionnels de santé".