La commission des affaires sociales de l’Assemblée nationale a récemment adopté une proposition d’amendement1 visant à modifier la définition de la téléconsultation dans la loi.
Voici son contenu :
“Les actes de téléconsultation doivent être réalisés par le biais d’une maison de santé pluridisciplinaire, d’une officine ou d’une collectivité afin de garantir un meilleur encadrement de cette pratique.”
France Asso Santé2 pointe fort justement une problématique importante :
En l’état, ce texte signe donc la fin du remboursement des téléconsultations à domicile ! Il s’agit donc d’un retour de plus de 5 ans en arrière qui efface l’entrée de la téléconsultation dans les parcours de santé des Français, accélérée par la crise sanitaire du Covid-19.
Des associations de médecins mettent en avant que la téléconsultation se substitue, dans certains cas, parfaitement à la consultation physique3.
Mais le problème est-il là ?
Hébergement des données de santé pour la téléconsultation
Nous allons regarder en détail l’hébergement choisi par les solutions de téléconsultations les plus utilisées4.
Voici la liste des principales solutions de téléconsultation médicale disponibles en 2021 avec en lien leurs différents hébergeurs:
- Qare : OVH 🇪🇺
- Doctolib : Vonage 🇺🇸
- Livi : Amazon Web Services 🇺🇸
- Maiia : CEGEDIM 🇪🇺
- Hellocare : Amazon Web Services 🇺🇸
- Médecindirect : Teladoc Health France SAS 🇪🇺
- MesDocteurs : OLAS Hebergement 🇪🇺
- Medadom : Amazon Web Services USA 🇺🇸
- Medaviz : OVH 🇪🇺
- Consulib : OVH 🇪🇺
- Leah : Claranet 🇪🇺
Concernant les 3 principaux acteurs Qare🇪🇺, Doctolib🇺🇸 et Livi🇺🇸, un seul est hébergé par un acteur relevant “uniquement du droit européen”.
Conséquences réglementaires européennes
Dézommons maintenant et inscrivons nous dans une échelle européenne.
Invalidation du Privacy Shield5
Le 16 juillet 2020, la CJUE a jugé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et sans réelle possibilité de recours. Elle en a déduit que les transferts de données personnelles depuis l’Union européenne vers les États-Unis sont contraires au RGPD et à la Charte des droits fondamentaux de l’Union européenne, sauf si des mesures supplémentaires sont mises en place ou si les transferts sont justifiés au regard de l’article 49 du RGPD (qui prévoit des dérogations dans des situations particulières).
Avis CNIL pour la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU)5
La Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont ensuite interrogé la CNIL sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis. Les outils collaboratifs comme Microsoft Teams incorpore des solutions des visio-conférences6.
Cette demande est donc analogue à la téléconsultation. Cette demande de conseil s’inscrit dans le prolongement de l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne (CJUE).
Les documents transmis par la CPU et la CGE à la CNIL font apparaître, dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des « suites collaboratives pour l’éducation ». Dans les établissements qui emploient ces outils, les données traitées concernent potentiellement un nombre important d’utilisateurs (étudiants, chercheurs, enseignants, personnel administratif), et ces outils peuvent conduire au traitement d’une quantité considérable de données dont certaines sont sensibles (par exemple des données de santé dans certains cas) ou ont des caractéristiques particulières (données de la recherche ou relatives à des mineurs).
La CNIL se proposait même d’apporter “toute l’aide nécessaire à ces organismes afin de leur permettre d’identifier des alternatives possibles”.
Avis de la CNIL
Marie-Laure Denis l’a encore dit encore le 12 octobre lors d’une audition à l’assemblée nationale7 :
Le collège de la CNIL est extrêmement attentif à ce que les données soient hébergées par des structures exclusivement soumises aux droits français et européen pour limiter l’accès aux données par des acteurs étrangers.
Cette doctrine constante était d’ailleurs énoncée dans le dernier référentiel8 sur les entrepôts de données de santé. Ainsi :
Seuls les entrepôts ayant recours à un sous-traitant relevant exclusivement des juridictions de l’Union européenne ou d’un pays considéré comme adéquat au sens de l’article 45 du RGPD sont conformes au présent référentiel.
Conclusion
Face aux GAFAM et notamment Amazon Web Service, Google et Microsoft nous traitons de problèmatiques juridique et de compliance entre l’Europe et les Etats-Unis. Ceci est largement indépendant des aspects techniques, de sécurité des systèmes d’information et même de pertinence médicale de ces téléconsulations.
La plupart des patient.e.s sont en insécurité juridique avec les solutions de téléconsultation largement utilisées. C’est même le secret médical qui n’est pas garanti.
Alors que de nombreuses solutions garantes de la confidentialité et de la sécurité juridique existent nous appelons le législateur à garantir la confiance des patient.e.s dans le système de soin.
-
Télémédecine : une avancée sociétale stoppée par un (en)jeu politique ! ↩
-
La CNIL appelle à des évolutions dans l’utilisation des outils collaboratifs états-uniens pour l’enseignement supérieur et la recherche ↩ ↩2
-
Microsoft Teams - À la maison, au travail ou à l’école, vos plus belles réalisations s’appuient sur le collectif ↩
-
Commission des lois : Mme Marie-Laure Denis, présidente de la CNIL ↩
-
Référentiel relatif aux traitements des données à caractère personnel mis en oeuvre à des fins de création d’un entrepôts de données dans le domaine de la santé ↩