N°10, Juin 2018
Article publié par notre expert, le Docteur Pierre SIMON (Medical Doctor, Nephrologist, Lawyer, Past-president of French Society for Telemedicine) , auteur d’un ouvrage sur la Télémédecine
On ne peut passer sous silence ce 25 mai 2018, date de la mise en place de la Réglementation Générale sur la Protection des Données (RGPD). Après l’affaire de violation de dizaines de millions de données personnelles sur Facebook, cette directive européenne arrive à point nommé pour protéger la vie privée des citoyens et des patients à l’heure du traitement des data par l’Intelligence artificielle (IA). Cette réglementation s’applique à toutes données personnelles, notamment aux données de santé à caractère personnel. La France a déjà une réglementation robuste depuis la création de la CNIL en 1978 et la loi sur les droits des personnes malades du 4 mars 2002, dite loi « Kouchner ». Le but de ce nouvel article est d’évaluer l’impact de cette RGPD sur les pratiques de télémédecine et de santé connectée qui bénéficient aux patients. Il s’inspire du récent article paru sur le site de la CNIL.
L’exercice du droit d’information en télémédecine et en santé connectée
Il n’y a pas de consentement sans information préalable. Le médecin a le devoir d’informer son patient avant toute pratique médicale, quelle qu’elle soit, à visée préventive, diagnostique et thérapeutique, sur les bénéfices et les risques de ce qui lui est proposé. Le patient a le droitd’avoir cette information avant de donner son consentement au médecin.
Les droits du patient et les devoirs du médecin s’appliquent à la télémédecinecomme le rappelle le décret du 19 octobre 2010 à l’article R.6316-2 du Code de la santé publique (CSP) : les actes de télémédecine sont réalisés avec le consentement libre et éclairé de la personne, en application notamment des dispositions des articles L. 1111-2 et L. 1111-4 (articles du CSP consacrés aux droits des patients). Le consentement à la télémédecine ne peut être « éclairée » que si l’information, tant sur la pratique médicale en générale que sur la pratique spécifique de la télémédecine, a bien été délivrée.
Le Code de déontologie médicale, à son article R.4127-35 du CSP, rappelle que le médecin doit à la personne qu’il examine, qu’il soigne ou qu’il conseille une information loyale, claire et appropriée sur son état, les investigations et les soins qu’il lui propose.
Les récentes recommandations de la HAS sur les pratiques de la téléconsultation et de la téléexpertise asynchrone montrent que ces pratiques ne peuvent pas être réalisées sans que le patient concerné ait été informé sur les bénéfices et les risques, et ait donné ensuite son consentement. Sans revenir sur l’évaluation du service médical rendu (SMR) à un patient par la télémédecine clinique, à laquelle le patient doit participer, il faut reconnaître que ce sont bien la téléconsultation programmée et la téléexpertise asynchrone de 1er ou de 2ème niveau (et bientôt de 3ème niveau) qui ont le rapport bénéfices/risques le plus favorable.
Comme nous l’avons souvent rappelé, la téléconsultation immédiate comporte plus de risques d’erreur médicale que la téléconsultation programmée, qui s’inscrit dans un parcours de soins coordonnés, alternant les téléconsultations et les consultations en face à face. La téléconsultation programmée respecte l’art.R.6316-3 du CSP, à savoir l‘accès des professionnels de santé aux données médicales du patient nécessaires à la réalisation de l’acte de téléconsultation, bientôt le DMP.
Les organisateurs de plateformes de téléconsultations, qu’elles soient programmées ou immédiates, doivent aujourd’hui se mettre en conformité avec la RGPD :
L’information doit être concise, lisible, facilement accessible et adaptée lorsqu’il s’agit de patients âgés et/ou handicapés. L’organisateur doit clairement afficher sa politique de confidentialité, c’est à dire la manière dont les données de santé à caractère personnel qui ont été collectées pendant l’acte de téléconsultation sont protégées.
Chaque organisme doit identifier un délégué à la protection des données personnelles qui puisse être contacté par le patient s’il a des questions à lui poser. L’organisme doit informer sur l’utilisation qu’il fera des données personnelles collectées avec le consentement des patients concernés: les transfére-t-il dans le DMP ? Les transfère t’il directement au médecin traitant ? Les héberge-t-il ? Et si oui, chez quel hébergeur ? Le consentement au mode d’hébergement des données a-t-il été obtenu préalablement ? Des tiers (tenus au secret professionnel) auront-ils accès à ces données ? Les modalités d’accès aux droits des patients doivent être clairement décrites par l’organisateur de la plateforme de téléconsultation.
Les plateformes de téléconseil médical devront faire apparaître les mêmes informations.
L’organisateur de la plateforme de téléconseil ou de téléconsultation, en particulier les complémentaires santé ou d’assureurs qui offrent ce service en garantie, doit très clairement indiquer l’utilisation qu’il fera de ces données pour que le patient puisse exercer ses droits, notamment celui au retrait du consentement à tout moment.
En matière de santé connectée, les offreurs de services de télésurveillance des maladies chroniques à domicile doivent donner les informations utiles à la compréhension de l’algorithme et sa logique lorsqu’il y a une décision automatisée, avec l’envoi d’alertes graduées sur la plateforme de télésurveillance et les conséquences sur la personne concernée par cette télésurveillance médicale.
Si l’organisateur des solutions de télémédecine subit de manière accidentelle ou illicite une violation des données de santé à caractère personnel, il doit le signaler à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des patients concernés. Si ces risques sont élevés, l’organisme doit également en informer les patients le plus rapidement possible.
L’exercice du droit d’opposition en télémédecine et en santé connectée.
Tout patient a le droit de s’opposer à l’utilisation par un organisme de télémédecine ou de santé connectée de ses données de santé à caractère personnel.
Le droit d’opposition doit se faire auprès du délégué à la protection des données personnelles de l’organisme.
Dans quelles circonstances ce droit d’opposition peut-il s’exprimer ? Elles sont nombreuses et on peut citer quelques unes parmi les plus sensibles.
Lorsqu’un patient accepte en garantie d’un complément d’assurance l’accès à une plateforme de téléconsultation immédiate, il peut craindre que ses données de santé soient utilisées par l’assureur pour évaluer ses risques en santé… Ces données de santé sont normalement garanties par le secret professionnel et aucune personne administrative de l’assurance ne peut avoir accès à ces données. S’il a des doutes, il peut en référer au délégué à la protection des données et lui signifier son opposition à toute utilisation, laquelle serait de toute façon illégale.
De même dans l’usage du DMP pour le suivi médical, il peut exercer son droit à l’oubli pour certaines pathologies qu’il ne souhaite pas conserver dans son DMP dont il est propriétaire. C’est l’hébergeur du DMP qui a désormais le devoir de faire connaître le délégué à la protection des données auquel le patient pourra s’adresser pour exercer son droit d’opposition ou son droit à l’oubli.
Dans l’usage des applis mobiles en santé pour le suivi de certaines pathologies chroniques telles que le diabète, l’hypertension artérielle, la maladie asthmatique, le cancer en rémission, etc. le patient doit rester vigilant et vérifier que ses données de santé ne soient pas utilisées à des fins commerciales ou de recherche sans qu’il en ait été informé et ait donné un éventuel consentement.
Dans l’usage des dispositifs médicaux pour la télésurveillance des maladies chroniques, la transparence sur le contenu de l’algorithme doit être obtenue. Les promoteurs du dispositif médical doivent donner les informations utiles à la compréhension de l’algorithme et sa logique lorsqu’il y a une décision automatisée vers une plateforme de télésuivi.
On pourrait multiplier les exemples. A l’ère du « Dataïsme » où le traitement des datas par l’IA va représenter dans les prochaines années une source importante de richesse pour certains organismes, la RGPD permet aujourd’hui aux citoyens et patients d’exercer leurs droits à l’information et à l’opposition sur le traitement de leurs données de santé à caractère personnel. Ces droits sont à l’évidence renforcés.
Nous remercions vivement le Docteur Pierre SIMON (Medical Doctor, Nephrologist, Lawyer, Past-president of French Society for Telemedicine) , auteur d’un ouvrage sur la Télémédecine, pour partager son expertise professionnelle pour nos fidèles lecteurs de www.managersante.com
Nous remercions vivement le Docteur Pierre SIMON (Medical Doctor, Nephrologist, Lawyer, Past-president of French Society for Telemedicine) , auteur d’un ouvrage sur la Télémédecine, pour partager son expertise professionnelle pour nos fidèles lecteurs de www.managersante.com
Julien LEVAVASSEUR, Président de la plateforme média digital d’influence ManagerSante.com tient à remercier vivement le Docteur Pierre SIMON pour partager régulièrement ses articles passionnants concernant la Télémédecine sur notre plateforme média digitale d’experts.
Et suivez l’actualité sur www.managersante.com, partenaire média digital
Officiel du Salon Européen
Paris-Porte de Versailles [#Expoprotection] du 06>08 Novembre 2018