Téléconsultation : comment assurer la sécurité des communications avec ses patients ?

Renaud GHIA, CEO de Tixeo, fait le point sur le cadre règlementaire de la sécurité des téléconsultations et nous livre ses conseils pour les professionnels de santé.

Ces dernières années, la télémédecine a connu de nombreux bouleversements. La crise sanitaire que nous traversons actuellement restera d’ailleurs un épisode clé dans l’évolution de ces pratiques : durant les mois de confinement, le nombre de téléconsultations a été multiplié par 100.

Cet engouement a été encouragé par les pouvoirs publics qui n’ont pas hésité à assouplir les règles relatives aux technologies utilisées. Mais dans certains cas, des solutions de visioconférence ont été adoptées dans la précipitation. La sécurité a alors été placée au second plan remettant ainsi en question les principes fondamentaux liés au secret médical.

Où en est-on en matière de règlementation concernant la sécurité dans l’usage de la téléconsultation ?

Jusqu’en 2018, la télémédecine s’exerçait dans un cadre expérimental. La gestion était notamment menée par les Agences Régionales de Santé. En septembre 2018 l’Assurance Maladie a donné le véritable coup d’envoi de la télémédecine en France en encadrant les actes de téléconsultation et de télé-expertise. Le texte adopté spécifiait notamment les conditions techniques liées à la protection des données médicales, mais également celles requises pour les solutions à utiliser. En tenant compte de ces prérequis, le médecin était libre de choisir la solution de téléconsultation ou de visioconférence médicale de son choix.

La crise sanitaire a de nouveau fait bouger les lignes : le 10 mars 2020, un décret est publié visant à faciliter l’accès aux téléconsultations médicales. Il spécifie notamment que les téléconsultations « peuvent être réalisées en utilisant n’importe lequel des moyens technologiques actuellement disponibles pour réaliser une vidéotransmission ». Le jour même sur France Info, le ministre de la Santé Olivier Véran va encore plus loin en annonçant la possibilité de contacter un médecin par FaceTime ou WhatsApp. L’urgence de la situation a ainsi fait oublier les problématiques de sécurité…

Cela sous-entend qu’il n’y a plus de cadre règlementaire concernant la sécurité des outils de téléconsultation ?

Non, le cadre règlementaire existe, il s’est même considérablement amélioré. Les hébergeurs de données de santé doivent par exemple être certifiés HDS (Hébergement des Données de Santé), ce qui signifie que l’hébergement doit être réalisé dans des conditions de sécurité adaptées à leur criticité.

A contrario, aucune certification ni labellisation ne sont recommandées par les autorités concernant les technologies qui pourraient garantir le secret médical dans le cadre de visioconférences médicales.

Le ministère de la Santé ou l’Assurance Maladie n’ont d’ailleurs jamais souligné la nécessité d’utiliser une solution de visioconférence médicale labellisée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Pourtant les informations échangées en direct lors d’une téléconsultation ou d’une télé-expertise peuvent souvent être considérées comme hautement confidentielles.

Dans ces conditions, quels sont les risques pour les médecins et leurs patients ?

L’assouplissement des règles a le mérite d’avoir facilité une pratique qui devenait vitale ces dernières semaines. Cette situation a malheureusement occulté l’importance des mécanismes de sécurité indispensables pour garantir le secret médical. Certains outils de télémédecine intègrent par exemple des systèmes de visioconférence traditionnelle qui sont régulièrement la cible d’attaques informatiques, notamment via les protocoles SIP ou H.323.

De même, on observe actuellement un foisonnement de nouvelles solutions de téléconsultation prétendant intégrer des flux audio et vidéo chiffrées de bout en bout. Ces éditeurs se contentent très souvent d’un simple chiffrement des données entre le patient et le serveur de visioconférence, ce qui n’est pas un réel chiffrement de bout en bout de patient à médecin.

Quels conseils donneriez-vous aux soignants souhaitant mener leurs actes de télémédecine à distance ?

Les soignants ne négligent pas la sécurité visant à protéger les données de santé de leurs patients et ils ont bien sûr raison. Je les invite néanmoins à protéger le secret médical dans le cadre des échanges effectués en téléconsultation.

Il faut ainsi opter pour une solution qui intègre un vrai chiffrement de bout en bout afin de garantir une stricte confidentialité des informations échangées durant une visioconférence. Une visioconférence médicale sous-entend bien sûr un dialogue entre un patient et un médecin (audio/vidéo), mais implique également l’échange de textes et le transfert de documents (data).

Pour aller plus loin et en l’absence de législation, il est recommandé de choisir un outil labellisé par l’ANSSI*, seule autorité à garantir la fiabilité et la sécurité d’une solution, comme TixeoCare, et qui intègre une architecture unique permettant, y compris en réunion multipoint, un réel chiffrement de bout en bout (de client à client) des flux audio, vidéo & data tout en passant par un serveur (End-to-End encryption AES 256).