Ressources scientifiques

Téléconsultations via WhatsApp, FaceTime ou Skype : les professionnels de santé trop naïfs ?

Dr Benchimol Yéhouda3 février 2022

Généralités

La pandémie de SARS-CoV-2 que nous traversons a suscité de nombreux débats, controverses et protestations. Les thèmes les plus débattus au pays des droits de l’homme sont naturellement le traçage des personnes porteuses du Coronavirus et de leurs cas contacts (via les applications StopCovid et TousAntiCovid), la collecte de données personnelles de santé (Mon Espace Santé), la liberté de se faire vacciner et de circuler, voire même le sens de la démocratie.

On peut considérer sans difficulté que ces débats sont plutôt sains et légitimes dans une démocratie comme la nôtre, devant l’apparition subite d’autant d’innovations technologiques et médicales. Dans le domaine de la santé, les questions d’éthique et de libertés fondamentales font le quotidien des professionnels de santé.

Submergé lors de la première vague de Covid-19, le gouvernement a autorisé au personnel soignant par la voix de son ministre de la santé l’utilisation d’applications telles que WhatsApp, FaceTime ou Skype (“ces applications” pour la suite de l’article) pour la pratique de téléconsultations, mais cela à titre exceptionnel. Il peut paraître étonnant que dans le brouhaha ambiant, peu de voix se sont élevées pour dénoncer les failles ouvertes dans ce domaine.

Des professionnels de santé, médecins ou sages-femmes, se sont engouffrés dans cette brèche, curieusement attirés par l’utilisation d’applications gratuites, malgré la mise en place d’une aide financière auprès de l’Assurance Maladie par l’intermédiaire de la Rémunération sur Objectifs de Santé Publique (ROSP).

A leur décharge, il faut noter que les autorités compétentes (HAS, Ameli, CNOM, Ministère de la santé, ANS, CNIL) ne leur fournissent que peu d’informations claires à ce sujet tandis que la Direction générale de la santé de son côté ne manque pas de les harceler de mails d’alerte “DGS-Urgent” (27 mails rien qu’en janvier 2022…) sur d’autres sujets.

Une partie des professionnels de santé ignore donc les garanties de sécurité requises pour l’exercice de la télésanté de même que les conséquences liées à leur violation. Ainsi, ces professionnels continuent à confier à ces plateformes les données de santé de leurs patients en leur accordant une confiance aveugle en matière de sécurité et de confidentialité.

A ce manque d’intérêt et d’information s’ajoute le fait que la plupart des solutions de téléconsultation qui sont conformes à la réglementation sont trop couteuses. En effet, elles deviennent rentables uniquement lorsque les téléconsultations sont réalisées à la chaîne ou avec un dépassement d’honoraires. L’avenant N°9 à la convention médicale qui vient plafonner à 20% le volume d’activité conventionnée autorisée à réaliser à distance ne correspond pas à la réalité du terrain en temps de pandémie pour certaines spécialités comme la psychiatrie.

Cet article a pour objectif d’alerter les professionnels de santé ainsi que leurs patients sur la réalisation de téléconsultations via ces applications, afin qu’ils puissent faire un choix éclairé d’une solution leur permettant un échange d’informations de santé en toute sécurité et en toute transparence.

WhatsApp

Caractéristiques techniques

Il s’agit d’une application mobile de messagerie instantanée et de visioconférence, chiffrée de bout en bout, utilisée aussi bien via les réseaux de téléphonie mobiles que par Internet.

En février 2014, WhatsApp est rachetée par Facebook (Meta) pour un montant d’environ 22 milliards de dollars.

Le logiciel est compatible avec les systèmes d’exploitation Android, iOS, Windows et macOS.

L’application utilise le carnet d’adresses des contacts de l’utilisateur et le fait correspondre à sa base de données interne pour constituer une liste de contacts disponibles sur la plateforme.

Sécurité et protection des données personnelles

WhatsApp se sert du numéro de téléphone comme identifiant unique (le votre et celui de votre patient) ce qui peut poser un problème de confidentialité sur les données récupérées et croisées avec d’autres données personnelles.

L’application s’est trouvée à plusieurs reprises au centre de vives critiques portant sur sa sécurité informatique et sur la confidentialité des informations personnelles qui y sont échangées. Elle a également servi de support à plusieurs campagnes de diffusion de fausses informations (fake news) dans plusieurs régions du monde.

Le chercheur américain Thomas Boetler a déclaré avoir trouvé dans WhatsApp une “porte dérobée” qui lui permettait de connaître le contenu des échanges. L’information a été démentie par WhatsApp ce qui est évidement impossible à vérifier.

FaceTime

Caractéristiques techniques

FaceTime est une application de visioconférence développée par Apple.

Le logiciel est compatible avec les systèmes d’exploitation iOS, iPadOS, macOS ainsi que Windows et Android.

L’application a déjà fait l’objet dans le passé d’une faille de sécurité où un appelant a vu et entendu un autre utilisateur qui n’a pas décroché.

Skype

Caractéristiques techniques

Skype est un logiciel qui permet aux utilisateurs de passer des appels téléphoniques ou vidéo via Internet, ainsi que le partage d’écran.

Le trafic de données de Skype est chiffré et utilise des algorithmes de cryptographie difficiles à casser.

Entre le 10 mai et le 14 octobre 2011, Skype est rachetée par Microsoft pour un montant d’environ 8,5 milliards de dollars.

Le compte utilisateur permettant de se connecter à Skype ne peut pas être supprimé via l’interface, l’utilisateur a seulement la possibilité d’effacer ses informations personnelles de son profil afin de ne plus être trouvé dans l’annuaire.

Sécurité et protection des données personnelles

Étant largement répandu et très utilisé, Skype est ciblé par des logiciels malveillants ainsi que par des logiciels d’espionnage.

Skype s’est trouvée à plusieurs reprises au centre de vives critiques portant sur sa sécurité informatique, car Skype se sert de certains utilisateurs pour relayer les communications d’autres utilisateurs et manque de transparence sur ses liens commerciaux.

Modèles économiques des GAFAM

L’utilisation de WhatsApp, FaceTime et Skype est gratuite, seulement en apparence. Rien n’est en réalité vraiment gratuit pour les utilisateurs des plateformes GAFAM (Google, Amazon, Facebook, Apple, Microsoft), il y a toujours des contreparties aux services qui vous sont si gentiment offerts.

L’objectif des GAFAM, entreprises cotées en bourse, est de faire du profit et pas vraiment de vous offrir des cadeaux. En faisant appel à leurs services “gratuits” vous devenez, sans vous en rendre compte, la cheville ouvrière qui nourri la bête en données personnelles.

Il n’est nullement interdit de faire du profit, loin s’en faut, mais la manière d’y procéder pose de nombreuses questions, à nous, professionnels de santé, patients, mais surtout aux institutions judiciaires américaines et européennes qui contribuent à la régulation de l’économie et de la concurrence.

Lorsque vous utilisez ces applications, plusieurs données sont collectées à l’insu des utilisateurs peu avertis :

  • Vous (professionnels de santé et patients) fournissez vos données personnelles en vous inscrivant à ces plateformes. Une fois inscrits, les plateformes identifient tous vos contacts également inscrits, ce qui leur permet un croisement de données ;
  • Vos échanges par messagerie et vidéo sont souvent stockés sur les serveurs. Leurs contenus peuvent être décryptés par ces mêmes plateformes ;
  • Vous et vos patients êtes géolicalisés et tracés par ces applications.

Une fois vos données personnelles et géographiques recueillies (professionnels de santé et patients), elles sont déposées dans leurs serveurs puis échappent à tout contrôle ultérieur.

L’ensemble de ces données est exploité pour un ciblage publicitaire et est valorisé par leur croisement avec d’autres données personnelles afin de rendre compte aux actionnaires de ces plateformes. Plus la plateforme se développe plus elle devient avide de vos données personnelles. De plus, les changements des règles du jeu survenant au fur et à mesure du développement de la plateforme sont monnaie courante.

Ces modèles économiques qui passent outre les réglementations mènent à la réalisation de bénéfices illégaux au dépens de plus petits sites ou d’entreprises, qui elles se sont donné la peine de se mettre en conformité avec la réglementation française et européenne. Pour cela elles introduisent sur leur bannière de recueil de consentement une information loyale et des boutons “accepter”, “refuser” ou “continuer sans accepter” conformes.

Le secret médical

Le secret médical est défini dans l’article 4 (article R.4127-4) du code de la santé publique :

« Le secret professionnel, institué dans l’intérêt des patients, s’impose à tout médecin dans les conditions établies par la loi.

Le secret couvre tout ce qui est venu à la connaissance du médecin dans l’exercice de sa profession, c’est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu’il a vu, entendu ou compris. »

Ordre des médecins

Voici typiquement un commentaire que l’on peut retrouver dans les réseaux sociaux lorsque l’on se pose la question de la légalité d’utilisation de ces applications :

« Ma dernière téléconsultation pour une mamie cancéreuse et déprimée qui refuse pour l’instant un antidépresseur à visée anxiolytique, j’ai prescrit du yoga quotidien. Elle et moi n’en avons strictement rien à faire que Facebook soit au courant si ça fait plaisir à Mark Zuckerberg pourquoi pas (si on peut rendre service). »

Hippocrate 2022

L’utilisation de WhatsApp, FaceTime ou de Skype offre à ces plateformes la possibilité d’identifier les personnes concernées par la téléconsultation, le médecin, sa spécialité, le patient, son état de santé, la fréquence des téléconsultations, les contacts de la personne malade… une quantité importante d’informations, qui croisés avec des données personnelles provenant d’autres sources, les valorisent pour faire le bonheur des GAFAM.

On peut comprendre assez facilement que le risque de violation du secret médical existe à chaque utilisation de ces applications. De plus, ces échanges offrent gratuitement des informations stratégiques aux GAFAM dans la bataille commerciale menée sur la santé numérique de demain.

Applications non agréées à l’Hébergement de données de santé

Lorsque vous réalisez un acte de télésanté, des informations et des documents médicaux sont susceptibles d’être conservés sur les serveurs des plateformes utilisées.

Les données personnelles de santé sont des données sensibles. En France, le stockage des données médicales est régi par des règles strictes. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. Ces données doivent être gérées par un hébergeur agréé aux données de santé.

La certification HDS (Hébergement de données de santé) a pour vocation de renforcer la protection des données de Santé à caractère personnel et de construire un environnement de confiance autour de l’e-Santé et du suivi des patients. Elle s’appuie sur des référentiels incluant le respect de normes iso et permet de délivrer une certification par un organisme indépendant accrédité à toute structure ou organisme hébergeant des données de santé.

Le stockage des données, messages et éléments échangés sur les plateformes des GAFAM s’effectue sur des serveurs non agréés HDS et à fortiori non situés en France. De plus, l’hébergement des données dans leurs serveurs est soumis à la réglementation américaine (le Cloud Act ou “Clarifying Lawful Overseas Use of Data Act”). Vous ne pouvez donc pas être certain de la finalité du traitement de vos données et de celles de vos patients.

Applications non conformes au RGPD

Afin de pouvoir connaître avec précision la finalité du traitement qui est fait des données recueillies par ces différentes plateformes la réglementation européenne oblige ces dernières à vous fournir une information complète, loyale et transparente sur l’utilisation des Cookies ou autres traceurs qui sont déposés sur votre téléphone, tablette ou ordinateur. Les Cookies et les traceurs enregistrent toutes sortes d’informations, comme par exemple vos préférences de navigation et les sites visités.

En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui est le régulateur des données personnelles. La CNIL accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits. Sur le territoire de l’union européenne c’est le RGPD (Règlement Général sur la Protection des Données) qui encadre le traitement des données personnelles.

Le règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’union européenne en se fondant sur la confiance des utilisateurs.

Bien qu’étant toutes des entreprises américaines, WhatsApp, Facetime et Skype sont tenues de respecter le RGPD vis-à-vis de leurs utilisateurs européens. Cependant, la CNIL n’a qu’une emprise partielle sur leurs pratiques et éprouve des difficultés pour tenter de faire respecter le RGPD, y compris lorsqu’elle s’associe aux instances européennes équivalentes.

Violation du RGPD

En cas de litige, le mécanisme du “guichet unique” prévu par le RGPD stipule qu’une société traitant des données dans un contexte transfrontalier n’a pour interlocutrice qu’une seule autorité de protection des données, à savoir l’autorité de l’État membre dans lequel est situé son établissement principal.

La Data Protection Commission (DPC), l’équivalent irlandais de la CNIL, sous l’impulsion du Comité européen de la protection des données, a infligé une amende record de 225 millions d’euros à WhatsApp le 2 septembre 2021. Il lui a été reproché la violation de quatre dispositions du RGPD.

Ainsi, la DPC a estimé que WhatsApp ne traite pas les données personnelles de ses utilisateurs de “manière licite, loyale et transparente” et qu’elle n’a pas fournit d’informations sur la manière avec laquelle les données sont collectées, stockées et transférées à des tiers et à sa maison mère Facebook (Meta). Par ailleurs, WhatsApp devait désormais réécrire sa politique de confidentialité afin d’ajouter les dispositions manquantes ou rendre celles déjà existantes plus claires pour les utilisateurs.

WhatsApp a fait appel de la décision mais a ajusté sa politique de confidentialité, sans pour autant tout bouleverser. L’application n’a fait que détailler et clarifier ses conditions d’utilisation vis-à-vis de ses nombreux utilisateurs européens, faisant ainsi acte de transparence, tout en soulignant que rien ne change dans la manière dont les données de ses utilisateurs sont traitées.

Ces modifications n’ont pas satisfait la Commission européenne et le réseau de coopération en matière de protection des consommateurs (CPC) qui ont demandé à WhatsApp une fois de plus de clarifier les modifications apportées en 2021 à ses conditions générales d’utilisation (CGU) et à sa politique de confidentialité. La Commission européenne laisse ainsi à WhatsApp jusqu’à fin février pour revenir vers elle avec “des engagements concrets sur la manière dont ils répondront aux préoccupations”, à savoir, faire comprendre aux utilisateurs ce qu’ils acceptent et comment leurs données personnelles sont utilisées, en particulier lorsqu’elles sont partagées avec des partenaires commerciaux.

De son coté, la CNIL a infligé une amende record à Facebook (Meta) et à Google le 6 janvier 2022, d’un montant respectif de 60 et de 150 millions d’euros pour leur pratiques de recueils biaisés du consentement des internautes à ce que l’on collecte et exploite leurs données.

Un article publié récemment par Bloomberg, relayant un rapport du cabinet DLA Piper, indique que 2021 a été une année record pour les amendes RGPD en Europe. En effet, celles-ci ont totalisé 1,1 milliard d’euros, contre “seulement” 158,5 millions d’euros en 2020.

Le nombre de fuites de données va lui aussi de record en record et semble augmenter partout dans le monde, aussi bien aux États-Unis que dans l’Union européenne, et ceci dans tous les secteurs d’activité.

L’augmentation record du nombre et des montants des amendes infligées pour violations du RGPD d’une part, et des fuites de données d’autre part, témoigne d’une pression croissante exercée par des entreprises peu scrupuleuses pour la requête de données de santé à des fins stratégiques.

Quels sont les critères obligatoires pour la sécurisation des données des logiciels de télémédecine ?

L’agence du numérique en santé (ANS) a publié le 13 juillet 2021 le nouveau référentiel fonctionnel de télésanté. Ce référentiel s’adresse à tout acteur souhaitant faire le développement ou l’acquisition d’un logiciel de télésanté. Il vise exclusivement à définir les fonctionnalités clés d’un logiciel de télésanté et à rappeler ou préciser le cadre réglementaire et les enjeux nationaux dans lesquels ces fonctionnalités doivent s’inscrire.

Ainsi, les critères définis comme obligatoires pour la sécurisation des données de santé sont les suivants :

Le système doit être certifié HDS ou l’hébergeur de son serveur doit être certifié HDS

Les données de santé à caractère personnel doivent être conservées sur un environnement HDS.
Si le système d’information héberge, même sur une période courte, des données personnelles de santé, il doit être certifié HDS ou l’hébergeur de son serveur doit être certifié HDS. Ces derniers doivent être agréés ou certifiés pour l’hébergement de données de santé, conformément aux articles L.1111-8 et R.1111-8-8 et suivants du code de la santé publique, ainsi qu’à l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel (ou aux anciens articles R.1111-9 et suivants pour les hébergeurs agréés).

Le système doit être en conformité avec les exigences de l’ensemble des réglementations et référentiels applicables aux systèmes d’information de santé

Le responsable de traitement doit régulièrement évaluer le niveau de sécurité du système d’information de télémédecine au regard de l’ensemble des réglementations et référentiels qui lui sont applicables. Ex: RGPD, PGSSIS, Hébergement de données de santé, etc. Il s’assure de la conformité du système d’information de télémédecine à toutes ces exigences.

Le système doit garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données personnelles de santé

Le responsable de traitement doit effectuer de façon régulière une analyse de risque du système d’information de télémédecine qui porte notamment sur la confidentialité, l’intégrité, la disponibilité des données manipulées, échangées ou stockées ainsi que la traçabilité des actions réalisées. Sur la base de cette analyse, il prend les mesures nécessaires pour garantir la sécurité du système d’information de santé.
La fréquence avec laquelle est pratiquée cette analyse est à déterminer par le responsable de traitement en fonction du contexte et des éventuelles mises à jour et montées de version effectuées.

Conclusion

L’utilisation de ces différentes applications pour la réalisation d’actes de de télésanté laisse la porte ouverte à une utilisation frauduleuse des données du professionnel de santé ainsi que de celles de ses patients non avertis. Elle ne répond pas aux obligations de protection des données de santé à caractère personnel prévues par la règlementation européenne (RGPD) et française (loi CNIL) et ne garanti pas leur confidentialité. Elle ne répond pas aux obligations de la réglementation française d’hébergement de données de santé et risque la violation du secret médical. Elle pérennise un système responsable d’une distorsion de concurrence et d’abus de position dominante. Elle affaibli la souveraineté numérique de la France.

A présent vous pouvez procéder à un choix éclairé, librement, consciencieusement, éthiquement…

Crédit photo

Photo by Nathan Dumlao on Unsplash

Sources

https://fr.wikipedia.org/

https://fr.wikipedia.org/

https://fr.wikipedia.org/

https://www.ameli.fr/

https://solidarites-sante.gouv.fr/

https://esante.gouv.fr/

https://esante.gouv.fr/

https://esante.gouv.fr/

https://www.conseil-national.medecin.fr/

https://www.cnil.fr/

https://www.usine-digitale.fr/

https://www.clubic.com/

https://www.lesnumeriques.com/

https://www.lesechos.fr/

https://www.lebigdata.fr/

https://www.bloomberg.com/

https://www.presse-citron.net/

https://www.lebigdata.fr/

À lire aussi
Top
Informations Coronavirus
Vaccination
Dépistage