- Le blog et les actualités de Witik
- Télémédecine et vie privée : les bonnes pratiques RGPD
- 1 - Télémédecine et vie privée : enjeux juridiques et responsabilités des acteurs
- 2 - Données de santé : une protection juridique renforcée
- 3 - Stockage sécurisé et transfert des données en télémédecine
- 4 - Responsabilité du choix des prestataires : vigilance accrue
- 5 - Gestion proactive de la sécurité des données
- 6 - Information et droits des patients
- 7 - Sanctions en cas de violation des obligations
- 8 - Une vigilance nécessaire pour un avenir serein
Télémédecine et vie privée : responsabilités, conformité et bonnes pratiques RGPD
:format(webp))
Télémédecine et vie privée : enjeux juridiques et responsabilités des acteurs
La télémédecine est aujourd’hui une réalité concrète, réglementée et de plus en plus répandue dans les pratiques de soins médicaux à distance.
Si elle présente des avantages incontestables en matière d’accessibilité aux soins, elle implique également une vigilance accrue en ce qui concerne la vie privée, la protection des données personnelles et le respect des droits des patients.
Définie par l’article L.6316-1 du Code de la santé publique comme une pratique médicale réalisée à distance via les technologies de l’information et de la communication, la télésanté inclut notamment la téléconsultation, la téléexpertise, la télésurveillance médicale, la téléassistance et la régulation médicale (décret n°2018-788 du 13 septembre 2018).
Cette avancée médicale présente cependant des défis majeurs concernant la protection des données personnelles des patients, encadrée strictement par le RGPD et par les lignes directrices de la CNIL
Données de santé : une protection juridique renforcée
Ces actes médicaux à distance génèrent naturellement une collecte importante de données personnelles sensibles, notamment des données de santé.
Les données de santé sont définies par la CNIL comme des informations relatives à la santé physique ou mentale d’une personne physique, révélant ainsi son état de santé. Leur traitement est en principe interdit par l’article 9 du RGPD, en raison de leur sensibilité. Toutefois, le RGPD prévoit plusieurs exceptions, notamment lorsque le patient a explicitement consenti au traitement, ou lorsqu’il s’agit de traitements nécessaires à la médecine préventive, au diagnostic médical, à l’administration de soins, à l’intérêt public en matière de santé publique, ou encore à la recherche scientifique (article 9, paragraphe 2, RGPD).
Stockage sécurisé et transfert des données en télémédecine
Le stockage des données issues des téléconsultations doit impérativement être réalisé auprès d’hébergeurs certifiés Hébergeurs de Données de Santé (HDS), conformément au décret n°2018-137 du 26 février 2018 et à l’article L.1111-8 du Code de la santé publique. Cette certification garantit la mise en œuvre de mesures techniques et organisationnelles strictes telles que le chiffrement ou la pseudonymisation des données personnelles, afin d’assurer leur sécurité, leur confidentialité et leur intégrité.
Les transferts de données présentent des risques spécifiques, notamment lors de l’utilisation de plateformes numériques situées hors de l’Union européenne. Suite à l’invalidation du Privacy Shield par la CJUE (arrêt Schrems II, 2020), l’utilisation de plateformes américaines nécessite désormais des garanties supplémentaires comme les Clauses Contractuelles Types (CCT), accompagnées de mesures techniques renforcées (chiffrement, pseudonymisation) et d’une évaluation rigoureuse des risques (Transfert Impact Assessment – TIA), selon les recommandations de la CNIL et du Comité Européen de la Protection des Données.
En France, la plateforme Doctolib, certifiée HDS, a notamment été autorisée sous conditions strictes à utiliser les services du fournisseur américain Amazon Web Services (AWS). La CNIL exige alors un chiffrement renforcé, des clauses contractuelles de confidentialité strictes, et une vigilance accrue via des évaluations régulières des risques. Les professionnels de santé doivent donc porter une attention particulière aux outils qu’ils utilisent dans leur pratique médicale à distance.
Responsabilité du choix des prestataires : vigilance accrue
L’article 28 du RGPD impose aux responsables de traitement (établissements de santé, professionnels de santé, plateformes de télémédecine) de recourir exclusivement à des prestataires capables d’offrir des garanties suffisantes en matière de sécurité et de protection des données personnelles des patients.
Ce choix engage directement la responsabilité du professionnel ou de la plateforme, qui doit s’assurer que les prestataires respectent les normes imposées par le droit européen et la CNIL.
Gestion proactive de la sécurité des données
Le RGPD exige des acteurs de la télésanté une approche proactive pour prévenir les risques liés à la sécurité des données personnelles, intégrant notamment des audits réguliers, la formation continue des professionnels de santé, et une application rigoureuse des principes de Privacy by Design (sécurité intégrée dès la conception) et Privacy by Default (paramétrage protecteur par défaut).
Cette exigence est renforcée par la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), élaborée par l’Agence du Numérique en Santé (ANS), qui propose quatre référentiels majeurs : identification électronique, authentification, imputabilité et auditabilité. Leur mise en œuvre est indispensable pour garantir la sécurité effective des données personnelles dans le cadre de la pratique médicale à distance.
Information et droits des patients
Conformément à l’article 12 du RGPD, les patients doivent être clairement informés sur le traitement de leurs données personnelles. Cette information doit être concise, accessible et compréhensible. Le médecin, l’établissement de santé ou la plateforme est tenu d’indiquer :
l’identité du responsable de traitement,
les finalités du traitement,
les destinataires des données,
les droits des patients (droit d'accès, droit à la rectification, droit d'opposition, suppression).
Cette obligation d’information participe à renforcer la confiance entre les professionnels médicaux et les patients, pilier fondamental de la télémédecine.
Sanctions en cas de violation des obligations
La CNIL exerce une vigilance constante sur le respect des obligations prévues par le RGPD, notamment dans le domaine de la santé et de la télésanté.
Elle a prononcé des sanctions RGPD significatives ces dernières années :
1,5 million d’euros contre Dedalus Biologie pour une fuite massive de données de santé en 2022,
800 000 euros contre CEGEDIM Santé en 2024 pour un traitement non autorisé.
De plus, plusieurs professionnels ont été sanctionnés pour non-respect des droits des patients. Ces sanctions, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83 RGPD), rappellent aux acteurs de la santé l’importance cruciale de la protection des données personnelles.
Une vigilance nécessaire pour un avenir serein
Si la télémédecine représente une avancée majeure pour l’accès aux soins et la modernisation des pratiques médicales, elle s’accompagne d’une responsabilité renforcée.
Respecter les règles de protection des données, assurer la sécurité des informations personnelles, et informer les patients de leurs droits sont autant de conditions nécessaires pour garantir la confiance dans ces nouveaux modèles de soins à distance.
Dans un contexte où les technologies évoluent rapidement (intelligence artificielle, objets connectés, dossiers médicaux partagés), faire de la télémédecine un véritable pilier de la santé numérique passe inévitablement par le respect du RGPD, des référentiels de la CNIL et des meilleures pratiques en matière de cybersécurité.
:format(webp))
)
)