Les messageries instantanées : Comment bien protéger ses données de santé ?

Elles ne vous sont pas inconnues ! WhatsApp, Signal, Telegram pour n’en citer que trois sont des applications de messageries instantanées. Elles sont à la portée de tous, faciles à prendre en main et se sont fait une place dans le quotidien des infirmiers libéraux. Pourtant, leur utilisation pose problème dans le domaine de la santé. En effet, ces applications de messagerie instantanée ne sont pas conformes aux normes françaises de sécurité des données de santé.

Mais alors, pourquoi leur utilisation s’est-elle autant démocratisée ? Et quels risques y a-t-il à les utiliser ? Ce phénomène, serait-il le résultat d’un manque d'outils adaptés ?

Ces applications ne sont pas conformes aux normes de sécurité française

"Mais pourtant, il est dit qu’elles sont chiffrées de bout en bout"

Les messageries instantanées ont vite été adoptées dans le cadre professionnel et particulièrement dans le domaine de la santé. L’arrivée du Covid-19 et les confinements ont joué un rôle important dans l’adoption de cette pratique. Simples et mobiles, on utilise ces applications pour de multiples raisons : demander un avis à son collègue, partager une information ou encore avertir de son retard.

Jusque-là, tout va bien, c’est sur le plan de la réglementation des données de santé que les choses se compliquent. Selon l’article R1112-7 du code de la santé : “ Les informations concernant la santé des patients sont soit conservées au sein des établissements de santé qui les ont constituées, soit déposées par ces établissements auprès d’un hébergeur.

Le directeur de l’établissement veille à ce que toutes les dispositions soient prises pour assurer la garde et la confidentialité des informations conservées ou hébergées.”.

Dans notre cas, les données qui circulent sur ces applications sont hébergées sur des serveurs étrangers, c’est notamment le cas de Whatsapp qui les stocke aux Etats-Unis. Le risque ici est que ces données atterrissent dans les mains des géants du numérique, qui les utiliseraient à des fins commerciales. À cela s’ajoute, le risque que ces données puissent être accessibles par d'autres personnes non autorisées : si l’on part du principe qu’il s’agisse du téléphone personnel du soignant ses enfants peuvent y avoir accès, les partager ou les modifier sans faire attention.

"Mais pourtant, il est dit qu’elles sont chiffrées de bout en bout". C’est totalement juste mais cette sécurité n’est pas reconnue comme suffisante aux yeux des autorités françaises. Ces applications dans leur conception même peuvent augmenter le risque d'erreur. Elles utilisent la liste de contact du téléphone qui ne contient pas uniquement les coordonnées des professionnels de santé, mais aussi les contacts personnels. De ce fait, il existe une faille où potentiellement des erreurs peuvent être commises par inadvertance.

À qui il n’est jamais arrivé de prévenir sa collègue de son retard chez Monsieur X ? Cette information aussi anodine qu’elle paraisse est une donnée de santé car selon la Commission Nationale Informatique et Liberté (CNIL) “une conséquence peut être tirée sur l’état de santé de la personne”. On pourrait être tenté de penser qu’il suffirait simplement de ne pas nommer les patients lors des échanges, et bien là encore la tâche ne s’annonce pas si simple. Des initiales, un signe distinctif sur une photo ou encore une photo géolocalisée à son domicile suffit pour rompre l'anonymat du patient.

C’est pour toutes ces raisons, que l’utilisation de ces messageries grand public peuvent avoir de lourdes conséquences pour les professionnels de santé dont les libéraux.

Les risques encourus par les soignants faisant défaut à la législation

Les données de santé : un véritable trésor

Les infirmiers libéraux peuvent faire face à plusieurs sanctions qui peuvent être prises en cas de défaut à la législation. Vincent Lautard, infirmier et juriste en droit de la santé écrit à ce sujet : “ En cas […] de fuite d’information concernant (le patient), lié à l’utilisation d’une messagerie privée, la responsabilité disciplinaire, civile et/ou pénale du professionnel de santé pourra être engagée.”

En effet, une absence de déploiement de mesures de sécurité ou de négligence dans ce déploiement, est considérée comme une atteinte grave à la protection de la vie privée des patients. Les sanctions applicables dans ces cas-là peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende selon l’Article 226-17 du Code pénal et 1 an d'emprisonnement et 15 000 € d’amende en cas de violation du secret médical.

Il ne s’agit pas seulement de théorie, cette affaire le démontre bien : en 2017, en tapant son nom sur le moteur de recherche Google, une patiente de l'hôpital Nord de Marseille tombe sur le dossier de naissance de son fils né 5 ans plus tôt. Observations médicales, numéro de sécurité sociale, dossiers médicaux, toutes les informations de l’état de santé de son fils étaient accessibles librement. Après avoir déposé plainte pour violation du secret professionnel, une enquête a été menée. En juin 2017, la pédiatre à l’origine de la fuite a été condamnée à 5 000 euros d’amende par le tribunal de grande instance.

Si les données de santé sont aussi réglementées, c’est parce qu’elles représentent un véritable trésor pour les pirates du web. Pour les cybercriminels, il s’agit de millions d’informations facilement accessibles qui peuvent être vendues à prix d’or. Cela représente un véritable marché où circulent des millions de données avec une économie conséquente à l’insu des patients.

Néanmoins, il existe des solutions adaptées et reconnues aux yeux de la réglementation française en matière de données de santé.

Alternatives sécurisées : comment bien choisir son application

Les messageries de santé certifiées sont soumises à des niveaux de sécurité très élevés

L’optimisation des outils de travail est un véritable enjeu pour chaque professionnel et ce d’autant plus pour les libéraux afin de se concentrer sur leur cœur de métier. De nos jours, si les applications mobiles sont préférables au papier, c’est parce que ces dernières répondent à des besoins non négligeables, reste encore à ce qu’elles soient reconnues et légales. Il n’y a aucun doute quant au fait que le partage des données de santé soit essentiel pour apporter la meilleure expérience de soin au patient. Aux yeux des infirmiers libéraux, ces données fluidifient le parcours de soin, car elles permettent de mieux connaître la personne soignée et de garantir un suivi optimal.

Comme nous l’avons vu un peu plus haut, ces applications de messagerie grand public sont pratiques, mais ne s'adressent pas aux soignants. Cependant, il existe des outils professionnels répondant aux normes de sécurité et aux besoins organisationnels de ces derniers. En effet, à la différence de ces applications, les messageries de santé certifiées sont soumises à des niveaux de sécurité très élevés. Leur utilisation est obligatoire en matière de données de santé. Bien qu’elles soient peu répandues, elles assurent désormais l’échange de ces données entre collaborateurs dans des conditions réglementées. On se rappelle d’ailleurs qu’il est de la responsabilité du soignant de “ veiller à ce que toutes les dispositions soient prises pour assurer la garde et la confidentialité des informations conservées ou hébergées” comme le dispose l’article R1112-7 du code de la santé.

De nombreuses solutions sont conçues pour les IDEL et leur permettent de gagner du temps, centraliser les informations tout en respectant les normes de sécurité. Pour cela, elles doivent posséder un système de protection des données avancé et la certification Hébergeur de Données de Santé délivrée par l’Agence du Numérique en Santé, c’est notamment le cas d’Ozzen. L’application a été conçue avec l’aide d'infirmiers libéraux afin d'apporter un outil sur-mesure répondant aux besoins spécifiques de la profession. En plus d’être un moyen de communication fiable au sein du cabinet, l’application permet de faire sa tournée, stocker des documents, faire du suivi de plaie, et ce, totalement gratuitement, seul le forfait télétransmission depuis le téléphone portable est payant.

Privilégiez une application sécurisée pour travailler ainsi en toute sérénité.