Qu'est-ce que les données de santé ?
Une donnée de santé correspond à toute donnée qui renseigne de façon directe ou indirecte sur un état de santé. L’usage qui est fait des données peut déterminer les données de santé.
Le poids et la taille ne sont pas particulièrement considérés comme des données de santé, mais une personne en possession de ces informations peut calculer l’IMC, analyser si la personne est en surpoids, en situation d’obésité ou en sous-nutrition. Dans ce cas, c'est une donnée personnelle de santé.
Un rendez-vous médical peut lui aussi être une donnée de santé. Un rendez-vous avec une date, un horaire et le nom d’un médecin constitue une donnée de santé d’après la loi européenne. Ainsi, la planification des rendez-vous doit être faite avec une solution qui assure la gestion des données de santé.
Les agendas publics tels Google Calendar ne permettent donc pas d’assurer la protection des données de santé et les médecins ne doivent pas les utiliser.
De la même manière, les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), bien que proposant des systèmes de messageries gratuits, ne permettent pas d’assurer le traitement des données de santé et ne doivent pas être utilisés par les médecins (sauf en situation d’urgence, comme avec le Covid-19).
Protéger les données de santé par la messagerie sécurisée
L’utilisation d’une messagerie sécurisée n’est pas obligatoire, mais elle est fortement recommandée. Pour les échanges entre deux professionnels, il est intéressant d’utiliser une messagerie sécurisée, comme le suggère le RGPD sur les données de santé. Les informations figurant dans les comptes-rendus médicaux étant protégées par le secret médical, le recours à une messagerie sécurisée est une solution à privilégier, comme MSSanté.
La messagerie sécurisée, telle MSSanté, présente plusieurs avantages :
- authentification forte du professionnel ;
- gratuité (portée par les pouvoirs publics) ;
- échanger avec les professionnels détenant une adresse de messagerie sécurisée ;
- sécurité et protection renforcée dans le traitement des données de santé ;
- chaque utilisateur du dispositif reçoit un identifiant unique.
Une authentification forte combine au moins deux dispositifs d’identification (mot de passe, code pin, carte à puce, clé de sécurité, reconnaissance faciale, mot de passe image…).
Cependant, les patients, de leur côté, ne disposent pas de messagerie sécurisée. Les messageries sécurisées sont donc très utiles pour la télé expertise médicale, mais ne peuvent pas être utilisées pour la téléconsultation ou la télésurveillance.
Normalement, les solutions de télémédecine mettent à disposition un espace de dépôt où le professionnel peut déposer une pièce médicale afin que le patient la récupère. Ceci est également valable dans l’autre sens : le patient peut déposer un document dans cet espace.
En plus du matériel de téléconsultation, le médecin peut aussi utiliser un dispositif médical communicant (appareil médical connecté qui permet de transmettre des données du patient au médecin), si nécessaire. Ces dispositifs peuvent améliorer la qualité de la consultation en transmettant les informations essentielles au médecin.
Sécurisation des données des patients
Les solutions de télémédecine ont l’obligation d’assurer la sécurisation des flux, le cryptage, ainsi que le traçage des informations et des incidents, en particulier pour l’hébergement des données. En effet, les dispositifs de télémédecine impliquent une externalisation et les conditions de sécurité prévues en matière d’hébergement des données de santé, par l’article L.1111-8 du Code de la santé publique, doivent être respectées.
En France, les données ne peuvent pas être hébergées partout. C’est le seul pays au monde qui a agréé les serveurs selon un référentiel de sécurité (agrément ou accréditation). La France a renforcé la sécurité du traitement des données de santé et va plus loin que le RGPD en santé et données personnelles de santé. Un agrément ou une accréditation indique qu’une donnée est protégée, même lorsqu’elle est stockée dans un serveur. Dans ce cas, celui-ci doit répondre à des caractéristiques de sécurité et de solidité précises.
Les acronymes HADS et HDS, signifient respectivement hébergement agréé de données de santé et hébergement de données de santé. Selon ce référentiel, l’organisme doit vérifier :
- l’intégrité de la norme ISO 27001 (système de gestion de la sécurité des systèmes d’information) ;
- d’une partie de la norme ISO 20000 (gestion de la qualité des services) et de la norme 27018 (protection des données à caractère personnel) ;
- des exigences spécifiques à l’hébergement de données de santé.
Concernant la norme ISO 27001, l’audit se déroule en deux étapes : un audit documentaire et un audit sur site. Retrouvez toutes ces informations dans la formation Télémédecine en ligne de Walter Santé. Notre formation pour médecin généraliste peut être financée par le DPC à 100 % !
Comment gérer le flux de données ?
Depuis quelques années, les professionnels de la santé prennent conscience de l’importance de la gestion de la donnée. Avant la généralisation de l’utilisation des outils numériques dans la pratique médicale, la question du traitement des données de santé ne se posait pas : les dossiers des patients et les documents sensibles étaient stockés dans le cabinet médical (matériellement) ou dans un ordinateur (avec des dossiers et des sous-dossiers).
C’est l’essor de l’utilisation des logiciels en webservice (qui ne sont pas installés sur l’ordinateur du praticien, mais qui sont dans un cloud) qui a commencé à poser la question de l’hébergement des données de santé. Pourtant, ces enjeux techniques et informatiques ne font pas partie des études de médecine. Effectivement, la question des données concerne le praticien, car la CNIL considère que le médecin est responsable du traitement des données de santé de ses patients. Il est d’ailleurs possible de faire une demande d’autorisation à la CNIL pour les données de santé, dans le cadre d’une recherche, par exemple.
Le traitement numérique des données, dont le RGPD sur les données de santé, est un vrai sujet qui doit être approfondi et qui concerne tous les médecins qui pratiquent la télémédecine. Notre formation continue pour médecin généraliste vous apporte toutes les informations essentielles pour maîtriser la télémédecine, mettre en place votre projet et comprendre les enjeux sur la sécurité et le traitement des données de santé.
Téléchargez le programme de la formation Télémédecine en PDF
Programme formation Télémédecine
+ de 700 téléchargements