La prise de rendez-vous médicaux en ligne tend à se développer sur un plan commercial. Avec l’ouverture de ce nouveau type de service se posent toutefois avec acuité plusieurs questions d’ordre juridique. En effet, qu’en est-il des données collectées, de leur sécurité et des dispositifs à mettre en place pour s’assurer du respect de la loi informatique et liberté ?
Le 6 janvier 2015, le groupe Solocal a annoncé et lancé à travers les Pages Jaunes un service de prise de rendez-vous médicaux en ligne.
Jusque-là, ce marché était occupé par quelques sites opérant pour l’essentiel dans les grandes agglomérations. Mais l’arrivée de Pages Jaunes, le leader national de la prise de rendez-vous en ligne devrait élargir le marché.
Ce type de service pourrait intéresser les praticiens, généralistes ou spécialistes qui moyennant quelques dizaines d’euros par mois, disposeraient d’une plate-forme de gestion des rendez-vous où leurs patients pourraient accéder à leurs disponibilités et prendre rendez-vous plus facilement.
Ce service a vocation à contribuer à la baisse des coûts administratifs des praticiens et à faire diminuer fortement le taux de non présentation du patient à son rendez-vous. En effet, le rappel systématique de l’heure du rendez-vous par sms ou par e-mail devrait contribuer à limiter les oublis de certains patients.
Reste à encadrer juridiquement la mise en œuvre de ce service notamment au regard du suivi de l’activité du praticien au moyen de statistiques et de l’utilisation de ces données comme outil de marketing direct.
Le suivi de l’activité du praticien au moyen de statistiques
L’identification et le classement d’informations sur un patient tel que la fréquence de ses consultations ou le motif de celles-ci constituent une collecte et un traitement de données à caractère personnel.
La collecte et le traitement de ces données particulièrement sensibles car touchant à la santé du patient sont strictement encadrées par la Loi Informatique et libertés de 1978.
Au-delà des formalités préalables à réaliser auprès de la CNIL, le médecin responsable de ses fichiers patients devra veiller à s’assurer que ces derniers ont été clairement informés desdits traitements et de leurs droits en vertu de l’article 32 de la loi.
Précisons également que les données de santé ne peuvent être utilisées et communiquées que dans des conditions déterminées par la loi et dans l’intérêt des patients (assurer le suivi médical, faciliter sa prise en charge par l’assurance maladie…) ou pour les besoins de la santé publique.
Ainsi, au-delà de l’interdiction de principe fixée à l’article 8, la loi Informatique et Libertés énumère les cas dans lesquels le traitement ou la collecte des données de santé est possible :
– les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf disposition contraire prévue par la loi, c’est pourquoi le consentement du patient doit être obtenu par ce service de prise de rendez-vous en ligne.
– les traitements nécessaires aux fins de suivi médical des personnes, de prévention, de diagnostic, d’administration de soins ou de traitements, ou de gestion de services de santé. La prise de rendez-vous en ligne devrait relever de cette hypothèse.
Parmi les obligations du professionnel de santé en sa qualité de responsable de traitement, celui-ci devra aussi veiller à s’assurer du respect par son fournisseur de solution (sous-traitant au sens de la loi) du respect de l’obligation de sécurité et de confidentialité. En effet, l’article 34 de la loi Informatique et Libertés précise que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Concrètement, cette obligation devra conduire le praticien à insérer une clause contractuelle spécifique sous peine d’engager sa responsabilité.
Devront également être traitées les questions relatives à la durée de conservation des données ou encore aux personnes ayant accès à celle-ci.
Le respect de ces obligations est essentiel pour assurer la sécurité juridique de la mise en place d’un tel service. En effet leur violation expose le praticien à des peines pouvant aller jusqu’à 500 000 euros d’amende et 5 ans d’emprisonnement (Cf. article 226-16 et s. du Code Pénal).
Toute violation peut également donner lieu à des sanctions de la CNIL qui contrôle régulièrement ce type d’activité dématérialisée. Ainsi, dans une délibération de sa formation restreinte n°2014-261, la commission a par exemple prononcé le 26 juin 2014 une sanction publique à l’encontre d’une Société de coaching alimentaire pour défaut d’information, défaut de sécurité et de confidentialité des données et défaut de coopération .
L’utilisation de ces données comme outil de marketing direct
Une fois le service en place, l’accès aux données dématérialisées des patients pourrait conduire le praticien à s’interroger sur les possibilités d’utilisation de celles-ci.
Sur ce point, il convient de rappeler les dispositions de l’article R.4127-19 du Code de la santé publique qui précise que « La médecine ne doit pas être pratiquée comme un commerce. Sont interdits tous procédés directs ou indirects de publicité et notamment tout aménagement ou signalisation donnant aux locaux une apparence commerciale. »
Ainsi qu’il est précisé aux articles R.4127-13, R.4127-19, R.4127-20 du même code, toute « réclame » est interdite, qu’elle émane du médecin lui-même ou des organismes auxquels il est lié directement ou indirectement, ou pour lesquels il travaille (établissements de santé, « centres », « instituts », etc.). Sa participation à l’information du public doit être mesurée (article R.4127-13), et la personnalité du médecin, qui peut valoriser le message éducatif, doit s’effacer au profit de ce message sans s’accompagner de précisions sur son exercice (type, lieu, conditions).
Attention donc, lors de la mise en œuvre de l’outil de prise de rendez vous en ligne aux communications qui pourraient être faites pour promouvoir ce service.
Professionnels de santé et site Internet
Le médecin doit en effet se garder de toute attitude publicitaire lorsqu’il présente son activité sur un site Internet.
Dans un arrêt du 27 avril 2012, le Conseil d’Etat a jugé, à propos du site internet d’un chirurgien-dentiste que si le site «peut comporter, outre les indications expressément mentionnées dans le code de la santé publique, des informations médicales à caractère objectif et à finalité scientifique, préventive ou pédagogique, il ne saurait, sans enfreindre les dispositions précitées de ce code et les principes qui les inspirent, constituer un élément de publicité et de valorisation personnelles du praticien et de son cabinet ».
Un site Internet, qui mettrait en avant le profil personnel du praticien de santé, ses réalisations opérées sur des patients, les soins qu’il prodigue et les spécialités dont il se recommande et qui va au-delà d’une simple information objective, constitue une présentation publicitaire du cabinet, constitutive d’un manquement aux devoirs déontologiques.
******
Les professionnels de santé disposent aujourd’hui d’une offre de services de plus en plus importante et variée dans le domaine digital qui doit renvoyer chaque acteur à ses responsabilités au regard de la législation applicable et plus précisément de la loi informatique et libertés.
D’un côté les professionnels fournisseurs de solution auront tout intérêt à adapter leurs offres au marché spécifique de l’e-santé pour apporter les garanties nécessaires à la protection du patient et de sa vie privée. De l’autre côté, le praticien devra veiller au respect de ses obligations en tant que responsable de traitements, obligations démultipliées dès lors que les données transitent via le Web.
Le Département IT du Cabinet HAAS accompagne chacun de ces acteurs pour assurer la sécurité juridique des projets e-santé dans le cadre de la définition d’une stratégie digitale globale incluant l’audit juridique des solutions proposées et l’assistance nécessaire à leur mise en œuvre (formalités préalables, mentions d’information, création d’un « référentiel sécurité » ,
Vous souhaitez en savoir plus ? Consultez nous en cliquant ICI.