Depuis le samedi 15 septembre 2018, l'Assurance Maladie et les mutuelles remboursent les consultations de télémédecine. Mais la sécurité des données médicales des patients n'est pas forcément comprise dans le prix. Le 20 juillet 2018, à Singapour, une cyberattaque a ciblé les données médicales d'un million et demi de patients. Le 8 janvier 2018, la moitié de la population norvégienne a été concernée par une même cyberattaque. Le risque est donc loin d'être négligeable. Aux Etats-Unis, plusieurs évènements du même type ont eu lieu. La Fédération des Médecins de France Réunion (FMF Réunion) en avril 2017 avait déjà tiré la sonnette d'alarme à propos du secret médical.
En France, les informations qui traitent de l’état de santé physique et psychique d’un patient sont des données personnelles, soumises au Code de la santé publique et à la Loi Informatique et Liberté. En principe, les professionnels et les établissements de santé sont " strictement tenus au respect des obligations concernant la collecte, l’utilisation, la communication, le stockage et la destruction des données à caractère personnel ". Sauf que depuis quelques années, les cyberattaques se multiplient sur les données de santé autour du monde : USA, Singapour, Norvège, Suède…
De même en France : en mars 2015, le serveur en ligne permettant d’accéder aux résultats d’analyses du laboratoire Labio avait été piraté. Un spécialiste de la cybersécurité affirmait récemment qu’une analyse des menaces qui pèsent sur les données de santé a fait apparaître 32 000 attaques (moyenne par entreprise) contre 14 300 attaques dans les autres secteurs d’activité (Sources Fortinet, mars 2018). Les données de santé, manifestement, intéressent beaucoup de monde. Le Cloud est principalement visé, comme les objets santé connectés. Mais pas que…
Propriétaires des données
Depuis une bonne dizaine d’années, les plateformes de rendez-vous médicaux se développent. " Je suis très récalcitrant à ce principe, mais peut-on encore avoir le choix ?, s’interroge le Dr Philippe de Chazournes, médecin généraliste et président de FMF Réunion. La plateforme de prises de rendez-vous médicaux Doctolib vient de racheter MonDocteur (ndlr, en juillet 2018). Ces start-up ont non seulement accès aux données des patients, adresse, mail et numéro de téléphone, mais elles en sont propriétaires ! " Et le tout finit dans le Cloud, cible des cyberattaques...
Quand on sait que rien qu'à elles deux ces plateformes réunissent 55 000 médecins et 1 200 établissements de santé, on peut deviner l’importance des données de santé qui transitent par elles. D’autant que DoctoLib -mais la plateforme n'est pas la seule à courir dans la catégorie- ne cache pas son intention d’aider les toubibs à optimiser leurs salles d’attente en jouant les régulateurs : " Un praticien pourra ainsi équilibrer ses rendez-vous en fonction des urgences, des profils de patients, etc… ", expliquait la start-up à notre confrère Le Monde en juillet 2018. Autant de données sensibles en plus récoltées. Nul doute que ces plateformes s’attachent à sécuriser leurs données, d'autant que le décret 2018-137 du 26 février 2018 leur en fait obligation, en définissant la procédure de certification obligatoire (ndlr certificat HDS) pour tous les hébergeurs de données sensibles.
La FMF Réunion réservée
En 2017, la section Réunion de la Fédération des Médecins de France avait lancé un signal d’alarme à propos du Dossier Médical Partagé (et donc stocké sur le Cloud) pour chaque patient : " Cela permettra, nous dit-on, un meilleur suivi de chacun d'entre nous, facilitera la recherche médicale et l'état sanitaire de notre pays. Aussi, les données ne seront plus anonymisées mais seulement pseudonymisées, c'est à dire qu’il sera attribué un identifiant à un ensemble de données liées, processus réversible (!), qui, à la différence de l'anonymat, pourra donc permettre de retrouver facilement les données originelles (par exemple le nom des patients si nécessaire) et d'en faire des croisements médico-sociaux économiques avec toutes les dérives que l'on peut imaginer ".
Lire aussi La FMF dit non à la diffusion des données de santé à tout vent
Depuis plusieurs années, de nombreuses voix dans le milieu médical se sont élevées pour mettre en garde l'Etat sur l'exploitation des données de santé personnelles que pourraient utiliser les assurances et mutuelles, entre autres lobbyistes de la santé, à des fins purement mercantiles. " La FMF s'oppose à la mise en place d'un tel fichier, qui, sous prétexte d'amélioration des soins, va permettre la mise en place d'une médecine à plusieurs vitesses, les patients cotisants en fonction des données de santé recueillies par les assurances privées. La FMF fera tout pour que le secret médical persiste, en commençant par défendre le principe d'une messagerie cryptée entre professionnels de santé et non une messagerie liée au Cloud à la disposition de tous ", soulignait l'an dernier l'antenne réunionnaise de la FMF.
Lire aussi Santé : l'ARS nous ment
Messagerie cryptée plutôt que Cloud
Avec le développement de la télémédecine et la création de nombreuses plateformes de prises de rendez-vous mais aussi de consultations médicales, le risque est grand que le stockage de données échappe trop souvent à la sacro-sainte règle du secret médical. A La Réunion, l'A2FM, un organisme de formation continue pour médecins sensibilise à la question les médecins libéraux, en leur présentant un système de téléconsultation avec messagerie cryptée qui évite ainsi le stockage de données. Mais ne peut rien contre le Dossier Médical Partagé, mis en place par l'Assurance Maladie, et qui, lui, finit bien dans le Cloud. Avec tous les risques qui peuvent en découler. "On ne peut pas échapper à cette évolution, reconnait le Dr Philippe de Chazournes. Mais devant les risques de dérapages, l'Etat va-t'il mettre les contre-feux ?".
Lire aussi Télémédecine : assurance maladie et mutuelles la prennent enfin en charge
ml/www.ipreunion.com
Le principe de précaution doit s'appliquer plus que jamais... Donc ne souscrivons pas et abstenons-nous dans l'immédiat car il est évident que la sécurisation de données aussi sensibles (et rentables pour les mutuelles et les assureurs en général) ne peut qu'exciter les convoitise !