Sécurité des téléconsultations : promesses et dangers

La période de confinement a entraîné une explosion des téléconsultations, et un appétit des start-ups du domaine !

Nous avons tous reçu quantité de propositions, souvent téléphoniques, de ces sociétés qui proposent des systèmes de téléconsultations complets, remplissant toutes les obligations légales, la traçabilité, permettant un paiement, avec une ergonomie renforcée tant pour les médecins que pour les patients… et tant d’autres promesses. Parfois même, il s’agissait plutôt d’intimidations, pour faire croire que ces plateformes seraient obligatoires. Il n’en est rien, bien au contraire.

Comme on l’avait vu pour les services d’annuaire téléphonique (pages jaunes, divers 118…), ces sociétés se multiplient, puis s’absorbent les unes les autres, se revendent à des groupes tentaculaires. Les enjeux commerciaux sont gigantesques.

L’AFPEP-SNPP souhaite alerter les psychiatres sur l’intérêt de ces plateformes, et sur leurs dangers.

Parmi les intérêts :

–          le principe d’une solution « tout en un » est très appréciable.

–          Le coût raisonnable (moins de 100 €/mois) : On ouvre un compte pour un abonnement modique, et même gratuit le plus souvent pendant la crise du Covid 19. Le « forfait structure » permet un remboursement de 350 €/an.

–          Ce compte permet de faire des consultations vidéo en ligne sans connaissances informatiques, sans réglages.

–          Le système est agréé comme hébergeur de données de santé, promet un cryptage sécurisant pour tous

–          Il crée des feuilles de soin en ligne ou permet au patient d’avoir préparé toutes les informations administratives (numéro de sécu, date de naissance…),

–          Le paiement par carte bancaire facilite le suivi de la facturation et garantit le paiement du praticien

–          Envoi « sécurisé » d’ordonnance et autres documents aux patients

Pourtant :

–          Le Ministre de la Santé l’a annoncé dès le début de la pandémie (et les documents de la CPAM le prévoyaient déjà en 2018) : l’usage de WhatsApp, FaceTime et Skype est considéré comme suffisamment sécurisé. Et il n’est pas plus complexe que celui des nouvelles plateformes.

–          Ces solutions sont gratuites. Un abonnement mensuel revient exagérément cher pour un usage très limité après la crise du Covid. (mais le forfait structure n’est pas applicable pour ces solutions gratuites !)

–          Les feuilles de soins électroniques sont en fait gérées indépendamment des plateformes, par votre système de carte vitale habituel

–          Le paiement en carte bleue… est payant (1 à 2 % de frais bancaires) alors que les virements sont gratuits

–          Techniquement, les envois d’ordonnance par email ne sont pas moins sécurisés qu’un compte Doctolib ou autre, accessible par un login et un mot de passe (et souvent les utilisateurs choisissent justement le même login et le même mot de passe). Un envoi postal ne garantit pas non plus une sécurité absolue, et il deviendrait compliqué d’envoyer toutes les ordonnances en courrier recommandé. Pour les plus scrupuleux, un envoi par fax (à la pharmacie éventuellement) remplit toutes les conditions de sécurité.

Mais là n’est pas l’essentiel. A moyen terme, le SNPP s’inquiète particulièrement de la question de la sécurité des données de santé, et surtout en ce qui concerne le contenu des consultations (et pas seulement les données administratives).

Est-il si sûr qu’une consultation qui transite par les serveurs d’une start-up est plus sécurisée que via Skype ? Comment un intermédiaire supplémentaire pourrait-il améliorer la sécurité ? N’y a-t-il pas un risque considérable à faire transiter tant d’informations privées par un canal spécifique, plutôt que de les diluer parmi l’ensemble des communications planétaires ?

Il parait inimaginable « d’écouter » autant de données… mais ce serait sans compter sur le développement de l’intelligence artificielle. Google assume par exemple de lire nos emails, et les transmettre à des sociétés tierces en vue de cibler la publicité (comme l’a révélé le Wall Street Journal le 2/07/2018. Tech’s ‘Dirty Secret’: The App Developers Sifting Through Your Gmail Software developers scan hundreds of millions of emails of users who sign up for email-based services, By Douglas MacMillan).

Dès lors, que pourrait faire une intelligence artificielle qui écouterait ces précieuses données par exemple à des fins publicitaires… comme les enceintes connectées (Amazon Alexa®, ok Google®, Siri®) le font déjà ? (https://www.lepoint.fr/high-tech-internet/des-salaries-d-amazon-ecoutent-vos-conversations-avec-l-assistant-alexa-11-04-2019-2307139_47.php). Est-ce qu’un patient qui nous parle de ses tentations extraconjugales pourrait se mettre à recevoir des publicités pour des sites de rencontre ?

D’ailleurs, la sécurisation des données est forcément faillible aussi bien sur les bons vieux dossiers papiers que sur les versions informatisées, mais les failles n’y ont pas les mêmes conséquences : un cambriolage qui donnerait accès aux dossiers papiers n’aurait qu’un impact local. Un piratage informatique peut avoir une ampleur mondiale. Et on a commencé à en voir des effets. Ainsi aux Etats-Unis: 176 millions de dossiers de santé ont été piratés entre 2010 et 2017 (JAMA. 2018;320(12):1282-1284. doi:10.1001/jama.2018.9222     et https://www.20minutes.fr/sante/2343647-20180926-etats-unis-176-millions-dossiers-sante-pirates-entre-2010-2017 ).

Certes, le RGPD (Règlement Général sur la Protection des Données) veille… mais est-ce suffisant ? Le SNPP organisera en octobre des Journées de réflexion et d’échange où ces sujets seront étudiés avec la plus grande attention.

Élie Winter