L’épidémie mondiale de Covid-19 a provoqué un changement global des interactions, qui se sont très largement numérisées. La médecine n’est pas en reste et la télémédecine s’est considérablement développée à la faveur des restrictions imposées par l’état d’urgence sanitaire. Il semble que l’essor de la télémédecine sera durable car le recours à ce mode de consultation étant resté massif même après la levée des mesures de confinement en France. Cette pratique, timidement consacrée par le droit il y a une dizaine d’années, générait dans le même temps une certaine méfiance de la part des patients et des professionnels de la médecine.

La télémédecine étant désormais ancrée dans les habitudes des Français et plébiscitée par les pouvoirs publics, il convient de s’intéresser aux enjeux juridiques nouveaux qu’elle recouvre.

Pour cela, imaginons un cas pratique…

 
Monsieur Victor est passablement embêté. Son médecin généraliste, « médecin de famille » qu’il consulte depuis plus de 25 ans, est en vacances. Souffrant, il a pourtant besoin d’une consultation en urgence. Il décide donc de se rendre dans sa pharmacie pour essayer de trouver une solution avec son pharmacien. Ce dernier l’oriente vers une nouvelle « borne de télémédecine » qu’il vient de recevoir. Étonné mais à l’écoute, Monsieur Victor décide de tenter cette nouvelle expérience.

Il s’installe devant la borne et commence à suivre les instructions de la machine. Il renseigne ses informations personnelles (nom, prénom, téléphone, numéro de sécurité sociale, etc.) afin de créer son espace personnel, choisit un praticien et commence sa première téléconsultation médicale. Au cours de celle-ci, divers objets connectés rattachés à la borne mesurent ses constantes et transmettent instantanément les données au médecin. Une fois la consultation terminée, l’ordonnance est rendue accessible depuis l’espace en ligne de Monsieur Victor, lequel retourne alors voir son pharmacien afin d’obtenir les médicaments prescrits.

Face à une telle situation, relativement complexe et nouvelle, le juriste est amené à se poser une série de questions. Ce mode de consultation numérique est-il légal ? A quelles normes le dispositif de téléconsultation doit-il se conformer ? Quel est le sort des données transmises lors d’une téléconsultation ?

Pour répondre à ces interrogations, il convient d’examiner les points clés du cadre juridique applicable à la télémédecine (1) et aux données de santé (2).
 

La télémédecine : un mode de consultation partiellement réglementé

 
Le développement récent d’une pratique ancienne consacrée par la loi depuis 2009

La télémédecine semble à première vue être un phénomène nouveau. Pourtant, comme le rappelle un auteur, la télémédecine « trouve ses origines dans les consultations radio-médicales mises en place pour soigner ceux qui étaient dans l’impossibilité d’être en présence d’un médecin : par exemple les ouvriers travaillant sur une plate-forme pétrolière »¹.

Juridiquement, l’élargissement de ces pratiques est venu de l’Union Européenne², laquelle a incité les États membres à adapter « leurs réglementations nationales de manière à ce qu’elles permettent un accès plus large aux services de télémédecine »³. Cette démarche a débouché, en droit français, sur une première définition de la télémédecine avec la loi du 21 juillet 2009 (« la télémédecine est une forme de pratique médicale à distance utilisant les technologies de l’information et de la communication »)⁴. Depuis 2009, cette définition a été complétée⁵ et les actes relevant de la télémédecine précisés⁶, tant et si bien qu’aujourd’hui la télémédecine est englobée⁷ dans un ensemble plus vaste, celui de la télésanté⁸, qu’elle partage avec le télésoin⁹.

Pourtant, le développement de la télémédecine et du télésoin s’est heurté à deux obstacles majeurs :

Ces obstacles ont partiellement été levés avec la création et la généralisation du « DMP 2 »¹⁴, la mise en place progressive¹⁵ des téléconsultations dans le parcours de soin et leur remboursement.

Plus récemment, le recours à la téléconsultation ayant été rendu nécessaire avec l’épidémie de Covid-19, son cadre juridique a été significativement assoupli. En effet, le gouvernement a très rapidement pris un premier décret¹⁶ pour simplifier les conditions de réalisation de la téléconsultation, puis un second¹⁷, pour annoncer un remboursement intégral des téléconsultations.

L’effet fut immédiat, comme en témoignent les chiffres éloquents annoncés par l’Assurance Maladie¹⁸ pour la semaine du 23 mars 2020 : une augmentation de 500% des téléconsultations réalisées, soit presque un demi-million¹⁹, contre 10.000 par semaine en moyenne avant la crise. Même si on peut penser que le recours à la télémédecine ne maintiendra pas ces niveaux records, il est désormais évident qu’elle ne sera plus cantonnée au rôle de pratique marginale et prendra une part importante dans la e-santé (la campagne gouvernementale « Oui à la e-santé » lancée en août 2021 est révélatrice de ce mouvement).

Un régime juridique à renforcer

La pratique existe, mais qu’en est-il de son régime juridique ? En effet, l’examen des textes du Code de la santé publique conduit à un constat simple : si une définition et un champ d’application sont prévus, la télémédecine n’a pour l’instant qu’un régime juridique embryonnaire. Cette pratique nouvellement massive va intéresser le droit et il est du devoir du juriste d’anticiper les problèmes de demain afin de pouvoir, dès aujourd’hui, préparer une réponse adaptée.

Une des questions soulevées par le développement de la télémédecine est celle de la responsabilité. En cas de dommage causé par un acte de télémédecine, qui est responsable ?

En premier lieu, on pense spontanément au principe général de responsabilité des professionnels de santé visé à l’article L. 1142-1 du Code de la santé publique qui prévoit (i) un principe de responsabilité pour faute dans les actes de diagnostic ou de soin (qui semble facilement transposable aux actes de télémédecine) et (ii) une responsabilité sans faute en cas d’affection iatrogène ou d’infection nosocomiale (qui n’est pas directement pertinente pour une consultation à distance).

Mais, dans la mesure où la télémédecine procède d’un dépassement de la médecine en ce qu’elle fait appel à des outils numériques, on peut légitimement penser que d’autres cas de responsabilité sont envisageables, au premier chef desquels les responsabilités induites par la manipulation de la technologie elle-même (ce qui implique une formation des personnels soignants à ces outils).

Au-delà de l’aspect responsabilité, on peut aussi déjà anticiper des problèmes futurs que pourrait poser la télémédecine. Pour revenir à notre exemple, l’instauration de cabines de télémédecine dans les pharmacies peut induire à terme des problèmes de concurrence. Si n’importe quel médecin peut se connecter à la télécabine, on peut imaginer que le numérique permette une libéralisation du marché au-delà des frontières hexagonales. Si pour l’instant cette hypothèse ne semble pas envisageable, ce que confirment les produits et services du domaine²⁰, elle n’est pas à exclure car elle pourrait avoir des implications juridiques fortes.
 

La protection des données de santé : un enjeu crucial pour la télémédecine

 
La télémédecine implique une circulation massive de données et augmente le nombre d’acteurs engagés dans le processus, dont certains ne sont pas des professionnels de santé (par exemple, des prestataires de solution techniques comme des logiciels, objets connectés ou applications). La télésurveillance va encore plus loin avec l’implantation d’objets connectés directement sur le corps du patient qui récoltent des données en continu²¹ (par exemple, pacemaker ou glucomètre connecté). Tous ces outils fonctionnent grâce et avec des données à caractère personnel, ce qui impose une attention particulière.

Tentative de catégorisation des données personnelles traitées à l’occasion des actes de télémédecine

Les actes de télémédecine vont donner lieu à la collecte et au traitement de données personnelles de différentes natures, notamment :

Les données administratives peuvent être des données de santé mais ne sont pas des données sensibles, hormis le NIR qui a une place particulière²², de sorte qu’elles suivent le régime classique des données à caractère personnelles. En revanche, les données de santé des patients sont soumises à un régime propre. En effet, si le traitement de ces données personnelles peut permettre une personnalisation des soins favorables au patient (ce qui nécessite de pouvoir traiter ces données), il est nécessaire d’en assurer une véritable protection et une confidentialité accrue pour éviter tout abus ou violation.

Depuis une loi du 6 août 2004²³ assurant la transposition d’une directive de 1995²⁴, les données de santé ont été ajoutées à la liste des données sensibles faisant l’objet d’une protection renforcée. Le RGPD définit les données concernant la santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». La CNIL précise²⁵ qu’il y a (i) les données de santé par nature, (ii) celles qui du fait de leur croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne et (iii) celles qui deviennent des données de santé en raison de leur destination, c’est-à-dire de l’utilisation qui en est faite sur le plan médical.

L’encadrement du traitement des données de santé

Une fois la qualification de « donnée de santé » retenue, un régime juridique spécifique va s’appliquer.

D’une part, le RGPD prévoit une interdiction de principe de traitement de ces données sensibles.²⁶ Néanmoins, le texte envisage certaines exceptions à cette interdiction et notamment le cas où « ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents »²⁷.

D’autre part, au-delà du régime prévu par le RGPD, le traitement des données de santé doit également respecter d’autres règles émanant d’un ensemble de textes juridiques. À titre d’exemple, on peut mentionner l’article L. 1111-8, VII du Code de la santé publique qui prohibe la cession à titre onéreux de données de santé identifiantes, y compris avec l’accord de la personne concernée. Selon la même idée, l’article L. 4113-7 du Code de la santé publique prohibe l’exploitation commerciale des données de santé.

Plus spécifiquement pour la télémédecine, on peut mentionner les articles L. 1470-5 et L. 1470-6 du Code de la santé publique qui prévoient, afin de garantir « l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel », que les services numériques en santé « doivent être conformes aux référentiels d’interopérabilité et de sécurité élaborés » par l’Agence du numérique en santé « pour le traitement de ces données, leur conservation sur support informatique et leur transmission par voie électronique ». La conformité d’un système d’information ou d’un service ou outil numérique en santé à ces référentiels est attestée dans le cadre d’une procédure d’évaluation et de certification définie par décret en Conseil d’État.

Pour reprendre l’exemple de la cabine de téléconsultation utilisée par Monsieur Victor, la sécurisation des données personnelle est capitale, en particulier leur stockage et leur hébergement. La prestation d’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat avec les personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou le patient lui-même²⁸. Les hébergeurs sont notamment tenus au respect des droits des patients qui impliquent de les informer de l’hébergement de leurs données et ils doivent en assurer la confidentialité en vertu de leur secret professionnel. Devant respecter certaines contraintes administratives, comme le certificat de conformité (ou l’agrément ministériel dans le cadre d’un service d’archivage électronique), il est également soumis aux contrôles de l’Inspection générale des affaires sociales et des agents inspecteurs de santé publique²⁹. Enfin, l’hébergeur des données peut aussi être sanctionné par la Commission National de l’Informatique et des Libertés (CNIL) s’il manque à son obligation de sécurité des données³⁰.

Bien entendu cette liste n’est pas exhaustive, et il est nécessaire, avant chaque traitement de données de santé, de procéder à une analyse détaillée des règles pouvant régir ce traitement afin de mettre en place les mesures techniques, juridiques et organisationnelles idoines.

La télémédecine fait face à un cadre juridique complexe dont la construction suivra le développement de cette nouvelle manière d’exercer la médecine. Les acteurs de cette pratique en pleine croissance ne pourront faire l’économie d’une étude approfondie des règles applicables à leurs activités afin d’anticiper les enjeux juridiques qui accompagnent cette innovation et s’ériger en véritables protagonistes de leur propre réglementation.

1 | RENAUDIE Olivier, Télémédecine, télésanté, télésoins : des paroles aux actes in Dossier : La télémédecine, Revue de droit sanitaire et social 2020, p. 5. (Retour au texte 1)
2 | V. à ce sujet les diverses communications de la Commission : En 2002 la communication « eEurope 2005 : une société de l’information pour tous » (COM (2002) 263, mai 2002), en 2004, la communication intitulée « Santé en ligne – améliorer les soins de santé des citoyens européens » (COM (2004) 356, avril 2004) et notamment en 2008 dans une communication intitulée « La télémédecine au service des patients » (COM (2008) 699, novembre 2008). (Retour au texte 2)
3 | Commission européenne, La télémédecine au service des patients, COM (2008) 699, novembre 2008, p.12. (Retour au texte 3)
4 | Loi n°2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires (cette première définition de la télémédecine a été codifiée à l’article L.6316-1 du Code de la santé publique). (Retour au texte 4)
5 | Aujourd’hui, l’article L. 6316-1 du Code de la santé publique dispose que « La télémédecine est une forme de pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle met en rapport un professionnel médical avec un ou plusieurs professionnels de santé, entre eux ou avec le patient et, le cas échéant, d’autres professionnels apportant leurs soins au patient.
Elle permet d’établir un diagnostic, d’assurer, pour un patient à risque, un suivi à visée préventive ou un suivi post-thérapeutique, de requérir un avis spécialisé, de préparer une décision thérapeutique, de prescrire des produits, de prescrire ou de réaliser des prestations ou des actes, ou d’effectuer une surveillance de l’état des patients.
La définition des actes de télémédecine ainsi que leurs conditions de mise en œuvre sont fixées par décret ». (Retour au texte 5)
6 | Selon l’article R. 6316-1 du Code de la santé publique, relèvent de la télémédecine : la téléconsultation, la téléexpertise, la télésurveillance médicale, la téléassistance médicale et la réponse médicale. (Retour au texte 6)
7 | Loi n°2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé. (Retour au texte 7)
8 | Livre Troisième, Titre Premier, Chapitre VI du Code de la santé publique (article L. 6316-1 et article L. 6316-2). (Retour au texte 8)
9 | L’article L. 6316-2 du Code de la santé publique définit le télésoin comme « une forme de pratique de soins à distance utilisant les technologies de l’information et de la communication. Il met en rapport un patient avec un ou plusieurs pharmaciens ou auxiliaires médicaux dans l’exercice de leurs compétences prévues au présent code.
Les activités de télésoin sont définies par arrêté du ministre chargé de la santé, pris après avis de la Haute Autorité de santé. Cet avis porte notamment sur les conditions de réalisation du télésoin permettant de garantir leur qualité et leur sécurité ainsi que sur les catégories de professionnels y participant ». Cette liste figure à l’article R. 6316-2 du Code de la santé publique.
Les conditions de mise en œuvre des activités de télésoin sont fixées par décret en Conseil d’Etat ». (Retour au texte 9)
10 | Article 3 de la loi n°2004-810 du 13 août 2004 relative à l’assurance maladie. (Retour au texte 10)
11 | Pour plus de détails sur ce sujet, V. Entretien avec B. Seroussi dans ce numéro. (Retour au texte 11)
12 | Article 50 de la loi n° 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires. Voir les articles L. 1111-14 et suivants du Code de la santé publique. (Retour au texte 12)
13 | MEYER-MEURET Christine, Les enjeux économiques de la télémédecine, Revue de droit sanitaire et social, 2011, p.1013. (Retour au texte 13)
14 | Article 96 de la loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé. (Retour au texte 14)
15 | Article 54 de la loi de financement de la sécurité sociale n°2017-1836 du 30 décembre 2017 puis arrêté du 1er août 2018 portant approbation de l’avenant n° 6 à la convention nationale organisant les rapports entre les médecins libéraux et l’assurance maladie signée le 25 août 2016 et décret n°2018-788 du 13 septembre 2018 relatif aux modalités de mise en œuvre des activités de télémédecine. (Retour au texte 15)
16 | Décret n°2020-227 du 9 mars 2020 adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19. (Retour au texte 16)
17 | Décret n°2020-277 du 19 mars 2020 modifiant le décret n° 2020-73 du 31 janvier 2020 portant adoption de conditions adaptées pour le bénéfice des prestations en espèces pour les personnes exposées au coronavirus. (Retour au texte 17)
18 | Assurance Maladie, Communiqué de presse « Croissance record du recours à la téléconsultation en mars », 31 mars 2020 : https://www.ameli.fr/sites/default/files/2020-03-31-cp-teleconsultation-croissance-record-mars.pdf. (Retour au texte 18)
19 | 486.369 téléconsultations ont été facturées à l’Assurance Maladie pendant la semaine du 23 au 29 mars selon le communiqué de presse. (Retour au texte 19)
20 | La fiche de présentation de la borne de télémédecine Médadom précise notamment que les professionnels sont « des médecins français du territoire ». (Retour au texte 20)
21 | Ces dispositifs médicaux sont envisagés par le RGPD. (Retour au texte 21)
22 | MARTIAL-BRAZ Nathalie et ROCHFELD Judith (Dir.), Droit des données personnelles, Les spécificités du droit français au regard du RGPD, Dalloz Décryptage, 2019, p. 101. (Retour au texte 22)
23 | La loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. (Retour au texte 23)
24 | Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (Retour au texte 24)
25 | https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante. (Retour au texte 25)
26 | Article 9.1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et abrogeant la directive 95/46/CE. (Retour au texte 26)
27 | Article 9.3 du RGPD. (Retour au texte 27)
28 | Article L. 1111-8, I du Code de la santé publique. (Retour au texte 28)
29 | Article L. 1111-8, II et III du Code de la santé publique. (Retour au texte 29)
30 | V. par ex. Conseil d’État, 17 avril 2019, Société Optical Center, n°422575. (Retour au texte 30)