Alors que les entreprises de télécommunication sont sûres de tout faire pour protéger les données de santé, l’article 28 du PFLSS entend renforcer la structure de la gestion de ces données.

La dématérialisation des données de santé reste un sujet sensible en France. Comme les Health Data Weapons, un mégafichier de données de santé créé par le gouvernement, le projet a provoqué un débat à cause de l’hébergeur américain de Microsoft.

Depuis cinq ans, les centres de communication se sont multipliés dans les pharmacies et les collectivités, pour répondre au difficile problème du désert sanitaire. Face à ces nouvelles pratiques, les politiques publiques doivent s’adapter pour mieux les maîtriser, notamment en matière de gestion des données de santé.

Ainsi, dans le cadre de la loi de finances de la sécurité sociale (PLFSS) 2023, actuellement en débat à l’Assemblée nationale, l’article 28 vise à renforcer le contrôle de la conformité des entreprises en matière de protection des données personnelles. Le deuxième objectif est de faciliter la circulation de l’information dans tous les milieux de santé.

Le pays compte plusieurs entreprises sur le marché des télécommunications dont Medadom, Tessan et H4D, interrogées par Tech&Co. Ces chambres apparaissent comme une solution pour les patients qui ont besoin d’un rendez-vous médical urgent.

Ainsi, le patient trouve un médecin dans le réseau de l’entreprise, en 15 minutes. C’est à lui de créer un compte en fournissant des informations médicales, en insérant sa carte Vitale, avant que le professionnel de santé ne le guide à travers une vidéo pour utiliser les dispositifs médicaux de la chambre.

Qui a accès aux données?

Sur le site de Tessan, le patient doit indiquer le nom, la date de naissance, le poids, la taille, l’adresse ou encore l’assurance des deux parties. « Le médecin peut obtenir ces informations pour vérifier la posologie de certains médicaments, à délivrer ou non au patient », précise Maxime Leneylé, PDG de Tessan. Quant à la consultation vidéo, Tessan et Medadom assurent que celle-ci passe par un flux caché du patient vers le médecin, sans impliquer aucun enregistrement par la suite.

En début d’année, le service Mon Espace Santé a fait évoluer et bonifier le Dossier Santé Partagé. Toutes les personnes couvertes peuvent accéder à leurs informations et documents médicaux. Les consultants, comme tout médecin, y ont accès.

Pour protéger ces informations, les trois sociétés veillent à ce que les données des patients soient stockées sur des serveurs certifiés « hébergeurs de données de santé », précise HDS. Quant à Tessan, les données sont hébergées sur un serveur Microsoft Azure certifié HDS, « qui répond aux exigences définies par le ministère de la Santé ».

À Lire  Warburg Pincus investit 350 millions de dollars pour développer une activité d'assurance numérique en Asie du Sud-Est | Zone du marché

Medadom stocke les données sur des serveurs Amazon (AWS), « avec tous les niveaux de certification », explique Nathaniel Bern. H4D, pour sa part, a choisi Orange. De plus, la loi précise que les serveurs sont localisés en France. « La société est responsable de s’assurer que les données sont cryptées et transmises au bon serveur », a déclaré Franck Baudino, fondateur de H4D.

Avec Tech&Co, l’avocate spécialisée en droit du numérique Eléonore Scaramozzino rappelle que ces entreprises doivent respecter tous les aspects du RGPD (Règlement général sur la protection des données) et « pas seulement la question du stockage et du HDS. données et assurance qualité du parcours de soins ».

L’article 28, avancée ou blocage?

C’est déjà le cas de la société H4D « qui est la seule classe II reconnue en Europe, tant en matière de santé (parcours de soins) qu’en matière de protection des données » confirme son dirigeant. Et Franck Baudino d’argumenter : « il y a une crainte légitime d’une partie des citoyens et c’est à l’ensemble de montrer des garanties ».

Pour renforcer ces garanties et poursuivre la démarche, le député Thomas Mesnier (Horizons) a déposé trois amendements à l’article 28 du PLFSS 2023, qui ont été approuvés par la commission.

« L’utilisation des données est un sujet sensible et fait l’objet de beaucoup de fantasmes. Il y a l’importance de la transparence. Évidemment j’ai travaillé avec les acteurs du secteur. Ils ont une bonne idée sur le développement des forfaits, même si certains veulent qu’on aille plus vite » a-t-il expliqué à Tech&Co.

Le député insiste également sur l’interopérabilité du système : garantir que les informations de santé numérisées circulent facilement et en toute sécurité dans tous les établissements de santé.

La France et l’Europe travaillent sur un cloud indépendant pour ne pas dépendre des acteurs américains. Mais Medadom n’a pas choisi AWS par hasard. « Nous préférons trouver des acteurs américains qui ont toutes les garanties de sécurité et de stabilité plutôt que des acteurs européens peu fiables, que nous avons déjà testés », a déclaré la société à Tech&Co.

Cela signifie-t-il que la France est en retard en matière de cloud indépendant des données de santé ? Le Centre d’information sanitaire lui-même souffre d’un problème de stockage des données. Stéphanie Combes, directrice du Centre d’Information Santé, reconnaît que les solutions françaises ou européennes ne sont pas le niveau à gagner pour Microsoft. Initialement prévue pour fin 2022, la transition vers l’Europe hôte a été repoussée à 2025.

Face à l’accélération de la numérisation des données de santé, Franck Baudino estime important de rappeler que « le patient a toujours le choix, qu’il est propriétaire de ses données et que la loi française est bien conçue pour le protéger ».