find jurigeek on
twitter
linkedIn
contact@juri-geek-cie.fr
> S'enregistrer> Connexion espace membre

Tag Cloud

Your browser doesn't support the HTML5 CANVAS tag.

  • big data
  • coronavirus
  • COVID-19
  • cnil
  • Internet des objets
  • RGPD
  • hacking
  • Apple
  • vie privée
  • Amazon
  • google
  • données personnelles
  • mégadonnées
  • nouvelles technologies
  • sécurité
  • épidémie
  • télémédecine
  • GAFA
  • domotique
  • données de santé
jurigeek et compagniejurigeek et compagnie
  • Expertise en Droit du Numérique
  • Chronique Juri-Geek
  • Formations
    • Boostez vos talents du numériques
  • Qui suis je ?
  • Mon espace membre
  • Audit de conformité RGPD++JuriGeek&Cie

    Données à caractère personnel

    • Accueil
    • Chronique Juri-geek
    • Données à caractère personnel
    • Obtenir un arrêt de travail en un clic?

    Obtenir un arrêt de travail en un clic?

    • posté par Nathalie DEVILLIER
    • Thèmes Données à caractère personnel, RGPD, Santé connectée, télémédecine
    • Date 9 janvier 2020

    Le site Internet www.arretmaladie.fr fait beaucoup de bruit en raison de son offre alléchante : « Si vous êtes trop malade pour travailler, vous pouvez consulter un médecin en ligne (25€, remboursable) pour éventuellement avoir un repos (3 jours max). »

    En faisant cette offre à ses clients en dehors du parcours de soins, en dehors du cadre légal français, la société fournit en quelques clics un arrêt de travail fallacieux. Transformer la relation patient-médecin en une simple prestation de service commercial sur mobile a naturellement conduit la Caisse nationale d’Assurance Maladie en lien avec le Conseil de l’ordre des médecins à mener une action en référé au tribunal de grande instance de Paris pour bloquer l’accès au site dans un premier temps.

    Je me suis connectée au site pour en faire l’audit juridique, sans toutefois aller jusqu’à faire de fausse demande de téléconsutation puisque quantité de données à caractère personnel sont requises et mon précieux numéro de sécurité sociale. Des mentions légales lacunaires, suivies de ‘Conditions générales’ sommaires (5 pages), c’est bien sûr le colloque singulier médecin – patient qui est largement amputé de son essence : avec un « Choisissez votre maladie » le site révèle son objet purement commercial.

    Une auto-évaluation de son état de santé par le patient traité comme un client

    Les questions posées sont bien sommaires et concernent : la température, les symptômes (cases à cocher et champ à remplir) mais aussi :

    • « Avez-vous un risque d’infecter d’autres collaborateurs ou clients au sein de votre entreprise ? »
    • « Pensez-vous que votre état peu s’aggraver si vous retournez au travail ? »
    • « Avez-vous des problèmes dans votre travail? (stress, fatigue, relationnel) »
    • « Pensez-vous que vous êtes plus malade que d’habitude ? »

    En bas du questionnaire, l’internaute doit impérativement accepter de communiquer à la société ses données pour que sa demande d’arrêt de travail soit examinée à commencer par son numéro de sécurité sociale, nom, prénom, téléphone, adresse email, et type d’activité professionnelle exercée.

    La soumission du formulaire d’un simple clic sur le bouton « Demande d’arrêt maladie » vaut également acceptation des conditions générales du site et consentement à ce pseudo acte de télémédecine (qui devrait être recueilli dans un cadre spécifique).

    A travers un tel questionnaire, la société incite les clients à entrer rapidement dans le service et vendre ainsi sa prestation commerciale.

    Mais d’où vient ce site?

    Réflexe de base : consulter les mentions légales pour découvrir  qu’on se borne à indiquer le nom de la société « Dr Can Ansay AU-Schein Ltd », l’adresse à Hambourg, numéro de RCS et capital social (25 000 euros). On précise également l’absence de lien avec l’industrie pharmaceutique et l’existence d’un copyright pour le nom de la société.

    La page « A propos » relate que la société offre ses services en Allemagne depuis 2018, et effectivement, le site français retranscrit le site allemand que j’ai également visité ici : https://www.au-schein.de.

    La société est dirigée par le Dr. jur. Can Ansay, qui se présente sur LinkedIn comme « eHealth Disruptor & Keynote Speaker ». Docteur en droit, Can Ansay a pourtant fait l’économie d’une consultation avant de se lancer « outre Rhin »…

    SOS ! Les faiblesses juridiques relèvent tant du droit de la santé que de la protection des données à caractère personnel pourtant bien valables grâce au fameux règlement européen sur la protection des données à caractère personnel.

    Est-ce légal?

    Ce sont évidemment les multiples manquements au droit de la télémédecine qui posent problème. En effet, la téléconsultation médicale, acte de télémédecine, est encadrée par le droit français depuis 2004. La télémédecine ne bénéficie pas d’un cadre juridique européen mais reste du ressort des Etats membres : la législation allemande, plus souple que le droit français, ne peut pas avoir d’application extraterritoriale. C’est bien au regard du droit français que l’analyse de la légalité du site doit se faire. Or, le code de la santé publique fixe les règles du recours à la téléconsultation qui ne sont pas respectées.

    La demande de téléconsulation émane exclusivement du patient, qui ne connaît pas le médecin téléconsulté.

    Or, la décision de recourir à la téléconsultation reste celle du médecin, et non du patient.  En effet, la téléconsultation met en relation le patient avec un médecin à distance pour traiter un problème de santé occasionnel ou une maladie chronique. Mais la décision de recourir à la téléconsultation appartient toujours au médecin (médecin traitant, médecin en accès direct ou médecin correspondant, selon les cas) et non au patient : cela signifie que la téléconsultation demeure une solution alternative à la consultation en face à face.

     

    Le patient doit être initialement orienté par son médecin traitant vers le médecin téléconsulté (si celui-ci n’est pas le médecin téléconsulté).

    La téléconsultation s’inscrit systématiquement dans le parcours de soin du patient sauf exceptions telles que : urgence médicale, patient de moins de 16 ans, accès à un spécialiste. En fin de téléconsultation, le médecin rédige un compte rendu archivé dans son « dossier patient » (ou dans le Dossier Médical Partagé – DMP si vous l’avez ouvert), ce qui n’est naturellement pas le cas ici. Or, cette étape est essentielle car elle permet d’assurer un meilleur suivi du patient et facilite la prise en charge coordonnée entre professionnels de santé.

     

    De plus, le médecin à distance doit avoir déjà reçu le patient en face à face.

    Le médecin téléconsulté doit connaître le patient qui a eu au moins une consultation physique avec lui (cabinet, domicile patient ou établissement de santé) au cours des 12 derniers mois précédant la téléconsultation. Or, ici ce n’est pas le cas puisque dans l’onglet « Pour les médecins », le site au-lieu de faire apparaître la liste des télémédecins leur propose de s’inscrire en guise d’une rémunération de 200 euros de l’heure ! (https://www.arretmaladie.fr/fuer-arbeitgeber).

    Aucune des conditions n’est donc respectée par la société puisque la demande de téléconsulation émane exclusivement du patient, qui ne connaît pas le médecin téléconsulté !

    Quels sont les risques pour vos données personnelles?

    La société a du mal à reconnaître sa qualité de responsable de traitement au sens de la loi informatique et liberté. Ses ‘Conditions générales’ affirment au paragraphe 1 que le service repose sur « la transmission de données personnelles de santé (questionnaire, numéro de sécurité sociale, téléconsultation, etc.). » et simultanément qu’elle n’enregistre ni ne traite aucune donnée ! Or, c’est bel et bien le cas comme le montre cet extrait du site sur la page « Formulaire de préparation à une téléconsultation en cas de symptômes de coup de froid / gastro-entérite » :

    « En cliquant sur « Soumettre » ci-dessous, vous autorisez l’entreprise arretmaladie.fr à stocker et traiter les données personnelles soumises ci-dessus a n qu’elle vous fournisse le contenu demandé. »

    Pourtant, le site ne fait apparaître aucun bandeau des traceurs (cookies) tout en déposant sur votre interface de navigation des cookies dont elle donne un bref aperçu (§5 de ses ‘Conditions générales’).

     

    Mais surtout, les mentions légales sont muettes quant à l’utilisation des données à caractère personnel : coordonnées du délégué à la protection des données ou d’un point de contact, finalité poursuivie par le traitement auquel les données sont destinées, caractère obligatoire ou facultatif des réponses et conséquences éventuelles à l’égard de l’internaute d’un défaut de réponse, destinataires ou catégories de destinataires des données, droits d’opposition, d’interrogation, d’accès et de rectification, base juridique du traitement de données (consentement des personnes concernées, respect d’une obligation prévue par un texte, de l’exécution d’un contrat…), mention du droit d’introduire une réclamation (plainte) auprès de la CNIL, hébergeur et ses coordonnées.

     

    Aucune de ces mentions n’est présente alors qu’elles sont requises au minimum par le règlement européen sur la protection des données à caractère personnel (RGPD). A l’ère du tout numérique où vos données de santé valent plus que votre numéro de carte bancaire une telle légèreté est inacceptable.

     

    Quelle sécurité pour vos données de santé?

    En France, la téléconsultation peut se faire depuis le domicile du patient sur un site ou application sécurisé, donc avec ordinateur, une tablette ou un téléphone mobile et équipé d’une webcam mais toujours de façon sécurisée. Le télémédecin vous envoie un lien Internet sécurisé, invitant le patient à se connecter à l’heure prévue du rendez-vous.

     

    S’agissant de données à caractère personnel concernant les antécédents médicaux, maladies (données de santé à proprement parler) et celles qui sont des données de santé en raison de l’utilisation qui en est faite au plan médical (générer une téléconsultation médicale, voir un arrêt de travail), les données doivent être hébergées par le responsable de traitement (la société allemande) ou un sous-traitant dans le respect de la loi informatique et libertés (art. 8 et Chapitre IX), telle que modifiée suite à l’entrée en vigueur du RGPD.

     

    Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes en particulier l’absence de discrimination en raison de l’état de santé que ce soit dans le cadre de l’avancement professionnel, ou en termes d’accès à une assurance ou encore l’obtention d’un prêt.

    Des dispositions spécifiques du code de la santé publique (CSP) sont applicables, elles sont relatives : au secret (art. L 1110-4), aux référentiels de sécurité et d’interopérabilité des données de santé (art. L 1110-4-1), à l’hébergement des données de santé (art. L 1111-8 et R 1111-8-8), à la mise à disposition des données de santé (art. L 1460-1) et à l’interdiction de procéder à une cession ou à une exploitation (art. L 1111-8 et L  4113-7).

    L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité à savoir être hébergées par une société certifiée ou agréée (site de l’ASIP : https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante).

    La société a conscience de cet impératif : elle cherche à rassurer ses clients dans ses ‘Conditions générales’ :

    « Un fonctionnement sécurisé grâce à un partenariat avec un site de téléconsultation agréé HADS

    Le service nécessite la transmission de données personnelles de santé (questionnaire, numéro de sécurité sociale, téléconsultation, etc.). Aussi, pour garantir une sécurisation optimale de ces échanges, le service travaille en partenariat avec le site de téléconsultation l’une de nos plateformes de téléconsultation coopérantes agréé HADS (Hébergeur Agréé de Données de Santé à caractère personnel) qui respecte les règles de la CNIL (Commission Nationale de l’Informatique et des Libertés).“

    Or, une surprise de taille vous attend dans les ‘Conditions générales’ (§4) tout simplement intitulé « AWS ». Vous avez reconnu Amazon Web Services, le prestataire d’hébergement de données dans le cloud.

    „Le website www.arretmaladie.fr est hébergées chez AWS en Allemagne qui fait partie des hébergeurs certifiés par le ministère de la santé, dont la liste est disponible sur le site de l’ASIP Santé via le lien suivant : http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees“

     

    Le lien est cité abusivement puisqu’AWS n’y figure pas et pour cause. AWS bénéficie d’une certification limitée, elle décline toute responsabilité pour la gestion des données de santé (pas d’infogérance) et fait de la simple mise à disposition d’infrastructure. C’est bien le site client d’AWS qui demeure responsable.

     

    Des sanctions administratives au titre de ces manquements au RGPD sont donc également possibles. Pour rappel, les amendes encourues sont de 10 à 20 millions d’euros ou 2% à 4% du chiffre d’affaires annuel mondial de l’exercice précédent le montant le plus élevé étant retenu pour les nombreux manquements constatés : principes de base d’un traitement, y compris les conditions applicables au consentement, droits des personnes concernées, règles relatives aux transferts internationaux de données et règles de sécurité des données.

    C’est donc aussi la CNIL qui sera intéressée par ce dossier en coordination avec l’autorité allemande de protection des données.

     

    En ce qui me concerne, je suis… #nathaliesidérée… symptôme pour un arrêt maladie ??? 😉

    Article publié le 9 janvier 2020, par l’auteur de Droit de la télémédecine et de la e-santé, Heures de France, 2011

    Étiquette:Amazon, ASIP santé, cnil, données de santé, RGPD, sécurité, téléconsultation, télémédecine

    • Partager:
    Nathalie DEVILLIER
    Nathalie DEVILLIER
    Nathalie DEVILLIER est la fondatrice de JuriGeek& Cie. Docteur en droit, elle appartient au Groupe d'Experts de la Commission européenne sur la Responsabilité et les Nouvelles Technologies. Son expertise est recherchée par les médias et institutions européennes et internationales.

    Post précédent

    Pourquoi les appareils à commande vocale nous enregistrent-ils ? Quels en sont les risques ?
    9 janvier 2020

    Post suivant

    Les réseaux sociaux peuvent-ils vraiment améliorer leurs modèles ?
    22 mars 2020

    Vous pourriez aussi aimer

    D6h2MMIWwAAvbHL (1)
    Trois clés pour garantir une transition éthique et sûre vers les mobilités sans conducteur
    21 septembre, 2020
    covid retour
    Préserver le secret des données du patient suspect ou confirmé d’infection à coronavirus COVID-19: le cas des transports sanitaires
    24 mai, 2020
    Foule à Hong Kong © Getty / MR.Cole_Photographer
    Backtracking : comment concilier surveillance du Covid-19 et respect des libertés ?
    5 avril, 2020

    Rechercher sur le blog

    Thèmes d’actualités

    • Biométrie (1)
    • coronavirus (2)
    • COVID-19 (2)
    • Cyber sécurité (1)
    • Données à caractère personnel (7)
    • épidémie (2)
    • éthique (1)
    • Fake News (1)
    • Intelligence artificielle (4)
    • mobilité (1)
    • Municipales 2020 (1)
    • recherche et innovation (1)
    • RGPD (7)
    • Santé connectée (3)
    • télémédecine (2)
    • Travel (1)
    • uber (1)
    • union européenne (1)
    • véhicule autonome (1)

    Articles récents

    • Trois clés pour garantir une transition éthique et sûre vers les mobilités sans conducteur
    • Préserver le secret des données du patient suspect ou confirmé d’infection à coronavirus COVID-19: le cas des transports sanitaires
    • Backtracking : comment concilier surveillance du Covid-19 et respect des libertés ?
    • Les réseaux sociaux peuvent-ils vraiment améliorer leurs modèles ?
    • Obtenir un arrêt de travail en un clic?

    Commentaires récents

      Archives

      • septembre 2020
      • mai 2020
      • avril 2020
      • mars 2020
      • janvier 2020
      • novembre 2019
      • avril 2019
      • février 2019
      • janvier 2019
      • novembre 2018

      Catégories

      • Biométrie
      • coronavirus
      • COVID-19
      • Cyber sécurité
      • Données à caractère personnel
      • épidémie
      • éthique
      • Fake News
      • Intelligence artificielle
      • mobilité
      • Municipales 2020
      • recherche et innovation
      • RGPD
      • Santé connectée
      • télémédecine
      • Travel
      • uber
      • union européenne
      • véhicule autonome

      Méta

      • Inscription
      • Connexion
      • Flux des publications
      • Flux des commentaires
      • Site de WordPress-FR

      Tag Cloud

      Your browser doesn't support the HTML5 CANVAS tag.

      • domotique
      • big data
      • épidémie
      • GAFA
      • Apple
      • mégadonnées
      • hacking
      • télémédecine
      • nouvelles technologies
      • Internet des objets
      • données personnelles
      • vie privée
      • données de santé
      • google
      • cnil
      • coronavirus
      • sécurité
      • RGPD
      • Amazon
      • COVID-19

      Nous joindre

      contact@juri-geek-cie.fr

      Expertise en Droit du Numérique

      Accès rapides

      • Qui suis je ?
      • Contact
      • Mon espace membre

      Thèmes de cours

      • Santé connectée

      © 2019 Jurigeek & Cie - Tous droits réservés

      • Mentions obligatoires
      • Conditions d’Utilisation
      • Politique de Confidentialité
      • Contact
      • création eyenet
      No apps configured. Please contact your administrator.

      Connectez-vous avec votre compte sur le site

      No apps configured. Please contact your administrator.

      Mot de passe perdu?

      Pas encore membre? S'inscrire maintenant

      Enregistrer un nouveau compte

      Êtes vous membre? Connecte-toi maintenant

      En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites
      AccepterRefuser En savoir plus
      Politique de confidentialité

      Privacy Overview

      This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
      Nécessaire
      Toujours activé

      Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

      Non nécessaire

      Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.