Obtenir un arrêt de travail en un clic?

Le site Internet www.arretmaladie.fr fait beaucoup de bruit en raison de son offre alléchante : « Si vous êtes trop malade pour travailler, vous pouvez consulter un médecin en ligne (25€, remboursable) pour éventuellement avoir un repos (3 jours max). »

En faisant cette offre à ses clients en dehors du parcours de soins, en dehors du cadre légal français, la société fournit en quelques clics un arrêt de travail fallacieux. Transformer la relation patient-médecin en une simple prestation de service commercial sur mobile a naturellement conduit la Caisse nationale d’Assurance Maladie en lien avec le Conseil de l’ordre des médecins à mener une action en référé au tribunal de grande instance de Paris pour bloquer l’accès au site dans un premier temps.

Je me suis connectée au site pour en faire l’audit juridique, sans toutefois aller jusqu’à faire de fausse demande de téléconsutation puisque quantité de données à caractère personnel sont requises et mon précieux numéro de sécurité sociale. Des mentions légales lacunaires, suivies de ‘Conditions générales’ sommaires (5 pages), c’est bien sûr le colloque singulier médecin – patient qui est largement amputé de son essence : avec un « Choisissez votre maladie » le site révèle son objet purement commercial.

Une auto-évaluation de son état de santé par le patient traité comme un client

Les questions posées sont bien sommaires et concernent : la température, les symptômes (cases à cocher et champ à remplir) mais aussi :

• « Avez-vous un risque d’infecter d’autres collaborateurs ou clients au sein de votre entreprise ? »
• « Pensez-vous que votre état peu s’aggraver si vous retournez au travail ? »
• « Avez-vous des problèmes dans votre travail? (stress, fatigue, relationnel) »
• « Pensez-vous que vous êtes plus malade que d’habitude ? »

En bas du questionnaire, l’internaute doit impérativement accepter de communiquer à la société ses données pour que sa demande d’arrêt de travail soit examinée à commencer par son numéro de sécurité sociale, nom, prénom, téléphone, adresse email, et type d’activité professionnelle exercée.

La soumission du formulaire d’un simple clic sur le bouton « Demande d’arrêt maladie » vaut également acceptation des conditions générales du site et consentement à ce pseudo acte de télémédecine (qui devrait être recueilli dans un cadre spécifique).

A travers un tel questionnaire, la société incite les clients à entrer rapidement dans le service et vendre ainsi sa prestation commerciale.

Mais d’où vient ce site?

Réflexe de base : consulter les mentions légales pour découvrir  qu’on se borne à indiquer le nom de la société « Dr Can Ansay AU-Schein Ltd », l’adresse à Hambourg, numéro de RCS et capital social (25 000 euros). On précise également l’absence de lien avec l’industrie pharmaceutique et l’existence d’un copyright pour le nom de la société.

La page « A propos » relate que la société offre ses services en Allemagne depuis 2018, et effectivement, le site français retranscrit le site allemand que j’ai également visité ici : https://www.au-schein.de.

La société est dirigée par le Dr. jur. Can Ansay, qui se présente sur LinkedIn comme « eHealth Disruptor & Keynote Speaker ». Docteur en droit, Can Ansay a pourtant fait l’économie d’une consultation avant de se lancer « outre Rhin »…

SOS ! Les faiblesses juridiques relèvent tant du droit de la santé que de la protection des données à caractère personnel pourtant bien valables grâce au fameux règlement européen sur la protection des données à caractère personnel.

Est-ce légal?

Ce sont évidemment les multiples manquements au droit de la télémédecine qui posent problème. En effet, la téléconsultation médicale, acte de télémédecine, est encadrée par le droit français depuis 2004. La télémédecine ne bénéficie pas d’un cadre juridique européen mais reste du ressort des Etats membres : la législation allemande, plus souple que le droit français, ne peut pas avoir d’application extraterritoriale. C’est bien au regard du droit français que l’analyse de la légalité du site doit se faire. Or, le code de la santé publique fixe les règles du recours à la téléconsultation qui ne sont pas respectées.

La demande de téléconsulation émane exclusivement du patient, qui ne connaît pas le médecin téléconsulté.

Or, la décision de recourir à la téléconsultation reste celle du médecin, et non du patient.  En effet, la téléconsultation met en relation le patient avec un médecin à distance pour traiter un problème de santé occasionnel ou une maladie chronique. Mais la décision de recourir à la téléconsultation appartient toujours au médecin (médecin traitant, médecin en accès direct ou médecin correspondant, selon les cas) et non au patient : cela signifie que la téléconsultation demeure une solution alternative à la consultation en face à face.

 

Le patient doit être initialement orienté par son médecin traitant vers le médecin téléconsulté (si celui-ci n’est pas le médecin téléconsulté).

La téléconsultation s’inscrit systématiquement dans le parcours de soin du patient sauf exceptions telles que : urgence médicale, patient de moins de 16 ans, accès à un spécialiste. En fin de téléconsultation, le médecin rédige un compte rendu archivé dans son « dossier patient » (ou dans le Dossier Médical Partagé – DMP si vous l’avez ouvert), ce qui n’est naturellement pas le cas ici. Or, cette étape est essentielle car elle permet d’assurer un meilleur suivi du patient et facilite la prise en charge coordonnée entre professionnels de santé.

 

De plus, le médecin à distance doit avoir déjà reçu le patient en face à face.

Le médecin téléconsulté doit connaître le patient qui a eu au moins une consultation physique avec lui (cabinet, domicile patient ou établissement de santé) au cours des 12 derniers mois précédant la téléconsultation. Or, ici ce n’est pas le cas puisque dans l’onglet « Pour les médecins », le site au-lieu de faire apparaître la liste des télémédecins leur propose de s’inscrire en guise d’une rémunération de 200 euros de l’heure ! (https://www.arretmaladie.fr/fuer-arbeitgeber).

Aucune des conditions n’est donc respectée par la société puisque la demande de téléconsulation émane exclusivement du patient, qui ne connaît pas le médecin téléconsulté !

Quels sont les risques pour vos données personnelles?

La société a du mal à reconnaître sa qualité de responsable de traitement au sens de la loi informatique et liberté. Ses ‘Conditions générales’ affirment au paragraphe 1 que le service repose sur « la transmission de données personnelles de santé (questionnaire, numéro de sécurité sociale, téléconsultation, etc.). » et simultanément qu’elle n’enregistre ni ne traite aucune donnée ! Or, c’est bel et bien le cas comme le montre cet extrait du site sur la page « Formulaire de préparation à une téléconsultation en cas de symptômes de coup de froid / gastro-entérite » :

« En cliquant sur « Soumettre » ci-dessous, vous autorisez l’entreprise arretmaladie.fr à stocker et traiter les données personnelles soumises ci-dessus a n qu’elle vous fournisse le contenu demandé. »

Pourtant, le site ne fait apparaître aucun bandeau des traceurs (cookies) tout en déposant sur votre interface de navigation des cookies dont elle donne un bref aperçu (§5 de ses ‘Conditions générales’).

 

Mais surtout, les mentions légales sont muettes quant à l’utilisation des données à caractère personnel : coordonnées du délégué à la protection des données ou d’un point de contact, finalité poursuivie par le traitement auquel les données sont destinées, caractère obligatoire ou facultatif des réponses et conséquences éventuelles à l’égard de l’internaute d’un défaut de réponse, destinataires ou catégories de destinataires des données, droits d’opposition, d’interrogation, d’accès et de rectification, base juridique du traitement de données (consentement des personnes concernées, respect d’une obligation prévue par un texte, de l’exécution d’un contrat…), mention du droit d’introduire une réclamation (plainte) auprès de la CNIL, hébergeur et ses coordonnées.

 

Aucune de ces mentions n’est présente alors qu’elles sont requises au minimum par le règlement européen sur la protection des données à caractère personnel (RGPD). A l’ère du tout numérique où vos données de santé valent plus que votre numéro de carte bancaire une telle légèreté est inacceptable.

 

Quelle sécurité pour vos données de santé?

En France, la téléconsultation peut se faire depuis le domicile du patient sur un site ou application sécurisé, donc avec ordinateur, une tablette ou un téléphone mobile et équipé d’une webcam mais toujours de façon sécurisée. Le télémédecin vous envoie un lien Internet sécurisé, invitant le patient à se connecter à l’heure prévue du rendez-vous.

 

S’agissant de données à caractère personnel concernant les antécédents médicaux, maladies (données de santé à proprement parler) et celles qui sont des données de santé en raison de l’utilisation qui en est faite au plan médical (générer une téléconsultation médicale, voir un arrêt de travail), les données doivent être hébergées par le responsable de traitement (la société allemande) ou un sous-traitant dans le respect de la loi informatique et libertés (art. 8 et Chapitre IX), telle que modifiée suite à l’entrée en vigueur du RGPD.

 

Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes en particulier l’absence de discrimination en raison de l’état de santé que ce soit dans le cadre de l’avancement professionnel, ou en termes d’accès à une assurance ou encore l’obtention d’un prêt.

Des dispositions spécifiques du code de la santé publique (CSP) sont applicables, elles sont relatives : au secret (art. L 1110-4), aux référentiels de sécurité et d’interopérabilité des données de santé (art. L 1110-4-1), à l’hébergement des données de santé (art. L 1111-8 et R 1111-8-8), à la mise à disposition des données de santé (art. L 1460-1) et à l’interdiction de procéder à une cession ou à une exploitation (art. L 1111-8 et L  4113-7).

L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité à savoir être hébergées par une société certifiée ou agréée (site de l’ASIP : https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante).

La société a conscience de cet impératif : elle cherche à rassurer ses clients dans ses ‘Conditions générales’ :

« Un fonctionnement sécurisé grâce à un partenariat avec un site de téléconsultation agréé HADS

Le service nécessite la transmission de données personnelles de santé (questionnaire, numéro de sécurité sociale, téléconsultation, etc.). Aussi, pour garantir une sécurisation optimale de ces échanges, le service travaille en partenariat avec le site de téléconsultation l’une de nos plateformes de téléconsultation coopérantes agréé HADS (Hébergeur Agréé de Données de Santé à caractère personnel) qui respecte les règles de la CNIL (Commission Nationale de l’Informatique et des Libertés).“

Or, une surprise de taille vous attend dans les ‘Conditions générales’ (§4) tout simplement intitulé « AWS ». Vous avez reconnu Amazon Web Services, le prestataire d’hébergement de données dans le cloud.

„Le website www.arretmaladie.fr est hébergées chez AWS en Allemagne qui fait partie des hébergeurs certifiés par le ministère de la santé, dont la liste est disponible sur le site de l’ASIP Santé via le lien suivant : http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees“

 

Le lien est cité abusivement puisqu’AWS n’y figure pas et pour cause. AWS bénéficie d’une certification limitée, elle décline toute responsabilité pour la gestion des données de santé (pas d’infogérance) et fait de la simple mise à disposition d’infrastructure. C’est bien le site client d’AWS qui demeure responsable.

 

Des sanctions administratives au titre de ces manquements au RGPD sont donc également possibles. Pour rappel, les amendes encourues sont de 10 à 20 millions d’euros ou 2% à 4% du chiffre d’affaires annuel mondial de l’exercice précédent le montant le plus élevé étant retenu pour les nombreux manquements constatés : principes de base d’un traitement, y compris les conditions applicables au consentement, droits des personnes concernées, règles relatives aux transferts internationaux de données et règles de sécurité des données.

C’est donc aussi la CNIL qui sera intéressée par ce dossier en coordination avec l’autorité allemande de protection des données.

 

En ce qui me concerne, je suis… #nathaliesidérée… symptôme pour un arrêt maladie ??? 😉

Article publié le 9 janvier 2020, par l’auteur de Droit de la télémédecine et de la e-santé, Heures de France, 2011