Envoyer une attestation pour le coronavirus par courriel ?
Une attestation spéciale «coronavirus»
Si vous conseillez à un patient de rester chez lui à la suite d’un conseil téléphonique dans le cadre du coronavirus, il doit signaler son incapacité de travail à sa mutuelle et à son employeur. L’INAMI a voulu mettre à disposition un modèle simplifié d’attestation pour la mutuelle (le «confidentiel») et pour l’employeur (le «certificat médical»). Pour le premier, il a donné comme directive de l’envoyer au patient par la poste ou par courriel au format PDF (ce qui serait plus facile, bien sûr).
Un courriel, au regard du RGPD ?
Lors de la première communication de l’INAMI sur ce modèle spécial, un abonné a lu un article de journal relatif à un cabinet de médecins généralistes dont les employés administratifs portent ces attestations aux patients. «D’après cet article, l’envoi par courriel serait contraire au RGPD, mais aller ainsi les porter... Ne courons-nous pas déjà assez de risques ? J’ai donc difficile à croire qu’ils nous mettront des amendes pour infraction au RGPD. Qu’en pensez-vous ?» , nous a-t-il demandé.
Il faut une «protection suffisante»
Avant tout, il faut voir si ces attestations contiennent des données de santé. Pour elles, les règles sont (encore) plus strictes que pour des données personnelles ordinaires. Bien que des attestations d’incapacité de travail mentionnent seulement que la personne est en incapacité de travail, sans en décrire le motif (la nature), ces attestations spéciales contiennent quand même des données de santé, vu le contexte du coronavirus. Chacun sait que ce n’est que là qu’une consultation peut se faire par téléphone et déboucher sur une telle attestation envoyée par courriel. On peut, dès lors, partir du principe qu’il y a ici des données de santé et que le plus haut degré de sécurité s’impose.
Le crypter vous la donne à coup sûr...
Il est très difficile de déterminer quand des mesures de protection sont adéquates ou non, mais de nombreux spécialistes de la matière admettent que l’envoi de données de santé par le biais d’un courriel ordinaire ne témoigne pas d’une protection suffisante, vu qu’une telle communication peut facilement être interceptée et/ou modifiée. Une alternative serait de crypter le courriel, comme disent les techniciens, mais ce n’est en vérité pas simple à appliquer dans une relation médecin-patient, certainement en ces temps de coronavirus...
... et l’INAMI vous couvre pour un PDF
Comme l’INAMI vous autorise/demande dans ses directives d’envoyer les attestations en PDF par courriel, votre position est tout de même forte. Partant du principe qu’une directive d’une instance compétente pour agir comme organe de régulation et de contrôle a été suffisamment concertée pour y intégrer aussi l’aspect de la sécurité, vous pouvez admettre que «le secteur» présuppose lui-même que c’est ainsi fait d’une façon suffisamment sécurisée. Dans le cadre du RGPD, la façon dont le secteur voit lui-même les choses joue un rôle important. En ce sens, il semble donc que vous ne risquiez quand même pas d’être sanctionné en envoyant ces attestations spéciales au format PDF par courriel.