Vite envoyer un résultat de labo ou un rapport par e-mail ?
Le contexte
Les données de santé sont parmi les données à caractère personnel les plus sensibles. Il faut donc se montrer prudent dans leur «diffusion». Pourtant, le RGPD ne dit rien de l’envoi de telles données par e-mail. Il ne l’interdit donc pas explicitement ! Il n’empêche qu’il vous faut toujours tenir compte des principes de base du RGPD, à savoir l’obligation d’appliquer des mesures adéquates de nature technique et d’organisation. Responsable du traitement des données de santé, le médecin doit donc assurer leur sécurisation par de telles mesures lorsqu’il les envoie par e-mail.
À la demande du patient lui-même !
Un généraliste abonné avait informé un patient par téléphone du rapport d’un examen effectué à l’hôpital. Au terme de l’entretien, ce patient avait demandé de bien vouloir lui envoyer aussi le rapport par e-mail, car il ne le retrouvait pas sur le Réseau Santé. «J’ai répondu au patient que je ne peux le faire, car cela contreviendrait au RGPD. C’est du moins ce qu’on m’a toujours dit, mais ce patient insiste et réitère sa demande. Puis-je dans ce cas envoyer le rapport à son adresse de messagerie ?», nous a demandé cet abonné.
Il faut toujours des mesures adéquates
Pas question d’un e-mail ordinaire. Que le patient soit demandeur ou pas n’y change rien : les règles du RGPD sont d’ordre public, dit-on, et vous devez impérativement les respecter, y compris dans ce cas de figure. Il reste donc nécessaire de prendre des mesures adéquates (de nature technique et d’organisation). Ne mettez p.ex. jamais «rapport médical concernant le patient X» dans l’objet de l’e-mail et assurez-vous aussi que le patient utilise encore bien l’adresse de messagerie concernée. Ce n’est toutefois pas encore suffisant en soi, car l’envoi de données de santé ne peut en fait tout bonnement pas se faire par un e-mail ordinaire, mais seulement sous une forme cryptée.
Il faut une application de courriel cryptée. Si l’on crypte un e-mail, son contenu est converti en un texte lisible dans un code (et donc rendu illisible). Le destinataire doit donc avoir une clé, envoyée p.ex. par SMS, pour déchiffrer et lire l’e-mail. On peut aussi ne crypter que la pièce jointe à un e-mail. Microsoft Office Outlook permet p.ex. de crypter des e-mails ou des pièces jointes.
L’Ordre va un cran plus loin
Il exige une authentification à plusieurs facteurs. Dans ses «Lignes directrices aux médecins concernant le Règlement général sur la protection des données» (du 27 avril 2019), l’Ordre des médecins va un cran plus loin que l’e-mail crypté, trouvant qu’il n’est possible d’envoyer des données de santé que via un système «avec authentification à plusieurs facteurs».
De quoi s’agit-il ? L’authentification à plusieurs facteurs implique le recours à un logiciel spécial qui envoie les e-mails d’une façon sécurisée en réduisant au maximum le risque d’interception. Exemple : MediSend. Pour pouvoir l’utiliser, il faut toutefois que tant l’expéditeur que le destinataire utilisent le même logiciel. En pratique, c’est toutefois d’utilisation fréquente entre les prestataires de soins, mais pas entre prestataires de soins et patients.