Points clés
- La télémédecine élargit le périmètre des risques de santé en ajoutant des dimensions numériques, réglementaires et techniques à la relation de soin.
- Les établissements de santé qui déploient des solutions de télémédecine héritent de responsabilités sur la sécurité des données et la continuité des soins à distance.
- La panne du système de télémédecine Teladoc aux États-Unis en 2020 a interrompu les consultations de plusieurs millions de patients pendant la période critique du COVID-19.
- En Europe, le règlement MDR (Medical Device Regulation) classe certains logiciels de télémédecine comme dispositifs médicaux, imposant une conformité de niveau médical.
- L'OMS recommande que tout déploiement de télémédecine intègre une évaluation des risques spécifique à la distance et aux dépendances technologiques.
La télémédecine a transformé l'accès aux soins dans de nombreux pays, en permettant des consultations, des suivis et des diagnostics à distance. Cette transformation s'est accélérée avec la pandémie de COVID-19, qui a contraint les systèmes de santé à déployer des solutions de télémédecine en urgence, sans toujours disposer du temps nécessaire pour évaluer les risques associés.
Pour les directions d'établissements de santé, la télémédecine introduit une catégorie de risques nouvelle : les risques liés à la technologie dans un contexte où les conséquences d'une défaillance touchent directement la sécurité des patients. Cette réalité impose une gouvernance rigoureuse qui ne peut pas être déléguée aux seules équipes IT.
La transformation du périmètre de risque
Un établissement qui déploie une solution de télémédecine étend son périmètre de risque au-delà de ses murs. Les données de santé circulent sur des réseaux publics. Les patients accèdent aux services depuis des équipements personnels non contrôlés. Les professionnels de santé exercent depuis des locaux qui ne sont pas toujours équipés de réseaux sécurisés. Chacun de ces éléments introduit des risques de confidentialité, d'intégrité et de disponibilité que le cadre traditionnel de sécurité hospitalière ne couvre pas.
Le RGPD, renforcé par les référentiels de sécurité des systèmes d'information de santé (PGSSI-S en France, Cyber Essentials NHS au Royaume-Uni), impose aux établissements de santé de protéger les données traitées dans le cadre de la télémédecine avec le même niveau d'exigence que les données traitées en présentiel.
Les dimensions réglementaires de la télémédecine
Le cadre réglementaire de la télémédecine varie selon les pays mais partage des exigences communes. La protection des données de santé — données sensibles au sens du RGPD — impose des mesures de sécurité techniques et organisationnelles renforcées. La certification HDS (Hébergeur de Données de Santé) est obligatoire en France pour les solutions hébergeant des données de santé à caractère personnel. La qualification des logiciels de télémédecine comme dispositifs médicaux en Europe (règlement MDR) impose des procédures de marquage CE spécifiques.
Ces obligations se cumulent et concernent directement les établissements qui sélectionnent, déploient et exploitent des solutions de télémédecine. La responsabilité ne se transfère pas intégralement au fournisseur de solution : l'établissement reste co-responsable du traitement des données.
La continuité des soins comme enjeu central
Dans les services de santé, une interruption de service n'est pas seulement un incident technique : elle peut avoir des conséquences directes sur la prise en charge de patients. Un service de téléconsultation en cardiologie ou en psychiatrie dont le système est indisponible laisse des patients sans accès à leur professionnel de santé dans des situations potentiellement critiques. Cette dimension impose que les plans de continuité des solutions de télémédecine soient intégrés dans les plans de continuité d'activité des établissements, non traités comme des outils IT secondaires.
Universal Health Services, l'une des plus grandes chaînes hospitalières américaines (400 établissements), a été touchée par le ransomware Ryuk en septembre 2020. Des systèmes incluant les plateformes de télémédecine ont été chiffrés, forçant le retour au papier dans des centaines d'établissements. Le coût estimé dépasse 67 millions de dollars. Cet incident illustre l'impact d'une attaque sur les systèmes de télémédecine dans un réseau hospitalier intégré.
Le déploiement accéléré de la télémédecine au NHS pendant COVID-19 a révélé des lacunes de sécurité : consultations sur des plateformes grand public non certifiées pour les données de santé, absence de vérification formelle de l'identité des patients, et enregistrements de consultation stockés sans chiffrement. Le National Audit Office a documenté ces lacunes dans son rapport 2021 sur la transformation numérique du NHS, recommandant un cadre de sécurité dédié à la télémédecine.
La Health Sciences Authority de Singapour a publié en 2020 un cadre réglementaire pour la télémédecine incluant des exigences spécifiques sur la sécurité des données, l'authentification des patients et des professionnels, et la gestion des incidents. Ce cadre, révisé en 2022, impose aux prestataires de télémédecine de se soumettre à des audits de sécurité annuels et de notifier les incidents affectant des données de santé dans les 72 heures au PDPC (Personal Data Protection Commission).