Points clés
- Le déploiement des solutions de télémédecine reproduit souvent les erreurs classiques des projets IT, aggravées par les enjeux spécifiques à la santé.
- Les erreurs les plus fréquentes sont le choix de solutions non certifiées, l'absence de formation des professionnels, et l'intégration insuffisante dans les systèmes d'information hospitaliers existants.
- 50 % des établissements ayant déployé des solutions de télémédecine pendant COVID-19 n'avaient pas réalisé d'analyse de risque préalable selon un rapport ECRI 2021.
- L'utilisation de plateformes grand public (Zoom, WhatsApp) pour des consultations médicales constitue une violation des obligations RGPD et HDS dans la plupart des États membres.
- La formation des professionnels de santé à la sécurité des données en télémédecine est une obligation documentée dans les référentiels de la Haute Autorité de Santé (HAS) en France.
La précipitation qui a caractérisé de nombreux déploiements de télémédecine pendant la pandémie de COVID-19 a cristallisé des erreurs récurrentes. Ces erreurs, documentées par les agences de santé numériques dans plusieurs pays, ne sont pas irrémédiables — mais elles créent des risques structurels qui persistent bien après la phase d'urgence initiale.
Les directions d'établissements qui prennent conscience de ces erreurs a posteriori se retrouvent dans une situation difficile : elles doivent à la fois maintenir la continuité des services de télémédecine déjà en place et conduire une mise en conformité qui peut nécessiter des changements significatifs de solutions, de processus et de formation.
Le choix de solutions non certifiées
L'erreur la plus répandue est le recours à des solutions de visioconférence grand public pour des consultations médicales. Ces solutions — même si elles offrent le chiffrement de bout en bout — ne respectent pas les exigences spécifiques à la gestion des données de santé : localisation des données dans l'UE, certification HDS pour l'hébergement, capacité d'audit des accès, contrats de traitement de données conformes au RGPD.
En France, la CNIL a émis une recommandation explicite en 2020 contre l'utilisation de WhatsApp, Zoom ou FaceTime non configurés pour des consultations médicales. Les établissements qui ont ignoré cette recommandation s'exposent à des sanctions en cas d'incident, indépendamment de l'urgence sanitaire initiale.
L'intégration insuffisante dans le SIH
Déployer une solution de télémédecine en silo — déconnectée du Système d'Information Hospitalier (SIH) — crée des risques de double saisie, de perte d'information et d'incohérence entre les données de consultation à distance et le dossier patient informatisé. Cette fragmentation expose les patients à des risques cliniques (informations manquantes dans le dossier, incohérences de traitement) et les établissements à des risques de responsabilité.
Les référentiels d'interopérabilité HL7 FHIR et IHE (Integrating the Healthcare Enterprise) définissent les standards d'intégration des solutions de télémédecine dans les architectures SI de santé. Ces standards doivent être une exigence contractuelle lors de la sélection d'une solution.
L'absence de formation des professionnels
Les professionnels de santé ne sont pas naturellement formés aux enjeux de sécurité numérique. Les comportements à risque dans les consultations à distance — utiliser son réseau personnel sans VPN, partager son écran avec des informations patients visibles en arrière-plan, ne pas vérifier l'identité du patient en début de séance — résultent souvent d'une absence de formation adaptée plutôt que d'une négligence délibérée.
La HAS recommande que tout professionnel de santé pratiquant la télémédecine reçoive une formation initiale et une mise à jour annuelle sur les obligations légales et les bonnes pratiques de sécurité. Cette formation doit inclure des cas pratiques adaptés aux situations rencontrées dans la pratique quotidienne.
Le bureau des droits civils (OCR) du Department of Health and Human Services a traité plusieurs plaintes liées à des violations HIPAA dans des contextes de télémédecine, dont des cas d'utilisation de FaceTime et Zoom non configurés par des professionnels de santé. Suite à la levée des dérogations d'urgence COVID-19, l'OCR a clarifié en 2023 que les exceptions temporaires ne couvraient plus l'utilisation de plateformes non conformes HIPAA pour les consultations médicales impliquant des données de santé protégées.
Le Comité européen de la protection des données (EDPB) a publié en 2021 des orientations sur la télémédecine et le RGPD, identifiant explicitement les erreurs de déploiement les plus fréquentes : absence de base légale adaptée, transferts de données vers des pays tiers non encadrés, et absence de mesures de sécurité appropriées pour les données de santé. Ces orientations ont conduit plusieurs autorités nationales de protection des données à engager des contrôles ciblés sur les prestataires de télémédecine.
MyDoc, une plateforme de télémédecine singapourienne, a été identifiée dans un rapport de la CSA Singapore comme présentant des vulnérabilités dans son processus d'authentification permettant potentiellement l'accès non autorisé aux dossiers de consultation. L'incident a conduit MyDoc à renforcer son authentification multifacteur et à faire auditer l'ensemble de sa plateforme par un cabinet certifié. La PDPC a ouvert une enquête préliminaire sur les pratiques de gestion des données.