Points clés
- Le cadre réglementaire des soins à distance combine des obligations générales (RGPD, droit médical) et des exigences spécifiques à la télémédecine (certifications, protocoles de prescription).
- Ce cadre est en évolution rapide : plusieurs pays ont modifié ou renforcé leurs réglementations suite aux déploiements d'urgence pendant la pandémie de COVID-19.
- En France, la télémédecine est encadrée par les articles L6316-1 à L6316-6 du Code de la santé publique et les décrets d'application associés.
- La directive européenne sur les soins transfrontaliers (2011/24/UE) et le règlement EHDS (European Health Data Space) en cours d'adoption définissent le cadre européen de la santé numérique transfrontalière.
- NIS2 classe les établissements de santé de taille significative comme entités essentielles, imposant des obligations de cybersécurité formalisées qui s'appliquent à leurs systèmes de télémédecine.
La conformité réglementaire des services de soins à distance est un exercice de navigation dans un corpus multi-niveaux : réglementations nationales du droit médical, réglementations européennes de protection des données, certifications techniques spécifiques à la santé numérique, et réglementations sectorielles de la cybersécurité. Ces niveaux se cumulent et s'articulent, créant des obligations qui exigent une veille réglementaire permanente.
Pour les directions d'établissements, la conformité réglementaire des services de télémédecine n'est pas une préoccupation ponctuelle à traiter lors du déploiement initial. C'est un programme continu qui doit être intégré dans la gouvernance de l'établissement, avec les ressources dédiées nécessaires.
Le droit médical et la télémédecine
Le droit médical national encadre les conditions dans lesquelles les actes de télémédecine peuvent être réalisés. En France, la loi distingue cinq types d'actes : la téléconsultation (consultation à distance), la téléexpertise (avis d'un professionnel auprès d'un autre), la télésurveillance médicale (suivi des paramètres de santé), la téléassistance médicale (assistance lors d'un acte), et la régulation médicale. Chaque type d'acte est soumis à des conditions spécifiques : enregistrement au dossier patient, obligation de consultation présentielle préalable dans certains cas, conditions de prescription.
Ces conditions varient selon les pays et évoluent régulièrement. Les établissements opérant dans plusieurs juridictions doivent maintenir une veille réglementaire par pays pour s'assurer que leurs protocoles restent conformes.
Les réglementations de protection des données en santé
Le RGPD constitue le socle européen de protection des données de santé. Il est complété par des réglementations nationales plus strictes dans plusieurs États membres (CCPA en Californie pour les États-Unis, Privacy Act en Australie, PDPA en Asie du Sud-Est). Les données de santé sont des données sensibles au sens de l'article 9 du RGPD, bénéficiant d'une protection renforcée. Leur traitement dans un contexte de télémédecine requiert une base légale spécifique et des mesures de sécurité appropriées.
L'European Health Data Space (EHDS), dont les négociations ont été finalisées en 2024, crée un cadre commun pour l'utilisation secondaire des données de santé dans l'UE tout en renforçant les droits des patients sur leurs données.
Les certifications techniques obligatoires
En France, la certification HDS (Hébergeur de Données de Santé) est obligatoire pour tout hébergement de données de santé à caractère personnel. Cette certification, accordée par un organisme accrédité, atteste que l'hébergeur respecte les exigences techniques et organisationnelles définies par le référentiel HDS. Les établissements de santé qui hébergent eux-mêmes leurs données de télémédecine doivent être certifiés HDS. Ceux qui sous-traitent à un prestataire doivent s'assurer que ce prestataire est certifié.
Le 21st Century Cures Act et ses règles d'implémentation ont imposé aux prestataires de santé et aux développeurs de solutions de santé numérique d'interdire les pratiques de blocage de l'information (information blocking) qui empêchent les patients d'accéder à leurs données. Ces règles ont conduit à un renforcement des exigences d'interopérabilité des plateformes de télémédecine et à des sanctions contre les établissements pratiquant le blocage d'information, allant jusqu'à 1 million de dollars d'amende par violation.
Le règlement européen sur l'Espace Européen des Données de Santé (EHDS), adopté en 2024, impose de nouvelles obligations aux prestataires de services de santé numérique, incluant les plateformes de télémédecine. Ces obligations incluent l'interopérabilité avec les dossiers de santé électroniques nationaux, le respect du droit à la portabilité des données de santé des patients, et des exigences de sécurité harmonisées. L'entrée en vigueur progressive du règlement laisse aux États membres et aux prestataires un délai d'adaptation, mais la conformité finale est une obligation légale non négociable.
La Thaïlande a mis en application son Personal Data Protection Act (PDPA) en juin 2022, avec des dispositions spécifiques pour les données de santé. Les établissements de santé thaïlandais proposant des services de télémédecine ont dû revoir leurs pratiques de traitement des données, obtenir les consentements appropriés et mettre en place des contrats de traitement de données avec leurs prestataires technologiques. La PDPC thaïlandaise a conduit des inspections ciblées sur le secteur de la santé numérique dans les 12 mois suivant l'entrée en vigueur.