Points clés
- Les responsabilités des établissements de santé dans les actes de télémédecine sont précisément définies par le cadre réglementaire et ne peuvent pas être intégralement transférées au prestataire de solution.
- L'établissement reste co-responsable du traitement des données de santé, de la qualité des soins et de la sécurité des actes réalisés sur sa plateforme.
- La CNIL a sanctionné des établissements de santé pour des violations de données survenues chez des prestataires de télémédecine, au motif d'une insuffisance de due diligence contractuelle.
- NIS2 classe les organisations de santé de taille significative comme entités essentielles, avec les obligations de sécurité et les régimes de responsabilité associés.
- Le médecin réalisant un acte de télémédecine conserve sa responsabilité médicale individuelle, indépendamment des défaillances éventuelles de la plateforme technique.
La télémédecine crée un triangle de responsabilités qui peut être source de confusion : l'établissement de santé, le prestataire de la solution technologique, et le professionnel de santé qui réalise l'acte. Ce triangle ne doit pas devenir un espace de dilution des responsabilités où chaque acteur renvoie la faute vers les deux autres en cas d'incident.
Les cadres réglementaires — RGPD, droit médical national, Code de la santé publique en France, HIPAA aux États-Unis — définissent précisément les responsabilités de chaque acteur. La direction d'un établissement qui déploie des services de télémédecine doit s'assurer que ces responsabilités sont comprises, documentées dans les contrats et traduite en processus opérationnels concrets.
Les responsabilités de l'établissement en tant que responsable de traitement
Au sens du RGPD, l'établissement de santé est généralement responsable de traitement pour les données de santé de ses patients, y compris dans le cadre de la télémédecine. Cette qualité emporte des obligations précises : définir les finalités et les moyens du traitement, s'assurer de la conformité des sous-traitants (le prestataire de solution), documenter les traitements dans le registre des activités, et répondre des droits des personnes concernées.
La sous-traitance de la plateforme technique à un tiers ne transfère pas le statut de responsable de traitement : l'établissement reste responsable et doit s'assurer que le prestataire offre des garanties suffisantes via un DPA (Data Processing Agreement) conforme RGPD et des audits périodiques.
Les responsabilités spécifiques à la qualité des soins
L'établissement de santé est responsable de la qualité des soins délivrés via ses services de télémédecine, au même titre que pour les soins présentiel. Cette responsabilité implique que les protocoles cliniques de télémédecine soient définis et validés, que les professionnels de santé soient formés, et que les limitations des actes réalisables à distance soient documentées et respectées. La HAS en France précise les actes de télémédecine autorisés et les conditions dans lesquelles ils peuvent être réalisés.
Un incident clinique survenu lors d'un acte de télémédecine engage la responsabilité de l'établissement selon les mêmes principes que pour un acte présentiel : responsabilité pour faute (du professionnel ou de l'organisation), responsabilité pour défaut d'organisation, responsabilité pour défaut d'information du patient.
Les responsabilités lors d'un incident de sécurité
Lors d'un incident de sécurité affectant la plateforme de télémédecine, l'établissement a des obligations de notification précises. RGPD : notification à la CNIL dans les 72 heures, information des patients si le risque est élevé. NIS2 : notification à l'autorité nationale compétente dans les délais prescrits. Code de la santé publique : signalement aux autorités sanitaires selon la nature de l'incident. Ces obligations sont cumulatives et s'appliquent indépendamment du fait que l'incident ait pour origine l'établissement ou son prestataire.
L'OCR a conclu plusieurs accords de résolution avec des prestataires de télémédecine pour violations HIPAA, engageant la responsabilité des établissements de santé co-responsables. Dans un cas notoire, un établissement hospitalier a dû payer 875 000 dollars d'amende pour avoir déployé une plateforme de télémédecine sans avoir effectué d'évaluation des risques HIPAA préalable ni mis en place de contrat de Business Associate Agreement avec le prestataire — une obligation fondamentale que l'établissement avait omis de considérer.
L'Assistance Publique - Hôpitaux de Paris (AP-HP) a développé un cadre contractuel type pour ses prestataires de télémédecine, incluant des clauses de responsabilité partagée, des obligations d'audit et des SLA sur la disponibilité et la sécurité. Ce cadre, développé en coordination avec la CNIL et l'ANS, précise la répartition des responsabilités entre l'AP-HP (responsable de traitement), le médecin (responsabilité médicale) et le prestataire (sous-traitant des données). Il est utilisé comme modèle par plusieurs autres CHU français.
Le Ministry of Health de Singapour a introduit un régime de licence pour les prestataires de télémédecine, imposant que les établissements de santé utilisant des plateformes de tiers s'assurent de leur conformité aux exigences réglementaires. Ce régime établit clairement la responsabilité de l'établissement dans la sélection et la supervision de ses prestataires de télémédecine, même lorsque la plateforme est opérée par un tiers. Les établissements non conformes s'exposent à la suspension ou au retrait de leur licence.