Points clés
- Un dispositif de télémédecine insuffisamment sécurisé produit des signaux détectables que les équipes de direction peuvent identifier.
- Ces signaux incluent l'absence de certification des solutions, l'absence de processus d'authentification forte, et l'absence de journalisation des accès.
- Une enquête du Ponemon Institute (2023) indique que 89 % des établissements de santé américains ont connu au moins une violation de données dans les deux années précédentes, une grande partie liée aux outils de télémédecine.
- L'absence d'un contrat de traitement de données conforme RGPD avec le prestataire de télémédecine est le signal réglementaire le plus immédiatement sanctionnable.
- MDS2 (Manufacturer Disclosure Statement for Medical Device Security) est le document de référence pour évaluer la sécurité d'un dispositif médical numérique avant déploiement.
L'évaluation de la sécurité d'un dispositif de télémédecine ne nécessite pas une expertise technique approfondie de la part des directions d'établissements. Plusieurs indicateurs accessibles permettent d'identifier rapidement si un dispositif déployé ou en cours de déploiement présente des lacunes significatives. Ces signaux doivent être intégrés dans les processus de sélection et de révision périodique des solutions.
Les signaux d'alerte dans ce domaine sont analogues aux signaux que les auditeurs financiers utilisent pour identifier des risques de contrôle interne : ils ne prouvent pas l'existence d'un incident, mais indiquent une probabilité accrue qu'un incident se produise si les lacunes ne sont pas corrigées.
Les signaux documentaires
Plusieurs documents permettent d'évaluer rapidement le niveau de maturité de sécurité d'un prestataire de télémédecine. L'absence de certification ISO 27001 ou HDS (en France) est un signal immédiat. L'absence de contrat de traitement de données (DPA — Data Processing Agreement) conforme RGPD avec le prestataire est une violation réglementaire en elle-même. L'impossibilité d'obtenir un rapport d'audit de sécurité récent (SOC 2 Type II, rapport CSTAR, ou équivalent) est un signal que le prestataire ne soumet pas sa sécurité à une évaluation externe formelle.
MDS2 (Manufacturer Disclosure Statement for Medical Device Security), standardisé par HIMSS et la National Electrical Manufacturers Association, est le document que les fabricants de dispositifs médicaux numériques doivent produire pour informer les établissements sur les caractéristiques de sécurité du dispositif. Son absence ou son caractère incomplet dans une réponse à appel d'offres est un signal significatif.
Les signaux opérationnels
Au-delà des documents, des observations opérationnelles révèlent une sécurité insuffisante. L'absence d'authentification multifacteur pour les professionnels accédant à la plateforme est un signal critique : les identifiants des professionnels de santé sont régulièrement ciblés par des campagnes de phishing. L'absence de journalisation des accès au dossier patient dans le contexte de télémédecine rend impossible toute investigation post-incident. L'absence de procédure documentée de gestion des incidents de sécurité chez le prestataire est un signal que sa réponse à un incident sera désorganisée.
Ces observations peuvent être validées lors d'un processus de due diligence avant signature de contrat, ou lors d'audits périodiques des prestataires en place.
Les signaux réglementaires
Les autorités de santé numérique publient régulièrement des informations sur les incidents et les non-conformités détectés dans le secteur. En France, la ANS (Agence du Numérique en Santé) maintient un référentiel des solutions de télémédecine conformes aux exigences de sécurité. Aux États-Unis, l'ONC (Office of the National Coordinator for Health Information Technology) publie une liste des solutions certifiées. L'utilisation de solutions non référencées dans ces registres officiels est un signal que la conformité réglementaire n'a pas été validée par un tiers.
Cerebral, une application de santé mentale en ligne (thérapie et prescriptions à distance), a notifié 3,1 millions d'utilisateurs d'une violation de leurs données de santé après avoir découvert que des pixels de suivi de Meta (Facebook Pixel) et Google Analytics avaient transmis des données de santé sensibles à des fins publicitaires. L'OCR a ouvert une enquête pour violation HIPAA. Cet incident illustre un signal d'alerte fréquent dans les solutions de télémédecine : l'intégration d'outils d'analyse tiers sans évaluation de leur impact sur la confidentialité des données de santé.
La CNIL et son homologue irlandais (DPC) ont traité plusieurs plaintes liées à des transferts de données de santé hors UE par des prestataires de télémédecine américains opérant en Europe. Ces transferts, effectués sans les garanties appropriées (Standard Contractual Clauses mises à jour post-Schrems II), ont exposé les établissements de santé co-responsables à des risques réglementaires. L'absence de vérification des flux de données transfrontaliers dans les contrats de télémédecine est le signal d'alerte documenté dans ces cas.
Apollo Hospitals, l'un des plus grands groupes hospitaliers privés d'Inde, a déployé une plateforme de télémédecine à grande échelle. Une évaluation de sécurité commandée par le groupe a identifié plusieurs signaux d'alerte : API non authentifiées permettant l'accès à des informations de rendez-vous, absence de chiffrement des données au repos sur certains serveurs régionaux, et processus d'authentification insuffisant pour les médecins intervenant depuis des appareils personnels. Ces lacunes ont été corrigées dans le cadre d'un programme de mise en conformité de 18 mois.