Points clés
- La distance physique entre patient et professionnel de santé introduit des risques spécifiques absents dans la consultation présentielle.
- Ces risques concernent l'identité des parties, la confidentialité de l'environnement, la qualité de la transmission et la disponibilité de la connexion.
- Une étude de l'American Medical Association (2022) indique que 32 % des médecins ayant pratiqué la télémédecine ont connu au moins un incident de sécurité lié à la distance.
- Le risque d'usurpation d'identité en télémédecine est structurellement plus élevé qu'en présentiel : la vérification physique du patient n'est pas possible.
- L'ANSM (Agence nationale de sécurité du médicament) a émis des alertes sur les prescriptions médicales frauduleuses facilitées par des failles d'authentification dans les systèmes de téléconsultation.
La consultation présentielle bénéficie d'un ensemble de vérifications implicites : le professionnel voit physiquement le patient, peut valider une pièce d'identité, observe son environnement immédiat et s'assure de la confidentialité de l'échange. La télémédecine supprime ces mécanismes de vérification naturels et les remplace par des processus numériques qui doivent être explicitement conçus et sécurisés.
Cette réalité n'invalide pas la télémédecine — elle en définit les exigences. Les directions d'établissements qui comprennent ces enjeux peuvent les intégrer dans leurs processus de sélection et de déploiement des solutions. Celles qui les ignorent s'exposent à des incidents qui auraient été évitables.
Les risques d'identité
L'identité du patient et du professionnel de santé est un prérequis à la légitimité de l'acte de télémédecine. En présentiel, cette vérification est physique. À distance, elle repose sur des mécanismes d'authentification numérique dont la robustesse varie considérablement selon les solutions. La question n'est pas seulement technique : une prescription émise sur la base d'une fausse identité patient, ou par un professionnel dont les identifiants ont été volés, engage la responsabilité de l'établissement.
Les solutions de télémédecine doivent intégrer des mécanismes d'authentification adaptés au niveau de risque : vérification de l'identité du patient via des documents officiels pour les actes à enjeu élevé, authentification forte des professionnels de santé via des dispositifs comme la carte CPS (Carte de Professionnel de Santé) en France.
Les risques liés à l'environnement du patient
L'environnement dans lequel le patient se trouve lors d'une téléconsultation est un risque peu formalisé mais réel. La présence non déclarée de tiers, une connexion Wi-Fi partagée dans un espace public, ou l'utilisation d'un équipement appartenant à un tiers constituent des risques de confidentialité que le professionnel de santé doit pouvoir évaluer. Les protocoles de téléconsultation doivent inclure une vérification de l'environnement du patient en début de séance.
HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis impose que les échanges de télémédecine se déroulent dans des environnements garantissant la confidentialité des informations de santé. La responsabilité de vérifier ces conditions incombe à l'établissement qui déploie le service.
Les risques de disponibilité et de qualité de transmission
La qualité de la connexion réseau du patient est un facteur de risque clinique. Une consultation dermatologique interrompue par une perte de connexion, une transmission vidéo dégradée lors d'un examen psychiatrique, ou un délai de synchronisation dans un monitoring cardiaque à distance peuvent avoir des conséquences cliniques directes. Les établissements doivent définir les exigences minimales de connexion pour chaque type d'acte de télémédecine et documenter les procédures en cas de connexion insuffisante : bascule sur appel téléphonique, report de consultation, ou orientation vers une consultation présentielle.
La FTC et le DOJ américains ont documenté plusieurs schémas de fraude exploitant des plateformes de télémédecine peu sécurisées pour obtenir des prescriptions de médicaments contrôlés. Des patients utilisaient de fausses identités ou des professionnels de santé complaisants dans des réseaux frauduleux. L'opération "Telemedicine Conspiracy" (2020) a résulté en 86 inculpations pour fraude aux assurances santé via la télémédecine, impliquant des prescriptions frauduleuses de plus de 4 milliards de dollars.
La CNIL a sanctionné en 2021 un prestataire de télémédecine français pour des enregistrements de consultations stockés sur des serveurs non certifiés HDS, accessibles à des employés non habilités. L'enquête a révélé que des données d'échanges entre patients et médecins — incluant des informations psychiatriques sensibles — étaient accessibles via des comptes partagés sans authentification forte. L'amende et l'obligation de mise en conformité sous six mois ont mis en lumière les risques spécifiques à la distance dans la gestion de la confidentialité.
Halodoc, l'une des principales plateformes de télémédecine d'Indonésie, a été confrontée à un incident de sécurité exposant des données de patients. L'investigation a révélé une insuffisance dans l'authentification des accès à la base de données de consultations. L'incident a conduit le ministère de la Santé indonésien à renforcer ses exigences réglementaires pour les plateformes de télémédecine, incluant des audits de sécurité obligatoires et une certification pour la gestion des données de santé.