Telemedecine et RGPD : des enjeux croissants
La telemedecine a connu une acceleration sans precedent depuis 2020. Teleconsultations, teleexpertise, telesurveillance : ces pratiques generent des flux massifs de donnees de sante qui transitent par des plateformes numeriques. Le RGPD encadre strictement ces traitements pour proteger la vie privee des patients.
En 2026, la telemedecine represente une part significative des consultations medicales. Les plateformes de teleconsultation, les objets connectes de sante et les applications de suivi patient multiplient les points de collecte de donnees sensibles. Comprendre les obligations RGPD est devenu indispensable pour tout professionnel de sante pratiquant a distance.
Les actes de telemedecine concernes
Teleconsultation
La teleconsultation permet a un patient de consulter un medecin a distance par visioconference. Cet acte genere des donnees de sante (motif de consultation, diagnostic, prescription), des donnees techniques (adresse IP, identifiants de connexion, enregistrements video eventuels) et des metadonnees (date, duree, plateforme utilisee).
Teleexpertise
La teleexpertise implique l’echange de donnees medicales entre professionnels de sante pour obtenir un avis specialise. Les images medicales, comptes rendus et donnees cliniques sont partages entre le medecin demandeur et le medecin requis, multipliant les destinataires des donnees du patient.
Telesurveillance medicale
La telesurveillance repose sur la collecte continue de donnees de sante via des dispositifs connectes : tensiometres, glucometres, oximetres, balances. Ces donnees sont transmises en temps reel a une plateforme de surveillance et analysees par des professionnels de sante. Le volume et la frequence de collecte rendent la protection particulierement complexe.
Obligations RGPD specifiques
Base legale des traitements
Les traitements de donnees en telemedecine reposent principalement sur deux bases legales. La prise en charge medicale (article 9.2.h du RGPD) justifie le traitement des donnees de sante dans le cadre des soins. Le consentement explicite du patient est requis pour l’acte de telemedecine lui-meme (article L6316-1 du Code de la sante publique).
Il est essentiel de distinguer le consentement aux soins par telemedecine (obligatoire) du consentement au traitement des donnees (qui n’est generalement pas la base legale principale pour les donnees de sante dans le cadre du soin).
Information renforcee du patient
L’information du patient doit etre particulierement complete en telemedecine. Au-dela des mentions classiques du RGPD, le patient doit etre informe de la nature des donnees collectees par la plateforme, des conditions de stockage et d’hebergement, des eventuels transferts de donnees, de la politique de conservation des enregistrements video et des mesures de securite mises en place.
Analyse d’impact obligatoire
La CNIL considere que les traitements de telemedecine necessitent systematiquement une AIPD (Analyse d’Impact relative a la Protection des Donnees). Le traitement de donnees de sante a grande echelle, combine a l’utilisation de nouvelles technologies et a la vulnerabilite potentielle des patients, remplit les criteres declenchant cette obligation.
L’AIPD doit couvrir l’ensemble de la chaine de traitement : collecte lors de la consultation, transmission vers la plateforme, stockage, acces par les professionnels, archivage et suppression.
Securite des plateformes de telemedecine
Exigences techniques
Les plateformes de teleconsultation doivent repondre a des exigences de securite strictes. Le chiffrement de bout en bout des communications video et audio est indispensable. L’authentification forte des professionnels de sante (carte CPS ou equivalent) et la verification de l’identite du patient sont requises.
Les donnees echangees pendant la consultation doivent transiter par des canaux securises. Les eventuels enregistrements doivent etre chiffres et stockes dans un environnement certifie HDS. La plateforme doit garantir la confidentialite des echanges et empecher tout acces non autorise.
Certification HDS obligatoire
L’hebergement des donnees de sante collectees en telemedecine doit etre realise chez un prestataire certifie HDS. Cette exigence s’applique a la plateforme de teleconsultation, au stockage des comptes rendus, aux enregistrements video et aux donnees de telesurveillance. Le professionnel de sante doit verifier la certification de la plateforme qu’il utilise.
Objets connectes et telesurveillance
Les dispositifs medicaux connectes utilises en telesurveillance posent des defis specifiques. La securite des donnees collectees, la fiabilite de la transmission et la protection contre les cyberattaques doivent etre garanties. Le fabricant du dispositif et l’editeur de la plateforme de collecte partagent la responsabilite de la securite avec le professionnel de sante.
Choix de la plateforme : criteres RGPD
Le choix d’une plateforme de teleconsultation doit integrer des criteres de conformite RGPD. Le professionnel de sante doit verifier : la certification HDS de l’hebergeur, la localisation des donnees (idealement en France ou dans l’Union europeenne), le chiffrement des communications, la politique de conservation des donnees, les engagements contractuels du prestataire (contrat de sous-traitance article 28) et les garanties en matiere de portabilite des donnees.
Les solutions grand public de visioconference (non dediees a la sante) ne repondent generalement pas a ces exigences et ne doivent pas etre utilisees pour des teleconsultations.
Conservation des donnees
Les durees de conservation en telemedecine suivent les regles applicables aux donnees de sante. Les comptes rendus de teleconsultation sont conserves comme tout document medical. Les enregistrements video, s’ils existent, doivent avoir une duree de conservation limitee et justifiee. Les donnees de telesurveillance doivent etre purgees selon une politique definie en amont.
Les donnees techniques de connexion (logs, adresses IP) sont conservees selon les obligations legales applicables aux hebergeurs.
Responsabilites partagees
La telemedecine implique souvent une responsabilite conjointe entre le professionnel de sante et l’editeur de la plateforme. Le professionnel reste responsable du traitement des donnees de sante dans le cadre du soin. L’editeur de la plateforme agit comme sous-traitant pour les aspects techniques. Les roles et responsabilites doivent etre clairement definis dans un contrat conforme a l’article 28 du RGPD.
Conclusion
La telemedecine offre des opportunites considerables pour l’acces aux soins, mais elle exige une vigilance renforcee en matiere de protection des donnees. Le choix d’outils conformes, la formation des professionnels et l’accompagnement par un DPO specialise sont les cles d’une pratique de la telemedecine respectueuse du RGPD.
Article redige par Laurent de Cavel, DPO certifie.
