Communication scientifique
Séance du 7 février 2006

La responsabilité en télémédecine

MOTS-CLÉS : confidentialité. responsabilité légale. stockage et recherche information droits du patient. télémédecine
Responsability in telemedicine
KEY-WORDS : confidentiality. information storage and retrieval. liability, legal. patient rights. telemedicine

Claudine Esper

Résumé

Les réseaux de télémédecine posent des questions de droit. Elles concernent le patient, les professionnels de santé, l’hébergeur de données. Le patient doit être informé. Il dispose d’un libre choix du soignant. La plus grande confidentialité s’applique aux informations de santé le concernant. Les professionnels de santé bénéficient tous d’un égal traitement. Ils doivent conserver leur indépendance au sein du réseau. Enfin, leur responsabilité peut se voir engager. Quelques règles doivent être dégagées en la matière. Le tiers hébergeur est un nouvel acteur du système de santé. Personne physique ou morale, il héberge des données les plus délicates selon des conditions précises.

Summary

Telemedicine networks raise a number of legal issues that concern patients, health professionals and data managers alike. Patients must be informed, and, in France, can freely choose the persons who treat them. Individual patients’ healthcare information must be kept strictly confidential. All healthcare professionals have a right to equal consideration, and must retain their independence within the network. Their responsibility can be engaged, and this calls for specific guidelines. The data manager is a new actor in the healthcare system. Whether an individual or an organization, the data manager must store sensitive information in precise conditions.

LE PATIENT

Le patient est informé. Il dispose d’un libre choix. Les données nominatives le concernant sont soumises à la plus grande confidentialité.


L’information du patient

Avant la loi du 4 mars 2002, la jurisprudence civile et administrative témoignait de la volonté du juge de s’assurer que le patient était totalement informé de ce qu’il ‘‘ pouvait ’’ entendre.

La loi du 4 mars 2002 a consacré le droit à l’information du patient (art. L 1111-2 CSP).

Il faut remarquer que si dans la loi elle-même, aucune disposition concernant plus précisément le réseau de télémédecine n’est énoncée, le décret du 17 décembre 2002 insiste sur l’information du patient (art. D 766-1-3 CSP).

L’existence d’un échange de données électroniques renforce en effet l’obligation d’information. Le patient doit savoir comment il est soigné, par qui, selon quelle organisation… Les liens entre les acteurs de santé concernés, le rôle et la fonction de chacun doivent être portés à sa connaissance. On ne peut que conseiller, dans le cadre d’une convention constitutive de réseau de télémédecine, de prévoir une bonne organisation de cette information et un engagement des acteurs sur ce point précis.

A titre d’exemple, il faut citer les réseaux éditant des brochures informatives à l’attention des malades qui bénéficient de leurs prestations ( ainsi, réseau Espoir en insuffisance rénale ; réseau Adepafin en périnatalité ; S. Ségui, Les nouveaux réseaux de santé. L’exemple du réseau Réqua : ses travaux sur l’information du patient, Gaz.

Pal., 15 décembre 2002 ). Il faut citer également la réalisation de charte de déontologie de réseaux ( réseau Télif, AP-HP ).

Le libre choix du patient

Ce libre choix, établi par le code de déontologie médicale (art. 6), caractérise l’exercice de la profession de médecin dans le pays.

La constitution d’un réseau de télémédecine ne doit en rien y porter atteinte.

Le Conseil d’Etat a déjà eu l’occasion de s’exprimer sur ce point. Il a rejeté, par un arrêt du 27 avril 1998 (no 183574), la requête présentée par le syndicat des médecins libéraux à l’encontre du décret du 11 septembre 1996 pour l’application de l’article L 162-31-1 CSS. Pour soutenir que le texte prévoyant les filières de soins ne portait pas atteinte à ce principe du libre choix, la haute juridiction a affirmé que le recours à ce mode d’organisation ne vaut que pour les bénéficiaires de l’assurance maladie ayant donné leur accord, et que rien ne prévoyait que cet accord était irrévocable.

Ces notions sont, dans le cas d’un réseau de télémédecine, particulièrement intéressantes. Il convient d’être vigilant dans la constitution du réseau pour que rien ‘‘ n’oblige ’’ le patient. Il doit savoir qu’à tout moment il peut quitter le réseau. Cela peut faire partie de son information.

Le décret du 17 décembre 2002 confirme ce point en indiquant que :

‘‘ le réseau garantit à l’usager le libre choix d’accepter de bénéficier du réseau ou de s’en retirer. Il garantit également à l’usager le libre choix des professionnels de santé intervenant dans le réseau ’’ (art. D 766-1-3, al. 1) La confidentialité des données

Un nouveau système d’information est créé par le réseau de télémédecine. Le partage des données est organisé, par le biais de technologies nouvelles (informatique, internet, intranet…).

A la suite de l’ordonnance du 24 avril 1996, la circulaire du 9 avril 1997 relative aux réseaux de soins et aux communautés d’établissements mettait l’accent sur la nécessité d’être vigilant en matière de confidentialité.

Certes le secret est partagé entre soignants d’un même patient. Mais la mise en place du réseau ne dégage en rien de sa propre responsabilité en matière de secret.

Il doit être admis que chacun n’a pas accès à toute l’information. Il existe une hiérarchisation, des limites strictes et des accès bien définis dans l’information.

La loi du 4 mars 2002 cite le réseau à l’article L 1110-4 consacré au respect de la vie privée et du secret des informations la concernant :

‘‘ Toute personne prise en charge par un professionnel, un établissement, un réseau… a droit au respect de sa vie privée et au secret… ’’ Sur ce plan, on ne peut que faire référence aux avis de la CNIL rendus en matière de réseau ( notamment délibération no 97-049 du 24 juin 1997 sur la mise en place d’un réseau entre l’hôpital d’Annecy et les médecins libéraux sur internet ), et à sa délibé- ration du 4 février 1997 ( no 97-008, JO 12 avril, p. 5606 ) portant adoption d’une recommandation sur le traitement des données de santé à caractère personnel. La confidentialité est au cœur de ses préoccupations ( v. également la CNIL et les réseaux d’information médicale, Document édité par la Commission, mars 1998 ).

Il faut aussi rappeler que le même article L 1110-4, issu de la loi du 4 mars 2002, prévoit dans son dernier alinéa un décret en Conseil d’Etat pris après avis de la CNIL, portant sur la conservation des données confidentielles, et leur transmission par voie électronique. A ce jour, ce décret n’est pas encore publié.

LES PRATICIENS ET AUTRES PROFESSIONNELS DE SANTÉ PRÉSENTS DANS LE RÉSEAU DE SANTÉ

Les principes de déontologie sont en cause, ainsi que la question tant débattue de la responsabilité.

L’égalité de tous doit être respectée

Il convient de ne pas instituer de différences de traitement, par exemple entre les médecins spécialistes. Le Conseil d’Etat a rappelé ce principe dans l’arrêt précité du 27 avril 1998.

Le principe d’indépendance des praticiens

Le principe d’indépendance des praticiens mérite attention. Ceux-ci doivent être libres d’adhérer au réseau, d’y rester, de s’en retirer. L’organisation mise en place doit faire apparaître cette liberté ( à nouveau, en ce sens, CE 27 avril 1998, préc. ).

Chaque praticien conserve également la liberté de ses prescriptions, de ses choix thérapeutiques, de sa pratique professionnelle.

L’organisation du réseau doit témoigner des efforts accomplis pour qu’il en soit ainsi.

La convention constitutive du réseau de télémédecine, telle qu’imposée par le décret du 17 novembre 2002, doit notamment indiquer les modalités d’entrée et de sortie du réseau des professionnels.

La responsabilité des praticiens

La responsabilité des praticiens exerçant dans le réseau est une question délicate.

Elle se pose lorsqu’il y a accident thérapeutique.

Elle inquiète beaucoup, en raison de la complexité du système de droit français :

deux ordres de juridictions — et donc deux régimes juridiques — concernés par la plupart des systèmes électroniques de circulation de données.

La responsabilité peut être liée à une défaillance dans un acte médical (diagnostic, décision de traitement, acte médical…), ou à une défaillance d’un équipement.

Deux types de responsabilité sont envisageables. La responsabilité pénale d’une part, la responsabilité civile d’autre part. Il n’est fait état ici que de la seule responsabilité civile, source de dommages et intérêts, comme étant la plus fréquemment mise en œuvre.

Il est difficile de prévoir par avance la solution qu’adopterait une juridiction si elle avait à se pencher sur un accident survenant dans le cadre d’un réseau de télémédecine.

Quelques règles de base peuvent néanmoins être énoncées :

— le praticien au chevet du patient, sollicitant avis, expertise et aide de ses confrères, échappe difficilement à ses responsabilités ( en ce sens, délibération CNIL no 91-093 du 8 octobre 1991 sur la création d’un réseau interhospitalier au service de radiologie de l’hôpital Trousseau ; P. Sargos, ‘‘ Le point de vue du magistrat ’’, in Exercice médical multidisciplinaire : responsabilité conjointe ou partagée, éd. du Jurisclasseur, nov. 1995 ).

— Un partage de responsabilité est tout à fait envisageable, et a déjà été pratiqué par le juge dans une espèce proche.

— une convention de responsabilité la plus simple et la plus claire possible peut alléger les craintes de chacun. Il est possible d’adopter la règle selon laquelle ‘‘ au sein du réseau de télémédecine et vis-à-vis des tiers, chaque membre du réseau demeure responsable de ses matériels, de ses personnels, de ses propres actes… ’’.

La convention ne vaut qu’entre les parties certes. Mais elle peut aider à résoudre des cas difficiles.

Il convient enfin de rappeler que la loi du 4 mars 2002 a facilité la procédure, créant un ‘‘ guichet unique ’’ de règlement amiable pour les différents modes de soins. Les commissions régionales de conciliation et d’indemnisation sont mises en place. Leur compétence est vaste, s’appliquant à l’ensemble des sinistres qui peuvent survenir.

Elles auront une vision globale du litige lorsqu’un accident concerne un mélange d’acteurs de santé.

A cela s’ajoute une autre innovation. Le délai de prescription pour la réparation pécuniaire est désormais de dix années, quel que soit le mode d’exercice des soins ( C. Esper, La loi du 4 mars 2002, les Petites Affiches, numéro spécial, juin 2002 ).

LE TIERS HÉBERGEUR

La question est fréquemment posée de la possibilité d’externaliser la conservation des dossiers médicaux, lorsqu’ils sont archivés.

Il faut avant tout rappeler que la perte des archives d’un établissement entraîne la responsabilité de ce dernier. La Cour d’appel de Toulouse, dans un arrêt du 17 avril 2001, condamnait une clinique privée à la suite de la perte des archives. Cette perte mettait un patient dans l’impossibilité d’imputer une contamination à une transfusion. Les archives de la clinique avaient été détruites. La réalité même de la transfusion était impossible à déterminer. Si l’établissement de soins n’était en rien à l’origine de la contamination, il n’était pas discutable que cette perte des archives privait le patient de la possibilité de démontrer qu’il avait bien béné- ficié d’une transfusion sanguine et que les lots transfusés étaient contaminés.

Cette situation entraînait directement une perte de chance, correspondant à 80 % des possibilités d’obtenir une indemnisation. La clinique a été condamnée à indemniser le préjudice de la victime dans ces proportions ( Médecine et Droit no 50, 2001 ).

La question est donc loin d’être neutre. La prudence s’impose lorsque les dossiers médicaux sont confiés à des tiers, hors les murs de l’établissement. Si cette remise porte sur des dossiers « papier », un cahier des charges très strict doit être établi. S’il s’agit d’une remise électronique, la technologie nouvelle appelle tout autant, si ce n’est plus, la prudence.

Dès avant la loi du 4 mars 2002, certains acteurs de santé prenaient l’initiative d’externaliser les données médicales en les confiant ‘‘ à des sociétés de prestations de services informatiques, chargées de conserver ces données.

La Commission informatique et libertés, à la suite d’un examen des sites web consacrés à la santé et de contrôles sur place, publiait une recommandation en date du 8 mars 2001 ( Cnil, 21ème rapport d’activité 2000, p. 146 et s. ). Elle insistait sur les mesures de sécurité permettant la plus grande confidentialité. Des moyens de chiffrement étaient évoqués ainsi que des dispositifs de journalisation des connexions. Les précautions doivent aussi porter, soulignait la Commission, sur le contrat avec l’hébergeur tiers, avec les clauses prévoyant les nécessaires mesures destinées à assurer la sécurité des données, et leurs seuls accès et utilisation par des personnes habilitées à en connaître.

A la même date, la Cnil rendait deux avis fort intéressants, assortis de nombreuses recommandations, concernant la mise en place de réseaux ville-hôpital, permettant la gestion et l’archivage des dossiers sur internet, avec l’intervention d’une société commerciale pour le traitement du dossier de santé ( délib. nos 01-012 et 01-013, Cnil, 22ème rapport d’activité 2001, p. 216 et s. ). Outre les conditions de constitution et d’accès, par les usagers, au dossier de santé électronique, et les mêmes conditions concernant les professionnels de santé, ces avis, favorables aux projets, portent sur l’intervention des sociétés commerciales (en l’espèce, la société Accenture) dans le traitement du dossier.

C’est ainsi qu’il est indiqué :

« Le projet prévoit que l’exploitation du serveur hébergeant les dossiers de santé électroniques est assuré en France par la société Accenture.

La Commission estime que l’intervention de sociétés commerciales dans la gestion des systèmes d’informations de santé appelle une vigilance particulière et qu’elle doit s’entourer de garanties appropriées de nature à éviter en particulier toute utilisation des données à des fins autres que celles pour lesquelles elles ont été collectées ainsi que toute cession à des tiers.

A cet égard, la Commission prend acte des dispositifs de sécurité retenus pour assurer la sécurité physique et logique des dossiers de santé. Les informations appelées à circuler sur le réseau internet feront l’objet d’un chiffrement à 128 bits suivant le protocole SHL et le déchiffrement des données ne pourra être effectué que par les professionnels de santé disposant de droits d’accès aux données.

La Commission prend également acte de l’engagement de la société Accenture de ne pas exploiter les données à des fins commerciales et de ne pas les céder à des tiers. » Vigilance, garanties, dispositifs de sécurité sont ainsi les termes essentiels qui fondent la position favorable de la Cnil, autorisant les réseaux à titre expérimental.

Un bilan est par ailleurs demandé par la commission.

La loi du 4 mars 2002 sur les droits des malades et la qualité du système de santé a officialisé la possibilité de confier des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet. L’article L 1111-8 du code de la santé publique est désormais consacré, dans un long développement, à cette externalisation. Le réseau de santé est bien sûr au cœur de cette démarche.

Des conditions sont posées :

— la personne concernée doit consentir expressément à un tel hébergement, ce qui appelle la mise en place d’information spécifique et de consentement écrit.

— les dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés doivent être respectées.

— un contrat est établi pour la prestation d’hébergement, prévoyant d’ailleurs l’accord de l’intéressé quant au principe de cet hébergement, aux modalités d’accès et de transmission.

— le tiers hébergeur fait l’objet d’un agrément. Sur ce plan, un décret en Conseil d’Etat, après avis de la Cnil, des conseils de l’ordre des professions de santé, et du conseil des professions paramédicales, non paru à la date de publication de la présente chronique, doit en fixer les conditions. Un modèle de contrat y figurera, ainsi que les informations à fournir à l’appui de la demande d’agrément et les dispositions prises pour garantir la sécurité des données traitées. Les dispositions du code de la santé publique sur les avantages en nature (art. L 4113-6) s’appliquent à ce contrat.

— l’agrément peut être retiré en cas de violation des prescriptions législatives ou réglementaires, ou des prescriptions fixées par l’agrément.

— seuls peuvent accéder aux données ayant fait l’objet d’un hébergement, les personnes que celles-ci concernent et les acteurs de santé qui les prennent en charge et qui sont désignés par les intéressés.

— aucune utilisation des données de santé à caractère personnel à d’autres fins ne peut être faite par les hébergeurs. Ceux-ci les tiennent à la disposition de ceux qui les ont confiées, ne pouvant jamais les transmettre à d’autres personnes qu’aux professionnels désignés par le contrat.

— lorsque l’hébergement prend fin, l’hébergeur restitue les données confiées, sans en garder de copie, au professionnel, à l’établissement ou à la personne concernée ayant contracté avec lui.

— bien entendu, ces hébergeurs et les personnes placées sous leur autorité ayant accès aux données déposées, sont astreints au secret professionnel.

— un contrôle notamment de l’Igas peut être effectué sur les hébergeurs ainsi définis. Les contrôleurs sont assistés des experts nécessaires.

Le décret du 4 janvier 2006 vient préciser l’ensemble de ces conditions (no 2006-6 relatif à l’hébergement de données de santé à caractère personnel ; art. R. 1111-9 à R. 1111-15 CSP)

Telles sont les obligations pesant sur les titulaires de contrats d’hébergement (

F.J.

Pansier, C. Charbonneau, La dématérialisation des données médicales et les enjeux de leur hébergement, Gaz. Pal. 15-17 déc. 2002, p. 23 ; I. Vacarie, L’hébergement des données de santé : entre contrat et statut, RDSS, oct.-déc. 2002, p. 695 ).

L’hébergeur étant dépositaire de dossiers médicaux, il convient encore de s’interroger sur les conditions de communication de ce dossier au patient ou à ses ayants droit, lorsque ceux-ci en font la demande, conformément aux dispositions nouvelles de la loi du 4 mars 2002.

Le décret no 2002-637 du 29 avril 2002, relatif à l’accès aux informations personnelles détenues par les professionnels et les établissements de santé, a fourni sur ce plan des dispositions utiles.

L’hébergeur peut être destinataire d’une telle demande d’accès (art. R 1111-1 CSP).

Il doit s’assurer de l’identité du demandeur ou, le cas échéant, de la qualité de médecin de la personne désignée comme intermédiaire. Le délai prévu par l’article L 1111-7 CSP s’applique.

Les modalités de la communication, sur place ou par l’envoi de copies, sont identiques pour l’hébergeur, qui doit calculer le coût de ces copies et est limité dans sa facturation.

Après le décès du patient, la communication du dossier à un ayant droit obéit à des conditions précises (dern. al., art. L 1110-4 CSP). L’hébergeur doit vérifier leur application, notamment la qualité de l’ayant droit et sa motivation.

Enfin, la communication des informations de santé déposées auprès de l’hébergeur ne peut être effectuée qu’après accord du professionnel de santé ou de l’établissement qui en a le dépôt.

La circulation de données par un réseau de télémédecine, appelle ainsi une attention particulière sur les questions de droit. Cela est particulièrement vrai lorsque le réseau fonctionne sur un support électronique tout à fait moderne. Chaque acteur de santé, professionnel libéral ou établissement de soins, doit le savoir afin que soient respectés tout à la fois ses droits et ceux des patients.

DISCUSSION

M. Maurice CARA

Madame, vous avez employé le terme de praticien pour qualifier l’appelant. Ce terme mérite d’être précisé. Pour moi, l’appelant peut être, soit un membre d’une profession médicale, généralement un docteur en médecine, soit un auxiliaire médical relevant d’un docteur en médecine, soit un bénévole. Quelle est la responsabilité de chacune de ces trois personnes ?

Les règles de responsabilité sont toujours les mêmes, quelle que soit la qualité de l’appelant. Il faut qu’une faute soit démontrée à son égard pour que la responsabilité puisse être mise en cause.

M. Jacques CAEN

Pensez-vous que la jurisprudence anglosaxonne peut aider à l’élaboration de la loi française ? Y a-t-il une possibilité de simuler l’accident dans les réseaux, la prédictivité et, par là-même, la prévention ?

Bien entendu il faut développer la prévention pour éviter l’accident dans les réseaux. On ne sera jamais trop prudent en ce domaine.

M. Gérard MILHAUD

Vous avez insisté, avec raison, sur l’importance de la confidentialité et du secret pour les participants du réseau de télémédecine. A quelles sanctions s’expose celui qui ne respecterait pas la confidentialité et le secret médical ?

La violation du secret ou de la vie privée est une infraction pénale, réprimée et sanctionnée d’une peine pénale (prison éventuellement avec sursis et amende) M. Jean CIVATTE

Peut-il y avoir obligation, pour le médecin, de proposer l’usage de la télémédecine si celle-ci est possible ? Si un acte de télémédecine est réalisé, doit-il donner lieu à un enregistrement ?

Si oui, qui le conservera ? En cas de désaccord sur la qualité des images transmises entre le télé-expert et le demandeur, qui tranchera ? des experts officiels ?

L’obligation de proposer la télémédecine au patient, lorsque celle-ci existe, ne saurait être absolue. Le médecin reste toujours libre de ses prescriptions. Il propose les actes les plus adaptés. Il apprécie seul le champ et l’étendue du traitement. La traçabilité des échanges de données en télémédecine est essentielle. La charte ou la convention passée entre les parties doit préciser quel est le lieu de conservation des données ainsi que le délai (le décret récent du 4 janvier 2006 prévoit maintenant vingt ans pour les dossiers médicaux).

L’expertise est fondamentale pour trouver solution aux litiges.

RÉFÉRENCES JURIDIQUES

La littérature en langue française n’est pas encore très abondante sur le thème de la télémédecine.

On consultera utilement les publications suivantes :

État des lieux de la téléimagerie en France et perspectives de développement. Rapport d’étape. Anaes , juin 2003.

DUSSERRE P. et LECLERCQ B. — Téléexpertise et réseaux intercommunicants.

Gestions hospitalières, oct. 1996.

ALLAERT F.A. et DUSSERRE L. — La sécurité des systèmes de téléexpertise.

Gestions hospitalières , mai 1997.

Dossier télémédecine.

Revue hospitalière de France , Mai 1997.

Télémédecine et gérontologie. L’année gérontologique, Sardi Edition, 2000.

Expériences françaises en télémédecine. Du bon usage de la télémédecine, sous la direction du professeur D. Jolly. Flammarion, coll. « Médecine-Sciences », 2001.

Les sites Internet qui peuvent être consultés en la matière sont notamment :

www.sante.gouv.fr www.observatoire-telesante.gouv.fr www.cnil.fr www.conseil-national.med.

On consultera également sur les responsabilités et la télémédecine :

DAVER C. — La télémédecine, entre intérêt des patients et responsabilités.

Médecine et droit , 2000, no 41.

DAVER C. — La télémédecine, entre progrès techniques et responsabilités. D. 2000, chr., p. 527.

PIDOUX E. — La responsabilité médicale au regard de la télétransmission et de la télémédecine. Petites Affiches , 2000, no 149, p. 5.

FORGERON F., BESLAY N. — Les applications de télémédecine : des responsabilités médicales traditionnelles aux responsabilités techniques nouvelles. Gaz. Pal ., 14-16 oct.

2001.

Sur les questions de droit et de déontologie, de manière plus générale :

DUSSERRE L. — Aspects juridiques et déontologiques du télédiagnostic en médecine.

Bull. Ordre nat. méd. , juin 1993.

LENOIR N. — Imagerie, télémédecine et droit.

Médecine et droit , 1994, no 4.


* Professeur à la faculté de Droit de l’université René Descartes, Paris V. Tirés à part : Professeur Claudine ESPER, même adresse. Article reçu et accepté le 6 février 2006.

Bull. Acad. Natle Méd., 2006, 190, no 2, 357-366, séance du 7 février 2006