Note d’information de la LDH
Au terme d’une phase d’expérimentation menée de juillet à décembre 2021 dans trois départements pilotes le déploiement de Mon espace santé (MES) est en cours. Après l’échec du dossier médical partagé (DMP), le gouvernement a souhaité mettre en place un outil numérique au périmètre élargi et dont l’ouverture serait facilitée. L’objectif affiché avec cet espace numérique dédié à la santé, accessible par Internet (sur ordinateur, tablette ou même smartphone) pour l’ensemble des assurés sociaux est de simplifier l’accès aux informations sur la santé des patients, d’améliorer ainsi le parcours et la coordination des soins, d’éviter les prescriptions redondantes voire dangereuses, et plus globalement d’améliorer la santé publique.
Si l’outil présente d’indéniables potentialités, la LDH invite à la vigilance de toutes et tous au regard des risques liés à l’utilisation de cet outil alors que l’assurance maladie adresse actuellement les notifications sur son ouverture à chaque assuré social.
Conditions d’ouverture et de clôture
– L’ouverture de MES n’est pas obligatoire.
– Mais sans opposition, dans le délai de 6 semaines à compter de la réception du courrier électronique de l’assurance maladie (concernant le courrier postal, il n’est pas précisé si c’est la date du courrier ou la date de réception), le MES sera automatiquement ouvert.
– L’ouverture ou non ouverture n’a aucune incidence sur le remboursement des dépenses de santé par l’assurance maladie.
– La fermeture de MES est toujours possible mais les données recueillies seront conservées 10 ans.
– L’ouverture de MES après un refus initial est toujours possible ultérieurement.
Des avantages en termes de suivi médical
Mon espace santé offre en réalité plusieurs outils susceptibles de présenter une certaine utilité.
MES contient le dossier médical du patient ce qui peut être intéressant tant pour lui que pour les professionnels de santé y compris en situation d’urgence.
– Pour le patient : en lui permettant de stocker et d’accéder facilement à tout ce qui concerne sa santé (prescriptions, résultats d’analyses, de radios, rendez-vous, remboursements…), d’indiquer ses choix (personne de confiance, directives anticipées, prélèvements d’organes) et en autorisant le partage de certaines données choisies avec les professionnels de santé de son choix. Il peut aussi demander la notification automatique par messagerie de tout accès pour visualiser ces données ou en ajouter.
– Pour les professionnels de santé qui, en plus d’un gain de temps appréciable, auront une meilleure connaissance des antécédents médicaux du patient, de ses pathologies et de sa prise en charge.
En outre, MES se compose d’une messagerie sécurisée dans un premier temps ouverte simplement aux professionnels de santé à destination du patient mais à terme ouverte aussi en sens inverse
Il est à noter que MES est hébergé en France ce qui devrait garantir le respect du règlement général sur la protection des données (RGPD) et son code source devrait prochainement être ouvert (cette mesure de transparence permettrait de vérifier qu’il n’y a pas d’autres fonctions que celles annoncées).
Des inconvénients dans la mise en œuvre
– L’absence d’analyse d’impact sur la protection des données personnelles après la période de tests sur 3 départements qui aurait permis de vérifier l’absence de risques pour la protection des données, malgré les demandes de la CNIL.
– La création sans consentement explicite (opt-out).
– Le manque d’information précise, claire et facile à lire et à comprendre.
– Les discriminations envers les personnes n’ayant pas accès à Internet ou n’ayant pas la maîtrise de ces outils.
– L’absence de remplacement de Doctolib (géré par une entreprise privée qui stocke les données sur des serveurs gérés par une filiale d’Amazon) par un outil dédié et public.
– La nécessaire vigilance du patient dans l’appropriation de l’outil notamment pour procéder aux masquages éventuels et à l’autorisation ou non des accès aux différents professionnels de santé.
– Le fait que l’ouvrant droit principal disposera d’un accès délégué à MES de la personne mineure.
Des risques liés aux données sensibles
– Risque de piratage et d’accès malveillants aux données. Une masse de données de santé sera collectée grâce à MES. Or ces données particulièrement sensibles étant très convoitées, leur centralisation engendre des risques accrus de piratage et d’utilisation dangereuse (par exemple de menaces de chantage en lien avec certains antécédents médicaux, de vente de données).
– L’utilisation du NIR (ou N° de sécurité sociale) pour lier toutes les bases de données donnera accès à de nombreuses données administratives etc.
– Les données ne seront pas chiffrées de bout en bout ce qui implique que les responsables de l’hébergement (administrateurs des serveurs et autres…) pourront accéder aux données sans autorisation ;
– Il n’est pas prévu de déconnexion automatique en cas de sortie de MES sans déconnexion.
– L’hébergement n’est pas confié à un établissement public et, même si les données sont stockées en France, elles sont partagées entre 2 sociétés commerciales, filiales de grands groupes financiers multinationaux (ATOS et Worldline) ayant des liens nombreux avec des opérateurs privés pouvant être intéressés par ces données.
– Il n’est pas précisé si les fournisseurs et développeurs des applications associées annoncées auront accès aux données de santé ce qui présenterait un risque supplémentaire.
– Concernant le masquage d’informations géré par l’assuré :
• le masquage des données à certains professionnels de santé n’est pas clairement précisé, notamment en cas de télé-consultation qui exigera une authentification forte permettant de passer outre ce masquage ;
• pour les mineurs dont le MES sera intégré dans celui d’un parent (ouvrant droit), la possibilité de cacher des informations sera-t-elle connue du mineur et respectée par les professionnels de santé. Par exemple l’utilisation de la messagerie dédiée permettra-t-elle ce respect du secret médical ?
– Risque à terme de traitement différencié entre les personnes ayant ouvert MES et celles l’ayant refusé.
Cette note est destinée à répondre aux interrogations relatives à la protection des données personnelles mais également au droit à la protection de la santé et plus particulièrement aux assurés qui ont à accepter ou refuser la création de leur MES.
Paris, le 11 mai 2022