Le gros point noir de l’e-santé, à l’heure actuelle, c’est l’article R1110-3 du Code de la Santé Publique. Vous ne le connaissez pas ? Il est très court et tout à fait accessible, car dépourvu des habituelles fioritures juridiques :
« En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire. »
La CPS est obligatoire pour toute manipulation de données à caractère personnel relatives à la santé d’un patient.
Maintenant, un peu de légistique : aucun moyen d’y échapper, le texte ne relativise pas, notamment par l’utilisation du verbe « pouvoir ».
Aucun ? Non, pas tout à fait.
L’article L1110-4 précise que des « dispositifs équivalents » peuvent être agréés par l’organisme chargé d’émettre la carte de professionnel de santé, en l’occurrence l’ASIP Santé.
Mais à ce jour, il semble que cette disposition n’ait jamais été mise en œuvre.
A cet égard, la lecture du Cahier des Charges de l’appel d’offres « Mise en oeuvre d’une plateforme intégrant des objets connectés destinée aux médecins et à leurs patients à Lyon » est instructive :
« Des dispositifs de sécurité équivalents mentionnés à l’article L.1110-4 du CSP relatif à la confidentialité sont actuellement testés dans certains établissements de santé et pourraient être autorisés dans des conditions prévues par décret. »
Deux points cruciaux :
– les dispositifs équivalents mentionnés à l’article L1110-4 pourraient faire l’objet d’une expérimentation ;
– il faudrait un décret pour que le dispositif soit agréé.
Un peu étonnant, quand on lit l’article L1110-4, mais si c’est exact, bon à savoir.