Depuis le 1er janvier 2022, toutes les personnes affiliées à l’Assurance Maladie se voient ouvrir un « Espace Santé » numérique où seront regroupées l’essentiel de leurs données de santé. Un dispositif qui pose question, tant en termes de sécurité que d’éthique. 

Depuis le 1er janvier 2022, les Françaises et Français se voient proposer un nouvel outil santé baptisé « Mon espace santé ». Sur le papier, cet espace qui regroupe toutes les données de santé du patient est censé aider les professionnels médicaux à diagnostiquer plus précisément et rapidement une maladie, et simplifier les démarches santé des citoyens.

L’outil suscite cependant des inquiétudes au sein d’une partie de la population. Ces données sensibles seront-elles suffisamment bien protégées ? Cet espace ne risque-t-il pas d’exposer de manière disproportionnée la vie privée des patients et patientes ?

Que contiendra Mon espace santé ?

Mon espace santé va en effet agréger de nombreuses informations relatives à chaque personne. Chaque compte vise à réunir dans un seul et même espace numérique :

  • Le dossier médical partagé (DMP) destiné à stocker et partager toutes les donnés de santé : ordonnances, traitements, résultats d’examens, imageries médicales, antécédents médicaux et allergies, compte-rendus d’hospitalisation, vaccination ;
  • Une messagerie sécurisée pour les échanges entre patients et professionnels de santé ;
  • Un agenda santé pour gérer les rendez-vous médicaux et recevoir des rappels pour les dates clés des examens de contrôle (bilans, mammographie, vaccination…) ;
  • Un catalogue de services numériques de santé référencés par l’État, pour découvrir l’offre des services utiles en santé et gérer les accès à ses données de santé.

Lorsqu’on se souvient qu’en septembre 2021, l’Assistance publique-Hôpitaux de Paris (AP-HP) a subi une attaque informatique ayant entraîné la fuite des données des tests Covid de 1,4 million de personnes, il y a toutefois de quoi se poser des questions. Cette attaque est en effet est loin d’être la première en France. Et elle pointe la vulnérabilité de nos données de santé et pose la question de leur stockage, de leur accès et de leur partage informatique.

Protection des données médicales, discrimination aux soins : les risques de Mon Espace Santé
Mon espace santé rassemblera toutes les données de santé d’un patient // Source : Capture d’écran Numerama

Pour la journaliste Coralie Lemke, autrice de « Mes donnés, ma santé », il existe un « gros manque de clarté » sur les protections mises en place dans le cadre du lancement de ce dispositif. Le point positif, selon elle, est que l’hébergement des données est assuré en France par la société Worldline (via sa filiale Santeos), pour les données du dossier médical partagé (DMP), et par la société Atos concernant toutes les autres données de « Mon espace santé ». Ces deux sociétés sont agréées Hébergeur de Données de Santé (HDS) conformément à l’article L. 1111-8 du code de la santé publique. « Leur localisation sur le territoire français les place sous la coupe du RGPD qui stipule que le traitement des données est interdit », explique Coralie Lemke.

L’autrice de « Mes donnés, ma santé » juge cependant que « concernant la protection contre les cyberattaques, on est dans le flou. La moindre des choses serait de mieux nous informer ! ».  

Quelle protection de nos données de santé ?

Impossible en effet de savoir, à ce jour, si nos données de santé seront chiffrées ou si des acteurs extérieurs pourront lire ce qui se trouvera sur les serveurs. Nous n’avons pas non plus d’informations sur les applications référencées par l’État qui pourront se connecter à « Mon espace santé ». Tout ce que l’on sait, c’est que la protection des données sera garantie par l’État, la Commission nationale de l’informatique et des libertés (CNIL) et la Caisse nationale de l’assurance maladie (Cnam). 

« Ce n’est pas très rassurant » estime Coralie Lemke.  « Nous avons tous l’impression d’être invulnérables et de n’avoir rien à cacher mais, en réalité, on a tous et toutes quelque chose à cacher ! » explique t-elle. Car, faute de sécurisation optimale de nos données, le risque est bien là : les voir dévoilées au vu et au su de tous, sur le web, dans un but malveillant ou revendues sur le dark web à des sociétés peu scrupuleuses.

Et vous n’avez pas forcément envie que votre boss sache que vous prenez des antidépresseurs ou un antirétroviral, vous ne souhaitez pas forcément que vos parents apprennent que vous avez avorté à 18 ans ou que votre banquier découvre que vous avez suivi un sevrage hospitalier. « En outre, il existe un risque que le hacker fasse pression sur la personne dont les données de santé ont été piratées pour obtenir une rançon », explique Coralie Lemke.

Des antécédents médicaux qui vous suivent toute votre vie

Outre la sécurité des données de santé, un autre point alarme les usagers et les associations de patients : le respect de la vie privée et du secret médical. Sur Twitter, certains s’inquiètent du poids de leurs antécédents médicaux — consultables par tous les soignants qui assurent leur suivi — sur leur prise en charge actuelle. C’est notamment ce que dénonce @licornedughetto. L’internaute indique que, du fait de ces antécédents psychiatriques, ses douleurs de gorge ont été jugées d’ordre psychosomatique par le corps médical pendant 4 ans, alors qu’elle souffre en réalité d’une tumeur.

La question qui se pose est la suivante : les usagers sont-ils tous d’accord pour partager l’intégralité de leurs données de santé avec l’entité désignée par le terme « équipe de soin » ? Ce terme désigne, selon l’article L‧1110-12 du Code de La Santé l’ensemble des professionnels de santé qui participent à la prise en charge d’un même patient, depuis le diagnostic jusqu’au soulagement de la douleur, en passant par le soin et la rééducation.

Cela correspond donc au médecin traitant, aux soignants exerçant dans un même établissement de santé (hôpital, clinique, communautés professionnelles territoriales de santé (CPTS)…), aux médecins spécialistes consultés par le patient ainsi qu’aux professionnels paramédicaux (kinésithérapeute, infirmier) et aux soignants participant par exemple à une prise en charge en urgence.

Maître Mina Petkovka, avocate à la cour explique que l’article L. 1110-4 du Code de la Santé Publique prévoit que le consentement du patient est supposé accordé pour les professionnels participant à cette équipe de soins. « Ils n’ont donc pas l’obligation de lui demander au préalable son consentement pour assurer sa prise en charge ». L’avocate précise cependant que le patient a toujours la possibilité de retirer son consentement. Ce droit d’opposition peut être exercé à tout moment.

Le risque des discriminations au soin

Pour Stuart Pluen-Calvo, masterant en Santé Publique et militant à l’association Acceptess-T, l’espace santé présente certains risques notamment pour la sécurité des personnes trans ou séropositives : « Les personnes trans, tout comme par exemple les personnes séropositives, risquent d’être outées lors de soins et de subir de la transphobie ou de la sérophobie médicales. Sachant que 15 % des personnes trans ont connu un refus de soin uniquement parce qu’elles sont trans, c’est pour le moins alarmant. » 

Rappelons-le une dernière fois, le consentement au partage des données de santé avec une « équipe de soin » peut être retiré à tout moment. Il est également possible de demander à son médecin traitant de masquer (sans supprimer) certaines informations aux yeux d’autres soignants que lui-même. Une dernière option est de s’opposer purement et simplement à la création de son « Espace santé », en transmettant une demande en ligne de refus d’affiliation, dans un délai de six semaines après la réception du courriel de l’Assurance Maladie notifiant de la création de l’espace. Mais pour exercer ses options, encore faut-il savoir qu’elles existent.