Depuis quelques années, une nouvelle solution émerge au sein des établissements de santé : le recueil dématérialisé du consentement des patients. Ce dispositif, précis dans sa mise en œuvre, se situe à la croisée de l’information du patient et de la sécurisation de sa signature afin de garantir son identité.
Source : Laure Martin, pour Mind Health, n° 172, 01/12/2021
Dernièrement, un certain nombre d’établissements de santé ont modifié leur façon de recueillir le consentement de leur patient, en s’orientant vers le e-consentement, à l’image du CHU de Lille. Ce recueil dématérialisé implique des exigences à respecter qui varient en fonction du domaine d’application. Par exemple, le Règlement général sur la protection des données (RGPD) et la loi Informatique et libertés interdisent le traitement des données de santé, considérées comme sensibles. Néanmoins, des exceptions sont mentionnées dans les textes. Parmi elles : la recherche scientifique, la prise en charge médicale d’un patient et le consentement exprès de la personne.
Le seul cas où le RGPD et la loi Informatique et libertés exigent le recueil d’un consentement écrit et signé, “c’est lorsque le responsable de traitement souhaite effectuer un examen des caractéristiques génétiques d’une personne à des fins de recherche, indique Hélène Guimiot-Breaud, cheffe du service de la santé à la Commission nationale de l’informatique et des libertés (Cnil). Le consentement doit alors être recueilli par écrit et signé par le patient.” Concernant les soins, le consentement du patient est généralement requis pour que l’acte médical puisse être réalisé.
Quatre critères
Dans tous les cas, il doit répondre à quatre critères. Il doit être libre, c’est-à-dire donné sans être forcé. Spécifique, ce qui implique qu’il faut clairement expliquer à la personne de manière individuelle, ce à quoi elle consent. Il doit aussi être éclairé, ce qui signifie que le patient a été informé correctement. Enfin, il doit être univoque, c’est-à-dire que la personne doit le donner dans le cadre d’un acte positif. Il ne doit pas y avoir d’ambiguïté sur l’expression du consentement, “qui se traduit généralement par la signature de la personne concernée”, précise Hélène Guimiot-Breaud. Qui dit consentement, dit également information du patient. Et c’est là qu’intervient le e-consentement. “Généralement, avant la réalisation d’un soin qui nécessite un consentement, un entretien est réalisé entre le médecin et le patient, rappelle Frédéric Suant, CEO de Calimed Santé, qui propose une solution de consentement dématérialisé, Easy-Consent. Le médecin va alors lui expliquer l’intervention, l’acte technique, lui remettre des documents avec des informations complémentaires et lui demander de signer son consentement. Souvent, ces étapes se déroulent sur un temps court, ce qui limite la réflexion du patient.”
Avec sa solution Easy-Consent, Calimed Santé propose de pallier ce défaut d’information afin de s’assurer de la compréhension du patient concernant les enjeux de l’intervention et des risques associés. Dans ce cadre, après la consultation, le médecin intègre le patient, avec son accord, à Easy-Consent. Il reçoit alors un SMS avec un code à usage unique, qui l’invite à créer son compte. Il est ensuite orienté, sur la plateforme, vers du contenu informatif et un cycle de questions sur sa pathologie, le geste chirurgical et les suites opératoires. L’ensemble de ses réponses sont enregistrées. “À l’issue du questionnaire, il peut alors signer le e-consentement qui n’est pas équivoque, puisque sa bonne compréhension est assurée”, souligne Frédéric Suant. La plateforme Ordoclic propose également une solution de e-consentement. “Nous avons décidé d’exploiter un travail d’abord mené pour la signature électronique des ordonnances médicales, à la signature des patients, l’objectif étant de simplifier les relations entre les professionnels de santé et leur patient, dans le recueil du consentement”, indique Romane Audras, responsable de la communication. L’information du patient et sa bonne compréhension sont aussi au cœur du dispositif. “Avec le consentement dématérialisé, le patient a le temps, chez lui, de lire les indications qui lui sont envoyées par son professionnel de santé, via notre plateforme”, poursuit-elle, précisant qu’il peut aussi répondre à un questionnaire.
Garantir la sécurisation des échanges
Mais le e-consentement ne consiste pas seulement dans la traduction dématérialisée du consentement papier. Il implique une signature électronique. “L’une des difficultés repose sur la question de la preuve, rapporte Hélène Guimiot- Breaud. À distance, il est plus complexe de s’assurer que c’est bien la personne concernée qui signe le document. Une simple case à cocher n’est pas suffisante pour y parvenir.” La Cnil peut vérifier que le consentement recueilli de manière dématérialisée réponde aux quatre critères imposés par le RGPD.
Chez Ordoclic, cette sécurisation des échanges passe par des liens et codes. “Lorsque le professionnel de santé envoie les documents au patient, ce dernier reçoit un lien par email, explique Romane Audras. Il doit alors renseigner les trois premières lettres de son nom de famille pour sécuriser l’accès ainsi qu’un code à six chiffres. Après avoir lu les documents, le patient coche une case, reçoit alors un e-mail avec un autre code qui valide sa signature.” Le document est ensuite hébergé par Ordoclic sur un serveur HDS externe. Le niveau de certification de la signature électronique d’Ordoclic a été délivrée par l’Agence nationale de la sécurité des systèmes d’informations (ANSSI).
Chez Calimed Santé, le patient reçoit un e-mail avec un lien, un identifiant et un mot de passe provisoire pour se connecter à Easy-Consent. Il modifie ensuite son mot de passe pour se connecter à son compte sur lequel il va trouver les informations sur son intervention et éventuellement des questionnaires. Après en avoir pris connaissance, il reçoit un code par SMS, qui vaut signature car il permet de certifier qu’il est bien celui qu’il prétend être. Cette solution respecte la réglementation européenne eIDAS (Electronic IDentification And Trust Services). Le partenaire de Calimed Santé, Universign, certifie la signature. “Le système de certification est embarqué sur notre système HDS, fait savoir Frédéric Suant. Aucune information ne peut alors sortir de nos serveurs de sécurité et tout le process est traçable.”
Pour les données de santé
Côté données de santé, le consentement du patient n’est pas obligatoire. En revanche, il doit impérativement être informé de l’utilisation de ses données. Deux situations peuvent se présenter. Tout d’abord, celle où le médecin informe directement la personne que ses données vont être collectées, leur temps de conservation et de l’objectif visé, ce qui lui permet d’exprimer son opposition. “Le consentement dématérialisé à l’usage de la donnée personnelle consiste en une case à cocher avec un droit de rectification, rapporte Frédéric Suant. Le process est moins compliqué que dans le cadre du soin, car ce qui demandé, c’est une information pour permettre au patient l’expression de son opposition.”
Deuxième cas : celui de la réutilisation des données concernant des personnes qui ne sont plus joignables. “Cette situation fait l’objet d’une exception dans le cadre du RGPD, explique Hélène Guimiot-Breaud. Le responsable du traitement n’a pas à effectuer une information de chaque personne, à condition de démontrer à la Cnil l’effort disproportionné que cela implique.” Il doit toutefois mettre en place des garanties et des mécanismes pour protéger les droits et libertés des personnes et rendre l’information publiquement disponible, par voie de presse et sur le site Internet de l’établissement par exemple. Si toutes les conditions sont respectées, la Cnil peut autoriser l’utilisation des données. Dans les deux cas, “l’information doit être compréhensible et intelligible pour la personne concernée”, conclut Hélène Guimiot-Breaud.
Sur ce sujet retrouvez notre précédente publication vidéo, Calimed Santé : La digitalisation de votre cabinet médical et du parcours santé de vos patients