Pourquoi s’opposer à la création de " Mon Espace Santé " ?

, par  DMigneau , popularité : 0%

Pourquoi s’opposer à la création de " Mon Espace Santé " ?

Le gouvernement est en train d’ouvrir un compte " Mon Espace Santé " pour chaque personne assurée en France sauf à vous y opposer dans les semaines à venir.

Nous vous invitons à vous y opposer !

Expérimenté depuis le mois d’août 2021 dans trois départements de Métropole, le service " Mon Espace Santé " qui prend la suite du " Dossier Médical Partagé " a été généralisé à l’ensemble de la population depuis février 2022.

Plusieurs associations comme " XY media ", " Acceptess-T " ou le collectif " POS " ont très tôt alerté sur les dangers liés à ce nouvel outil.

Nous avons passé en revue les fonctionnalités de " Mon Espace Santé " et force est de constater qu’elles présentent des insuffisances alarmantes en matière de respect du consentement et de gestion des données de santé.

De par l’audience large à laquelle il s’adresse et de part la sensibilité des données qu’il manipule, un tel outil du « Service public » se devrait pourtant d’être irréprochable en la matière.

À défaut, nous ne pouvons que vous rediriger vers des guides vous permettant de vous opposer à ces traitements de données.

https://smg-pratiques.info/IMG/pdf/tuto_smg_refuser_mes.pdf

Que contient " Mon Espace Santé " ?

Pour commencer, faisons un petit tour plutôt descriptif de ce qui est annoncé en terme de fonctionnalités.

https://esante.gouv.fr/strategie-nationale/mon-espace-sante

" Mon Espace Santé " (aussi appelé " Espace numérique de santé " dans la loi et le décret qui le créent) se compose principalement de quatre éléments :

https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006072665/LEGISCTA000020889011/#LEGISCTA000038886983

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043914270

* Un « Dossier Médical Partagé » (DMP), ou espace de stockage et de partage d’informations médicales : il contient les traitements, les résultats d’examens, les antécédents médicaux, les compte-rendus d’hospitalisation, qui peuvent être partagés avec les professionnel·les de santé.

Cet espace de stockage permet également de conserver des documents tels que la synthèse médicale produite par le ou la médecin " généraliste ", le carnet de vaccination ou l’historique des remboursements alimentés automatiquement par « l’Assurance maladie » (sources).

https://esante.gouv.fr/espace_documentation/doctrine-technique/2-fondations-systemes-information-sante-referentiels-socles

Le « Dossier Médical Partagé » existait déjà depuis 2011 sous le nom de " Dossier Médical Personnel " jusqu’en 2015, mais n’était ouvert que sur demande ; aujourd’hui, il est ouvert " par défaut ", en même temps que " Mon Espace Santé ", pour l’ensemble de la population.

Dans l’absolu, cet espace de partage des informations pourrait être une solution pour faciliter le droit d’accès à son dossier médical.

https://www.cnil.fr/fr/lacces-au-dossier-medical

Mais ceci impliquerait une mise en œuvre solide et de confiance qui n’est, à notre avis, pas atteinte avec " Mon Espace Santé " (voir plus bas la suite de notre analyse).

* Une messagerie sécurisée pour échanger avec des professionnel·les de santé.

À la création de " Mon Espace Santé ", une adresse de messagerie " MSSanté " (" Messagerie Sécurisée de Santé ") est automatiquement attribuée à la personne " usagère " et rattachée à " Mon Espace Santé ".

Cette adresse est constituée à partir du matricule INS de l’usagère et du nom de domaine de l’Opérateur de " Mon Espace Santé " selon le référentiel " Socle MSSanté ".

https://esante.gouv.fr/offres-services/referentiel-ins

https://esante.gouv.fr/espace_documentation/mssante-clients-de-messageries-securisees-de-sante/3-standardisation-des-courriels-mssante

Les messages échangés sont stockés pendant une durée de dix ans, sauf lorsqu’ils sont supprimés directement par l’utilisateur·ice.

Ces adresses existaient déjà pour les professionnel·les de santé.

* Un agenda pour suivre ses rendez-vous médicaux et recevoir des rappels.

* Un catalogue de services numériques de santé : concrètement, la personne usagère pourra autoriser des applications " tierces " à accéder à son « espace santé ». Ces applications seront validées et autorisées par le Ministère de la santé.

Développées par des acteurs « publics » et « privés » de la santé, elles incluront des éditeurs de logiciels et d’applications mobiles, des plateformes de " télémédecine ", des plateformes de prise de rendez-vous " en ligne " qui s’intégreront probablement à l’agenda santé, des portails " patients " des « établissements de santé » (ETS) et portails de " pré-admission ", et même des fabricants d’objets connectés.

Cette fonctionnalité nous inquiète particulièrement sur le plan de l’accès aux données personnelles, comme nous l’expliquons plus bas.

Enfin, pour accéder à ces différents services, outre un site " web ", une application mobile sera également disponible. Le développement technique est réalisé par les entreprises privées " Atos ", " Octo ", " Accenture " et " Maincare ".

https://esante.gouv.fr/sites/default/files/media_entity/documents/DOSSIER%20DE%20PRESSE%20POINT%20PRESSE%2029%2004-IMP_3.pdf

La société " Worldline " traite les données du « Dossier Médical Partagé » au travers de sa filiale " Santeos ".

https://fr.wikipedia.org/wiki/Worldline

Les autres données (messagerie, agenda…) sont traitées par la société " Atos ".

https://fr.wikipedia.org/wiki/Atos

Un recueil accessoire du consentement des personnes. À la création du compte

Pour chaque personne, la création de " Mon Espace Santé " se fait automatiquement selon un calendrier régionalisé prévu par l’État.

Chaque personne est notifiée par courrier postal ou par " courriel " de la création prochaine de son espace. Elle dispose alors d’un délai de six semaines pour empêcher la création de l’espace en se connectant sur le site.

L’espace est donc créé sans le recueil du consentement préalable et explicite de la personne usagère.

L’opposition - elle - doit être explicite.

Dans les premières annonces d’évaluation de la phase " pilote ", qui a eu lieu à partir d’octobre 2021 dans trois départements, la « Sécurité sociale » annonçait que " moins de 0.7 % des usagers se sont opposés à [la] création [de leur espace santé]. »

https://assurance-maladie.ameli.fr/sites/default/files/2021-11-17-cp-mon-espace-sante-reussite-phase-pilote.pdf

Mais plus loin, on apprenait que seuls 4.8 % des personnes ayant un " espace santé " l’avaient utilisé.

Comment savoir donc si les presque 90 % restants ont réellement souhaité en avoir un, ou même s’ils ont reçu le courrier ou mail prévenant de sa création et des possibilités de s’y opposer ?

Avant même de se poser la question de l’utilité - ou non - de " Mon Espace Santé ", on peut dire que les modalités de sa création sont loin d’être respectueuses des personnes auxquelles il est censé " simplifier la vie ".

Passer outre le consentement des personnes au prétexte de " les aider " est la définition du " paternalisme " et, selon nous, s’oppose aux véritables pratiques de soin fondées sur l’écoute et la considération.

Certes, il est toujours possible de supprimer son compte. Mais, là encore, la personne " usagère " devra être attentive et suffisamment informée si elle souhaite demander la fermeture de son compte en cochant la bonne case (ses données seront supprimées 3 mois plus tard, à moins d’être supprimées individuellement au sein du " profil médical ", des mesures santé ou de la messagerie, auquel cas elles seront effacées immédiatement).

Nous avons trop souvent dénoncé ce " tour de passe-passe " lorsqu’il était réalisé par les GAFAM : la possibilité théorique d’effacement ultérieur ne produit aucun effet significatif concret qui pourrait justifier l’absence de consentement préalable.

Ce qui est inadmissible pour les GAFAM l’est encore davantage pour un « service public » traitant des données extrêmement sensibles soi-disant " pour notre bien ".

Dans le partage des données avec les professionnel·les de santé

Une fois créé, " l’espace santé " a pour but de partager les informations avec le personnel de santé : la personne " usagère " devra donc autoriser les soignant·es à accéder à tout ou partie de ses informations.

Mais, là encore, le recueil du consentement est problématique, pour ne pas dire quasiment factice : une simple case à cocher par le ou la soignante servira de " preuve " que l’on a donné son accord pour qu’il ou elle y accède.

Au niveau du service " informatique ", il n’y a donc aucune procédure pour vérifier qu’il s’agit bien de la personne " patiente " qui donne son accord, à qui et quand.

On peut ainsi imaginer qu’une personne mal-intentionnée ait accès au service en tant que " personnel soignant " et consulte le dossier de n’importe quelle personne dans la base de données. Il lui suffirait de cocher cette case de manière arbitraire et d’accéder à des informations privées.

Ce cas est - certes - déjà possible actuellement sans " Mon Espace Santé ", à partir des divers bases de données médicales existantes, mais de manière bien plus cloisonnée.

Avec un système aussi centralisé que " Mon Espace Santé ", la possibilité que ce type de scénarios se produise est accrue. On peut aussi aisément imaginer que nombre de " personnes soignantes " vont considérer que le fait d’avoir pris rendez-vous équivaut à consentir à ce qu’ils ou elles accèdent au dossier du ou de la patient·e : le respect du consentement est encore malheureusement une question épineuse dans le milieu médical où les « maltraitances médicales » peuvent être nombreuses.

https://sante.lefigaro.fr/actualite/2016/10/05/25480-maltraitance-medicale-est-encore-trop-frequente

Enfin, une fois l’espace créé, seuls des " motifs légitimes " peuvent être invoqués pour refuser qu’un·e professionnel·le verse des documents " en ligne ". C’est ce qu’indique en l’article R. 1111-47 du « Code de la santé publique » et rappelé dans la politique de protection des données personnelles :

« Une fois votre profil " Mon Espace Santé " créé, vous ne pourrez pas, sauf à invoquer un motif légitime, refuser qu’un professionnel autorisé ou que les personnes exerçant sous sa responsabilité déposent dans votre dossier médical partagé les informations qui sont utiles à la prévention, la continuité et la coordination de vos soins (article R. 1111-47 du " Code de la santé publique ") ».

https://www.monespacesante.fr/protection-donnees-personnelles

Illustration : la configuration par défaut du compte à sa création

Nous avons passé en revue la configuration des paramètres à la création du compte " Mon Espace Santé " et déjà, nous pouvons noter quelques actions effectuées sans l’accord explicite de la personne " usagère " :

L’attestation de vaccination " Covid-19 " est automatiquement versée dans le dossier par « l’Assurance maladie ». Le document est visible " par défaut " à l’ensemble des professionnel·les de santé. Il est possible de le masquer, mais pas de le supprimer car il a été ajouté par un·e professionnel·le de santé.

Il n’est pas possible de s’opposer au versement de ce document, alors que « l’Assurance maladie » n’a pas été techniquement autorisée à déposer des documents sur ce compte.

En ce qui concerne la configuration des accès aux professionnel·les en cas d’urgence, l’option est activée " par défaut " à la création du compte.

Pour s’en rendre compte, la personne " usagère " doit se rendre dans la section " Confidentialité " des paramètres de configuration, puis " Accès en cas d’urgence ".

Le personnel du SAMU ainsi que " tout autre professionnel de santé " sont autorisés " par défaut " à accéder aux documents et aux rubriques " Vaccinations ", " Historique de soins ", " Entourage et volontés " du profil médical.

Mais quels contrôles techniques permettent de définir ce qui est " une situation d’urgence " et débloque l’accès des documents aux professionnel·les ?

Et s’agit-il des professionnel·les qui ont " d’ordinaire " déjà accès à notre espace ?

Les informations que nous avons pu recueillir ne nous permettent pas de répondre actuellement à cette question.

Un cloisonnement des informations insuffisant vis-à-vis du personnel soignant

Le décret s’appliquant à " Mon Espace Santé " prévoit une matrice d’accès différencié aux informations de la personne " usagère " selon le type d’activité du ou de la soignante.

https://www.monespacesante.fr/pdf/matrice-habilitations.pdf

En pratique, le partage " par défaut " est très large : votre dentiste aura accès à vos résultats de prélèvements sanguins, votre " kiné " à votre historique de vaccination, votre sage-femme aux données de remboursement, et ainsi de suite.

Le ou la médecine " traitante " a - quant à elle - accès à l’ensemble des informations contenues dans " l’espace santé " de ses patient·es.

S’il est possible de bloquer l’accès à un·e professionnel·le de santé depuis les paramètres de l’espace, que se passe-t-il dans le cas où l’on souhaite changer de médecin·e traitant·e ?

Ou que l’on souhaite choisir quelles informations partager ?

En effet, certains " parcours de santé " nécessitent la consultation de divers spécialistes aux opinions divergentes pour obtenir un diagnostic. L’accès à certaines informations sur des opérations ne faisant pas consensus parmi le corps médical peut également générer des biais négatifs chez les professionnel·les de santé (par exemple, le recours à une IVG).

Enfin, l’accès est partagé pour le service d’un hôpital : impossible dans de ce cas de savoir qui y a vraiment accès (prêt de carte d’accès au système informatique, par exemple).

Cependant, il est important de noter que la personne " usagère " ou qu’un·e professionnel·le peuvent choisir de masquer un document pour le rendre inaccessible aux autres professionnel·les de santé, à l’exception du ou de la médecine " traitante " de la personne ayant mis en ligne le document et du personnel intervenant en cas d’urgence.

Si ce n’est pour ces larges exceptions, ceci représente un bon moyen de protéger la confidentialité des données au cas par cas.

En revanche, il n’est pas possible de supprimer un document déjà versé par un·e professionnel·le de santé.

Il est possible pour les personnes de vérifier qui a eu accès à leurs données : des journaux d’activité enregistrent qui accède à quel document à une date et une heure donnée.

La personne " usagère " peut recevoir des notifications chaque fois qu’un nouvel accès est détecté. Ces journaux permettent donc de détecter un potentiel mésusage de l’accès aux données. Cependant, cette fonctionnalité ne peut aider à protéger les accès qu’après coup : si on se rend compte qu’une personne soignante a eu accès à un document et que cela ne nous convient pas, on ne pourra que limiter ses accès futurs.

Le système de droit d’accès de " Mon Espace Santé " n’a pas été pensé pour permettre aux utilisateur·ices de gérer simplement et de manière éclairée l’accès à leurs données.

On pourrait - par exemple - imaginer un système où " par défaut " seule la personne " usagère " et la liste de soignant·es qu’elle a désignées auraient accès aux documents la concernant, " l’usagère " pouvant ensuite choisir de démasquer certains documents à d’autres professionnel·les de santé (en bénéficiant, par exemple, de conseils de la part des soignant·es pour faire ce choix de manière éclairée).

Dans ce cas, c’est la personne " usagère " qui aurait véritablement la main sur ses données et non pas les professionnel·les de santé comme c’est le cas avec la conception actuelle de " Mon Espace Santé ".

Une mise en danger du secret médical pour certains ouvrants droits ?

Dans le cas des enfants et des adolescent·es, les " ouvrants droits " (c’est-à-dire les assuré·e·s) auront accès aux espace de santé des personnes qui leur sont rattachées. C’est-à-dire que, concrètement, toutes les informations de santé de leurs enfants et adolescent·es, ainsi que les rendez-vous et les courriels passant par la messagerie sécurisée leur seront accessibles.

https://www.monespacesante.fr/pdf/matrice-habilitations.pdf

En théorie, certaines infos peuvent ne pas être versées dans le dossier. Par exemple, dans le cas d’une IVG, le ou la soignant·e est en charge d’expliquer et de proposer à la personne mineure de ne pas ajouter les infos de l’IVG dans le dossier.

La personne peut répondre qu’elle ne veut pas que ce soit versé. Aucune donnée de remboursement relatif à cet acte ne sera remontée. Cet exemple fait partie des motifs légitimes que peut invoquer une " usagère " pour refuser qu’un·e professionel·le verse un document sur " l’espace santé ".

Ceci implique que les soignant·es pensent à demander - et respectent - le souhait des personnes. Or, avec " Mon Espace Santé ", la quantité des données versées est multipliée et surtout normalisée : par fatigue ou par oubli à force de répétition, il est probable que le consentement pour verser une information dans " Mon Espace Santé " ne soit pas récolté à chaque fois.

De plus, comme le recueil du consentement est oral et informel - il ne laisse donc aucune trace - la décision pourra difficilement être contestée.

Cet outil multiplie donc malheureusement les chances de mettre en danger le « secret médical » de ces personnes, et potentiellement la sécurité des personnes au sein de leur foyer ou de leur famille : que se passe-t-il si une " enfant/ado " ne souhaite pas parler d’un sujet (contraception, dépistage de MSTs, grossesse, avortement, transition) avec la personne à laquelle son compte est rattaché (que cela soit par pudeur ou par crainte de violences en représailles) ?

Le dossier « Informatique et Libertés » fourni par la « Délégation du numérique en santé » précise par ailleurs que l’opposition à la création du compte " Mon Espace Santé " appartient aux représentants légaux.

https://acteurspublics.fr/upload/media/default/0001/38/c3ba5645806cec0e9062a740a1e138478d4f3138.pdf

Une personne mineure ne peut donc supprimer ou s’opposer à la création de son " espace santé ".

En revanche, lorsque la personne devient " ayant droit " autonome, les accès des représentants légaux sont clôturés par le service. La personne peut gérer son compte, le fermer ou le créer s’il n’existait pas avant si elle le souhaite.

Notons qu’une personne peut demander, à partir de 16 ans, de devenir " ayant droit " autonome auprès de la CPAM de son domicile. On peut imaginer que le scénario de clôture des accès des anciens représentants légaux s’applique également dans ce cas.

Par ailleurs, la notion " d’ayant droit " existe toujours dans certains régimes tels que la « Mutualité sociale agricole » (MSA) ou le « régime local d’Alsace-Moselle » (personnes mariées, " pacsées ", concubines et enfants jusqu’à 24 ans sans activités).

https://regime-local.fr/hrf_faq/laffiliation-des-ayants-droit/

La documentation à laquelle nous avons eu accès ne permet pas de dire si les " ouvrants droits " auront accès aux espaces santé des " ayants-droits " majeurs.

Nous attirons l’attention sur le fait que si tel était le cas, cela représenterait un danger pour les personnes qui vivent des violences ou des conflits dans leur vie familiale (personnes en instance de divorce, par exemple).

Enfin, au delà des soignant·es et des utilisateur·ices, des personnes " tierces " peuvent avoir accès aux données de santé pour des fonctions de " support ".

Les niveaux 2 et 3 de ce " support " pourront avoir accès aux données de santé. Ceci implique notamment des agent·es de la CPAM et le personnel de prestataires (" Atos "/ " Wordline ") et de l’hébergement.

L’accès aux informations doit en théorie recueillir le consentement de la personne " usagère " dans le cadre du support, mais là encore impossible d’assurer que ce consentement sera bien demandé et non forcé techniquement.

Concrètement, des personnes qui ne sont pas professionnelles de santé peuvent accéder aux informations médicales personnelles des " usagères ".

Mais cela est-il vraiment nécessaire pour une fonction " support " ?

Ceci pose la question également de savoir si les documents sont stockées de manière chiffrée et lisibles uniquement par les personnes habilitées, ou pas. Difficile de répondre à cette question en l’état de nos connaissances.

Un futur " écosystème " d’applications aux nombreuses inconnues

La description du catalogue de services numériques de santé à venir implique la possibilité d’ajouter des applications d’entreprises privées au sein de " l’espace santé ". Ceci pose un grand nombre de questions concernant le partage des données d’activités et des contenus stockés dans " l’espace santé ".

Pour l’instant, nous n’avons pas les réponses à ces questions et nous soulignons notre inquiétude sur ce sujet : comment " l’usagère " pourra-t-elle déterminer à quelles données l’application accède, et si cela est légitime ?

Pourra-t-on limiter les données auxquelles chaque application a accès comme sur un " smartphone " ?

Lors des mises à jour des applications, les changements de permissions ou de fonctionnement seront-ils notifiés et comment ?

Et enfin, quels usages de nos données feront les " startups " d’objets connectés et autres grandes entreprises et plateformes de prise de rendez-vous (" monétisation ", " profilage ") ?

Au-delà de ces problèmes d’implémentation, il faut dénoncer la direction générale animée par cette évolution : le remplacement du soin par la technique industrielle.

Un futur accès plus difficile au service public de santé ?

" Mon Espace Santé " s’inscrit dans une tradition de numérisation et de centralisation en ligne des données : ceci fait du service une cible idéale pour les piratages de données.

Le stockage est géré par une entreprise privée.

Le code du service n’est ni public ni accessible, ce qui pose la question de la transparence pour un outil du « service public ».

Nous nous interrogeons, aujourd’hui comme dans un futur plus ou moins proche, sur l’accès à la santé des personnes ne pouvant - ou ne voulant pas - utiliser ce service de santé.

Et si d’aventure nous nous retrouvions dans une situation où il nous est impossible d’avoir rendez-vous sans passer par cet espace ?

Ou que nos remboursements sont rendus difficiles sans l’utilisation de cet espace ?

La fiabilité et la sécurité informatique de ce service doivent aussi être considérées : si la plateforme se retrouve la cible d’un défaut de fonctionnement ou d’un " piratage ", que deviennent alors nos données ?

Souvenons-nous du " piratage " des services de l’AP-HP en 2021 dans le contexte du " Covid-19 ", suite auquel la réponse apportée par les autorités de santé a été insuffisante, voire nulle.

Plus récemment encore, les données d’au moins 510 000 personnes ont été volées à « l’Assurance maladie » via " Amelipro ".

https://www.lemonde.fr/pixels/article/2022/03/18/assurance-maladie-des-donnees-personnelles-concernant-plus-de-500-000-francais-volees_6118149_4408996.html

À vouloir faciliter l’accès à la santé en imposant un outil numérique, n’y a-t-il pas erreur sur la façon de procéder ?

Autant de questions auxquelles cet outil numérique ne répond pas tout en persistant dans la même direction.

Conclusion

" Mon Espace Santé " est un service manipulant des données sensibles qui est déployé à l’ensemble de la population française. Or, sa conception et son déploiement ne sont clairement pas au niveau des services les plus respectueux en matière de protection de la vie privée.

Selon le " Ségur du numérique " en santé, son ambition est de " généraliser le partage fluide et sécurisé de données de santé entre professionnels et usagers pour mieux soigner et accompagner. "

https://esante.gouv.fr/segur

Mais pour cela, les besoins en terme de consentement et de gestion des données des usagères devraient être au cœur d’une expérience utilisatrice respectueuse, fiable et réaliste, ce qui à notre sens n’est pas le cas avec " Mon Espace Santé ".

Sans oublier que ce service s’inscrit dans un processus de numérisation des « Services publics » qui, trop souvent, ne tient pas compte des difficultés d’accès et d’utilisation « d’Internet » par de nombreuses personnes.

Pour ces raisons, nous ne pouvons que remercier les nombreuses associations qui ont déjà alerté sur ce sujet et, comme elles, vous proposer des guides pour demander la suppression de votre " espace santé ".

https://smg-pratiques.info/IMG/pdf/tuto_smg_refuser_mes.pdf

La Quadrature Du Net

Blogs.mediapart.fr