Médecins, comment communiquer par e-mail avec vos patients à l’ère du RGPD ?

Comment communiquer par e-mail avec vos patients (ou vos clients)

Professionnels de santé, cet article s’adresse particulièrement à vous !

En effet il a été inspiré par notre échange récent avec un chirurgien conscient des enjeux de confidentialité du RGPD, mais interrogatif sur les moyens de s’y conformer, notamment dans le cadre de ses échanges par e-mail avec ses patients.

Il intéressera aussi tout professionnel souhaitant sécuriser sa communication par e-mail.

L’objectif de cet article est double :

• sensibiliser les professionnels de santé aux risques pour la vie privée liés à l’utilisation de la messagerie électronique ;
• leur apporter des pistes de solutions pour trouver comment communiquer avec leurs patients par e-mail en limitant les risques de violation de données personnelles.

N.B. : Nous n’entrerons pas ici dans des détails techniques liés à la sécurité du système d’information, qu’il faudra cependant aussi prendre en compte à un moment ou à un autre de votre mise en conformité RGPD.

L’échange d’e-mails : une pratique courante pour les professionnels de santé comme pour les autres

Si vous êtes médecin, kinésithérapeute, ostéopathe ou autre professionnel de santé, vous utilisez probablement la messagerie électronique dans le cadre de votre activité professionnelle pour communiquer :

• avec d’autres médecins ;
• avec d’autres professionnels de santé ;
• avec vos patients.

Les données de santé : des données sous haute surveillance

Selon la taille de votre cabinet et le degré de maturité numérique de la structure à laquelle vous êtes éventuellement rattaché, vous avez une idée plus ou moins claire des implications du RGPD.

Vous trouverez des informations sur le RGPD (règlement européen sur la protection des données personnelles) dans notre catégorie d’articles Données et Cybersécurité et dans la présentation de nos services en Gestion des données.

Nous proposons également des formations de sensibilisation au RGPD. Contactez-nous.

Dans tous les cas, quelle que soit la taille de votre structure, en tant que professionnel de santé, vous êtes tout particulièrement concerné par le règlement sur la protection des données.

En effet, les données de santé font partie des données personnelles particulièrement sensibles au regard de la loi, car susceptibles d’engendrer un risque élevé pour les personnes concernées en cas de perte ou de violation de données.

La messagerie électronique : un espace numérique à risque

La messagerie électronique est souvent une zone fragile dans le système d’information des organisations.

En effet, on a pris l’habitude d’envoyer des e-mails en abondance, en utilisant de multiples services bien pratiques, gratuits pour certains, comme Google, Yahoo, Hotmail, Microsoft… De plus, on observe fréquemment un joyeux mélange entre les communications professionnelles et privées.

Mais avez-vous une idée des différentes étapes du voyage d’un e-mail depuis votre terminal jusqu’à celui de son destinataire ?

Êtes-vous conscient de la fragilité d’une boîte e-mail en termes de sécurité informatique ?

Et vous êtes-vous demandé par quels serveurs, appartenant à quelles sociétés, situés dans quels pays, contrôlés par quels individus, transitaient vos précieux messages… et les données confidentielles concernant vos patients ?

Votre regard commence à changer ? Bien ! C’est le but.

L’éternel problème des mots de passe

On ne sait plus sur quel ton le répéter pour convaincre : sécurisez vos mots de passe !

En résumé, un mot de passe fort :

• contient au moins 8 caractères, dont des lettres minuscules et majuscules, des chiffres et, si le service le permet, des symboles ;
• ne veut rien dire, surtout pas quelque chose qui a trait à votre vie privée comme le nom de votre chien ou votre date de naissance… (voir vidéo rigolote ci-dessous) ;
• n’est pas enregistré dans votre navigateur ;
• est différent d’un service à l’autre ;
• se change régulièrement ;
• ne se partage avec personne.

Un bon mot de passe est donc une suite de caractères complexe. Pour les mémoriser, deux options :

• utiliser un système d’acronyme ou de phrase, exemple : %ppnQTDdc1 (petit papa noël Quand Tu Descendras du ciel) ;
• le top : utiliser un gestionnaire de mots de passe, comme 1Password, Keepass, Lastpass…

Comment sécuriser vos échanges par messagerie électronique

Utiliser des plateformes avec identification sécurisée pour communiquer entre professionnels de santé

Si vous communiquez avec d’autres professionnels de santé, vos échanges devraient être sécurisés de bout en bout.

Vous disposez très certainement de plateformes de messagerie sécurisées pour échanger des informations liées au dossier médical de vos patients. Vous devez utiliser ces plateformes, sur lesquelles vous vous connectez avec un mot de passe, et garder secret ce mot de passe (sécurisé : voir plus haut).

Envoi de documents : on oublie les pièces jointes et WeTransfer

Dans tous les cas, vous devez absolument éviter d’envoyer des documents contenant des informations de santé par e-mail, en pièce jointe.

Si vraiment vous devez utiliser l’e-mail pour envoyer un document sensible, optez plutôt pour un lien de téléchargement sécurisé. Des solutions simples existent.

Par exemple, Firefox Send propose un service de partage de fichiers proche du célèbre WeTransfer, mais chiffré, donc sécurisé. Prenez le temps de créer un compte et d’explorer les options : code de vérification, délai d’expiration du lien, limitation du nombre de téléchargements…

« J’ai une adresse e-mail professionnelle : moncabinet@gmail.com »

Faux ! La nature non professionnelle (et non confidentielle) de votre adresse e-mail provient du service utilisé.

On oublie les @gmail, @yahoo et autres @hotmail. On déconseille aussi les @orange, @sfr… qui sont prévus pour un usage personnel.

Notez que si vous utilisez Gmail comme client de messagerie, en centralisant toutes vos adresses e-mail dans un compte gmail parce que vous trouvez ça plus pratique, vous avez le même problème que si vous utilisez une adresse gmail. Google est connu pour ses indiscrétions quant au contenu des e-mails qui transitent sur ses serveurs.

« Je n’ai pas de site web. Comment faire pour avoir une adresse e-mail professionnelle ? »

Même si vous n’avez pas de site web, vous pouvez acheter un nom de domaine et un pack d’e-mails.

Cela vous permettra d’avoir une adresse e-mail du style ce-que-vous-voulez@votre-cabinet.com.

Cela représente un budget minime (souvent moins de 50 € par an) et c’est assez facile à mettre en place. Si vous avez besoin d’aide pour le faire, contactez-nous !

Les messageries gratuites qui respectent la vie privée

Bonne nouvelle ! Même si en général, « quand c’est gratuit, c’est vous le produit », il existe des services de messagerie gratuite qui respectent la vie privée.

Par exemple, ProtonMail est une messagerie chiffrée gratuite dont les serveurs sont basés en Suisse. Même si le RGPD ne s’applique pas en Suisse, ce pays a adopté des règles de confidentialité spécifiques.

ProtonMail s’engage à protéger au maximum la vie privée de ses utilisateurs. Vous avez même la possibilité de chiffrer vos e-mails de bout en bout, de protéger vos messages avec un mot de passe, etc.

L’offre de base de ProtonMail est gratuite et suffira à la plupart des usages privés.

Comment protéger la vie privée de mes patients lorsque je communique avec eux par e-mail (envoi et réception) ?

C’est une question délicate. Il est évidemment difficile d’attendre d’un particulier qu’il maîtrise les arcanes de la sécurité informatique ! On parle beaucoup aujourd’hui de la protection des données. Pour les particuliers, les implications restent toutefois assez obscures.

Faut-il renoncer à communiquer avec vos patients par e-mail au motif qu’il est difficile de garantir la sécurité et la protection des données ? Ce serait dommage. Cela contribue à la relation de confiance entre le professionnel de santé et son patient. Toutefois, la vigilance s’impose.

En tant que professionnel de santé (ou autre), vous êtes responsable de votre bout de la chaîne.

Et vous devez avoir un rôle d’information envers vos clients et partenaires, surtout si ceux-ci sont des particuliers, dans votre intérêt commun.

Au minimum, n’envoyez pas de pièces jointes par e-mail à vos patients (et déconseillez-leur de le faire). Partagez-leur plutôt un lien sécurisé en utilisant de manière éclairée un système sécurisé (voir plus haut).

Si vraiment le niveau de compétences numériques de votre interlocuteur rend trop compliqué le partage de fichiers par un lien, tant pis : envoyez-lui les documents par courrier postal, mais pas en pièce jointe à un e-mail.

Le corps du message devrait contenir aussi peu de données sensibles que possible. Vous pouvez toujours rédiger votre message dans un document texte et le partager avec votre patient par un lien sécurisé.

Oui, cela va prendre un peu plus de temps, et nous savons combien votre temps est précieux. Mais si vous faites l’effort de communiquer directement avec vos patients par e-mail, c’est parce que vous vous souciez de leur bien-être, n’est-ce pas ?

Alors considérez que sécuriser vos échanges e-mail avec vos patients, c’est protéger leurs données personnelles et donc prendre soin d’eux, en cohérence avec la sollicitude que vous souhaitez leur témoigner.

On vous a donné des pistes pour une communication par e-mail plus sûre. Maintenant, à vous de jouer !

Vous hésitez sur les solutions les plus adaptées pour vous ? Vous ne savez pas comment les mettre en place ?

Nous pouvons vous aider à vous organiser. Contactez-nous.