Dans le contexte de la pandémie de Covid-19, des consignes sanitaires gouvernementales strictes ont été émises au Québec comme dans de nombreux pays à travers le monde. Les recommandations de distanciation et d’évitement des contacts directs ont conduit de nombreux psychologues à passer de la pratique traditionnelle en présentiel à la télépratique (téléthérapie). Diverses questions pratiques se sont alors posées, notamment à propos du choix de la plateforme de télépratique selon sa facilité d’usage, selon son coût et selon son niveau de sécurité.
Ce guide vise à fournir à chaque psychologue clinicien les informations nécessaires à la mise en place d’une télépratique sécuritaire et éclairée, conforme avec les lois et règlements en vigueur. Vous trouverez ci-après les différentes étapes d’une bonne sécurisation virtuelle. Il importe de noter que ce texte ne constitue aucunement un avis juridique.
Préambule
Il convient tout d’abord de rappeler que la sécurité absolue est inatteignable. De la même façon qu’une personne très motivée pourrait entrer par effraction dans votre bureau privé puis forcer le classeur verrouillé contenant les données confidentielles de vos patients, un pirate informatique pourrait, avec plus ou moins d’effort, accéder aux données présentes sur votre ordinateur, ou à vos courriels. En présentiel ou à distance, le psychologue est tenu à une obligation de moyens visant à protéger la confidentialité de toutes les informations concernant son client.
Des lois et règlements à consulter
Pour les psychologues en cabinet privé exerçant au Québec, le cadre légal qui entoure la téléconsultation est la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Les articles 2 et 10 précisent notamment :
Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier.
Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
La LPRPSP dispense les entreprise du Québec d’appliquer la réglementation fédérale décrite dans le Personal Information Protection and Electronic Documents Act (PIPEDA) car la loi québécoise a été jugée « essentiellement similaire » à la réglementation fédérale. Cependant, si votre client se trouve hors du Québec ou hors du Canada, le PIPEDA s’applique en plus de la loi québécoise. Par ailleurs, la loi de la province ou du pays où votre client réside peut également s’appliquer. Il s’agira alors de bien s’informer au cas par cas.
Aux États-Unis, le Health Insurance Portability and Accountability Act (HIPAA) est reconnu pour définir des normes très strictes à propos du traitement informatique des données de santé. Il est souvent mis de l’avant par les entreprises qui s’y conforment même hors des États-Unis car il s’agit d’une norme qui garantit un très haut niveau de sécurité.
Enfin, le code de déontologie des psychologues, notamment l’article 15 qui aborde le secret professionnel est un texte qu’il faut connaître et appliquer.
Des responsabilités professionnelles à connaître
Selon la LPRPSP, c’est au psychologue qu’incombe la responsabilité de protéger les données échangées avec son client lors des consultations. La plateforme utilisée est en quelque sorte un prestataire de service informatique et ce n’est pas à elle que revient l’obligation de protéger les données. C’est bien au psychologue de s’assurer que le fonctionnement de la plateforme choisie est conforme à la règlementation et à la législation québécoise.
Le fait qu’une plateforme déclare être en conformité avec la législation ne signifie pas nécessairement qu’elle le soit. En effet, elle peut être en retard dans son appréciation de la loi, elle peut faire des erreurs ou encore annoncer qu’elle est en conformité mais indiquer dans ses conditions générales de vente qu’il ne s’agit nullement d’une garantie. En somme, il est nécessaire et plus prudent de s’informer dans le détail sur le fonctionnement de la plateforme en question.
Un environnement à aménager
La sécurisation des données sur internet commence de la même façon qu’à votre bureau privé: par votre environnement physique proche. Vous devez vous assurez que l’endroit où vous réalisez votre télépratique est suffisamment insonorisé et que votre écran n’est pas visible depuis l’extérieur. Une technique simple pour être certain que personne n’écoute votre client est de mettre des écouteurs : vous seul entendrez votre client. Attention cependant aux casques à réduction de bruit : ils ne permettent pas d’évaluer le volume de sa propre voix et il devient alors difficile de s’assurer que nos propos ne sont pas perceptibles par notre environnement proche. À la maison, il pourrait être utile de mettre un peu de musique ou un bruit blanc dans les autre pièces à proximité de l’espace où vous vous trouvez: cela rendra vos échanges beaucoup moins audibles.
Le matériel informatique à mettre à jour
Votre ordinateur constitue une partie importante de votre télépratique. Avant de s’intéresser aux logiciels que vous allez installer, il convient d’être sûr que votre ordinateur est lui-même sécurisé. Pour cela, il vous suffit de vérifier que votre système d’exploitation et votre navigateur sont à jour. En effet, tout système informatique comporte des failles et des risques de défaillance, c’est inéluctable. Les mises à jours de ces systèmes servent à réparer les failles qui ont été identifiées. Lorsque vous ne faites pas ces mises à jour, ce sont autant de points de vulnérabilité qu’un pirate ou qu’un logiciel malveillant peut utiliser.
Si vous possédez un Mac, vous pouvez suivre cette procédure pour mettre à jour votre système d'exploitation. Si votre Mac indique qu’il ne peut pas installer la nouvelle version de MacOs, c’est qu’il est trop ancien. Sachez que vous prenez alors le risque que votre ordinateur soit moins bien protégé puisqu’il ne pourra plus disposer des dernières mises à jour. Dans la mesure du possible, il est alors recommandé de changer d'ordinateur pour un plus récent. Notez qu’un antivirus n’est pas nécessaire sur un Mac.
Si vous travaillez sur un PC, vous pouvez vérifier les mises à jour en suivant cette procédure. Notez que Windows 10 possède déjà un antivirus de bonne qualité et qu’il n’est pas utile d’en installer un autre. Si vous possédez Windows 7 ou 8, nous vous recommandons de faire la mise à jour vers Windows 10. Nous détaillerons pas cette procédure qui est complexe.
En plus des mises à jour susmentionnées sur Mac et PC, il est utile d’avoir recours à Malwarebytes. C’est un logiciel qui scanne l’ensemble de votre système ; il détecte et supprime les éléments malveillants dans votre Mac ou PC. Après 15 jours d’essai, ne soyez pas surpris, il vous sera suggéré de passer à une version payante pour continuer de bénéficier de la « protection en temps réel ». Nous vous suggérons alors de désactiver cette protection: la version gratuite est amplement suffisante et son usage occasionnel est approprié car elle vous permet tout de même de scanner votre système.
Enfin, votre navigateur web doit également être à jour. Parmi les plus connus (Google Chrome, Mozilla Firefox, Safari, Internet Explorer, Edge), c’est Firefox que nous vous recommandons: il se met à jour tout seul et ses concepteurs mènent des actions d’ampleur pour la protection de la vie privée sur internet. Tous les autres présentent un niveau de sécurité similaire à l'exception d'Internet Explorer et Edge. Google Chrome est également recommandé. En effet, bien qu'il soit développé par une société spécialisée dans la collecte et la vente de données, la politique de confidentialité de ce navigateur est publique et très développée.
Des clients à sensibiliser
Pour que la sécurité soit bonne, il faut qu’elle le soit de bout en bout. Pour cela, il est essentiel que votre client lui aussi utilise un ordinateur et un navigateur à jour. Dans la mesure du possible, son environnement proche devrait comporter les mêmes caractéristiques de confidentialité que le vôtre. Ce sont des points auxquels vous pouvez le sensibiliser et pour lesquels vous pouvez l’aider à trouver des aménagements concrets.
Il est également important de garder à l’esprit que l’enregistrement des séances à votre insu est beaucoup plus facile à faire qu’en présentiel dans votre bureau privé. Cela peut constituer un autre point préalable à clarifier avec votre client.
Il est enfin préférable que ce soit le psychologue qui appelle ou contacte le client à l’heure fixée. Tout comme le psychologue irait chercher son client à la salle d’attente, c’est lui qui sollicite le client à l’heure convenue. Cela permet au psychologue de s’assurer que les conditions sont réunies avant de démarrer l’échange.
Des données à protéger
Après s’être assuré que votre ordinateur et celui de votre client présentent tous deux une bonne sécurité, c’est au tour de la plateforme de télépratique de subir le même examen. Le choix de la plateforme de téléconsultation est crucial car c’est par cette plateforme que vont transiter des données confidentielles:
- Les informations audio et vidéo échangées entre votre ordinateur et celui de votre client (exemple : propos, visages);
- Les informations que votre client et vous-même donnez à la plateforme de télépratique que vous utilisez (exemple : identifiants, adresses courriel).
Un des éléments techniques qui garantit la sécurité des données est l’encryptage. Avoir un échange encrypté revient à avoir un échange avec une personne en utilisant un code que seuls vous et votre interlocuteur connaissez. De cette façon, toute personne qui ne connaît pas votre code ne pourra pas comprendre l’échange.
Ainsi, dans une communication sécuritaire, les données sont encryptées tout le long de leur transport, c’est à dire lorsqu’elles sont en transit entre votre ordinateur et le serveur de la plateforme de télépratique d’une part, et entre l’ordinateur de votre client et le serveur de la plateforme de télépratique d’autre part. Bonne nouvelle, c’est le cas pour toutes les plateformes de télépratique que nous vous présentons ci-dessous!
Dans un monde idéal, les données devraient être complètement encryptées entre votre ordinateur et celui de votre client. Même la plateforme de télépratique de devrait pas y avoir accès. On appelle cela l’encryptage pair à pair. Il s’agit d’une solution technique très complexe à mettre en place pour transmettre de l’audio et de la vidéo et qui est peu commune.
Mais le problème ne relève pas uniquement de l’encryptage. D’autres aspects sont à considérer: que fait la plateforme avec les données qui lui arrivent? Au-delà des propos échangés et des visages en interaction, que fait la plateforme avec les informations de votre profil, avec votre identifiant et celui de votre client, avec votre adresse courriel et celle de votre client? Un examen minutieux s’impose.
Les plateformes à examiner
Comme il est impossible d’accéder au code informatique des plateformes de télépratique pour vérifier leur sécurité, la question à se poser est la suivante : puis-je faire confiance à cette plateforme? Afin de déterminer si l’on peut faire confiance à une plateforme et juger de sa qualité, celle-ci devrait nous donner le maximum de détails sur les moyens qu’elle prend pour assurer la sécurité des données. Idéalement, l’outil de téléconsultation que nous recherchons devrait :
- Déclarer avoir connaissance de la loi québécoise et avoir ajusté son fonctionnement pour s’y conformer;
- Présenter en détail sa démarche de sécurité afin que nous puissions avoir confiance en son fonctionnement.
Reacts
À ce jour, une seule plateforme rencontre ces deux critères. Il s’agit de REACTS. Cette plateforme déclare être en conformité avec la loi québécoise PRPSP et elle présente sur son site une description détaillée des mesures de sécurités qu’elle met en place. Elle déclare être conforme avec PIPEDA et HIPAA et indique que l’encryptage est pair à pair. Enfin, elle semble déjà utilisée par de nombreux acteurs de santé. Il est à noter que pour pouvoir inviter des patients à une séance de télépratique il faut souscrire à la formule "pro". Coût: $120 CAD/année.
On Call Health
OnCallHealth déclare être en conformité avec PIPEDA et HIPAA et "toute législation équivalente en matière de protection des renseignements personnels sur la santé au Canada". Par courriel ils nous ont déclaré être compliant avec toutes les règlementations provinciales en matière de protection des données, dont le Québec. Le descriptif de la démarche de sécurité est très complet. L'encryptage utilisé est pair à pair. La plateforme semble utilisée par de nombreux acteurs de santé et bien que le site de présentation soit en anglais, la plateforme en elle-même est disponible en français. Coût: $588 CAD/année.
Webex
Webex meetings présente un descriptif de sécurité très détaillé. Il est édité par la firme CISCO, spécialisée dans la télécommunication d'entreprise et sa sécurité. L'encryptiage utilisé est un encryptage de transport. Son descriptif de sécurité recommande que ses clients prennent un conseil légal pour vérifier la conformité de leur fonctionnement aux normes HIPAA. Sa tarification indique que le plan STARTER dispose de fonctionnalités administratives avancées qui permettent d'avoir un contrôle plus fin sur la sécurité. Coût: $215,4 CAD
Clicpro
Clicpro déclare être en conformité avec la loi québécoise LPRPSP. Mais leur site ne présente aucune information sur leur démarche de sécurité ni sur les mesures prises pour rencontrer la conformité annoncée et il ne contient pas non plus leurs conditions générales. Coût: $959 CAD/année.
Doxy
Doxy déclare être en conformité avec PIPEDA, ainsi qu’avec la législation américaine et européenne. Ses pages comportent une description précise de leurs démarches de sécurité. Coût : $420 USD/année. Point négatif: la plateforme est en anglais uniquement.
Zoom
Zoom présente un descriptif de sécurité très fourni pour ses plans gratuits, « pro », « affaires » et « entreprise ». Il n’y a pas de différence de sécurité entre tous ces plans. Pour utiliser Zoom de façon sécuritaire, il faut bien faire attention de désactiver la possibilité d’enregistrement et de mettre un mot de passe aux rendez-vous. Cependant, il est documenté que Zoom envoie des informations personnelles à Google et à Facebook. Cela sera peut-être modifié dans le futur. De plus, Zoom déclare proposer de l’encryptage pair à pair alors que c’est faux! En attendant, Zoom propose un plan « healthcare » particulièrement bien documenté qui indique être en conformité avec PIPEDA et HIPAA. Coût du plan « healthcare »: $2400 CAD/année.
Teams
Microsoft Teams (anciennement Skype Business) ne déclare aucune conformité à aucune loi de protection de données et indique simplement que les entreprises qui utilisent ses services peuvent les configurer d’une façon qui les mette en conformité avec les lois de leur choix. Cette configuration étant complexe, nous n’entrerons pas dans les détails et nous ne l’inclurons pas dans notre comparatif.
Skype
Skype en version gratuite présente un encryptage des données durant leur transport, mais peu d’informations précises sont disponibles concernant la sécurité au-delà de l’encryptage du transport.
Facetime
Pour Facetime, Apple déclare que l’encryptage pair à pair est utilisé. Cependant, Apple ne déclare aucune conformité avec les lois de protection de données et ses informations techniques sont lacunaires.
Whatsapp
Whatsapp déclare également utiliser de l’encryptage pair à pair. Les explications techniques sont très fournies et Whatsapp se base sur un protocole d’encryptage très sécurisé. Cependant, il faut garder en tête que Whatsapp appartient à Facebook qui est spécialisée dans la vente de données personnelles. L’encryptage pair à pair est d’une utilité relative si Facebook est au courant que votre client consulte un psychologue spécialisé dans la prise en charge de la phobie sociale par exemple. Il est donc déconseillé d’utiliser Whatsapp.
Google Duo
Google déclare que l'encryptage pair à pair est utilisé pour son service Duo. Les informations techniques sont relativement développées. Cependant, Google ne déclare aucune conformité avec les lois de protection de données. Comme pour Whatsapp, Duo appartient à une entreprise spécialisée dans la collecte et la revente de données personnelles. Il est donc déconseillé d'utiliser Duo.
Jit.si
jit.si est un cas à part. Il s'agit d'un logiciel open source que n'importe qui peut installer sur son serveur. Le logiciel en lui même utilise l'encryption de transport et l'accessibilité de son code source le rend très sécuritaire. On peut considérer qu'il fournit des détails très satisfaisants sur sa démarche de sécurité. L'encryptage pair à pair est en développement (à la date du 12 avril 2020). En revanche, l'application jit.si est aussi sécurisée que le serveur sur lequel elle est installée. Un serveur populaire est à l'adresse meet.jit.si. Ce serveur est gratuit mais sa politique de confidentialité est claire : meet.jit.si peut utiliser certains de vos contenus envoyés sur le site pour de la promotion et meet.jit.si ne pourra être tenu responsable en cas de fuite de sécurité. La façon dont ses serveurs sont gérés n'est pas non plus connue. Bien sur, il est toujours possible d'installer jit.si sur son propre serveur et de s'occuper soi même de la sécurité. Puisqu'il est si différent, nous n'intègrerons pas jit.si dans notre tableau récapitulatif.
Petit tableau récapitulatif:
|
REACTS
|
ON CALL HEALTH |
WEBEX |
CLICPRO
|
DOXY
|
ZOOM de base
|
ZOOM pour soins de santé
|
SKYPE
|
FACETIME
|
WHATSAPP & GOOGLE DUO
|
Se déclare en conformité avec :
-
LPRPSP (Québec)
-
PIPEDA (Canada)
-
HIPAA (Etats-Unis)
|
✅
✅
✅
|
✅
✅
✅
|
❌
❌
❌
|
✅
❌
❌
|
✅
✅
✅
|
❌
❌
❌
|
❌
✅
✅
|
❌
❌
❌
|
❌
❌
❌
|
❌
❌
❌
|
Fournit des détails satisfaisants sur sa démarche de sécurité
|
✅
|
✅ |
✅ |
❌
|
✅
|
✅
|
✅
|
❌
|
❌
|
✅
|
Encryptage durant le transport des données
|
✅
|
✅ |
✅ |
✅
|
✅
|
✅
|
✅
|
✅
|
✅
|
✅
|
Encryptage pair à pair
|
✅
|
✅ |
❌ |
❌
|
❌
|
❌
|
?
|
❌
|
✅
|
✅
|
Version en français
|
✅
|
✅ |
✅ |
✅
|
❌
|
✅
|
✅
|
✅
|
✅
|
✅
|
Coût annuel hors taxes ($CAD) pour un usage illimité
|
120
|
588 |
215,4 |
959,4
|
546
|
0
|
2400
|
0
|
0
|
0
|
En conclusion
Il n’est pas simple de bien choisir sa plateforme de téléconsultation car les lois et règlements sont multiples et les enjeux techniques très complexes. Nous espérons avoir réussi à vous donner des indications qui vous permettront de faire un choix éclairé. Nous vous souhaitons une bonne sécurisation ! Si vous souhaitez des précisions ou faire un commentaire, n’hésitez pas à nous l’adresser en écrivant à contact@asadis.net.
Pierre-Marie Houdry, directeur d'Asadis
Cet article a été rédigé avec des informations recueillies sur internet le 30 mars 2020.
[Mise à jour le 1er avril 2020 : ajout de précisions à propos de REACTS et mention de Google Duo]
[Mise à jour le 2 avril 2020 : ajout de On Call Health]
[Mise à jour le 6 avril 2020 : ajout de Webex]
[Mise à jour le 23 avril 2020 : ajout de jit.si]