Comment bien sécuriser ma télépratique ?


Un objectif de caméra en gros plan

Photo par Bernard Hermant sur Unsplash.com



Dans le contexte de la pandémie de Covid-19, des consignes sanitaires gouvernementales strictes ont été émises en France comme dans de nombreux pays à travers le monde. Les recommandations de distanciation et d’évitement des contacts directs ont conduit de nombreux psychologues à passer de la pratique traditionnelle en présentiel à la télépratique  (téléthérapie). Des questions d’ordre technique et déontologique se sont alors posées, et notamment à propos du choix de la plateforme de télépratique selon sa facilité d’usage, selon son coût et selon son niveau de sécurité.

Ce guide vise à fournir à chaque psychologue clinicien les informations nécessaires à la mise en place d’une télépratique sécuritaire et éclairée, conforme avec les lois et règlements en vigueur. Vous trouverez ci-après les différentes étapes d’une bonne sécurisation virtuelle.

Préambule

Il convient tout d’abord de rappeler que la sécurité absolue est inatteignable. De la même façon qu’une personne très motivée pourrait entrer par effraction dans votre bureau privé puis forcer le classeur verrouillé contenant les données confidentielles de vos patients, un pirate informatique pourrait, avec plus ou moins d’effort, accéder aux données présentes sur votre ordinateur, ou à vos courriels. En présentiel ou à distance, le psychologue est tenu à une obligation de moyens visant à protéger la confidentialité de toutes les informations concernant son client.

Des lois et règlements à consulter

En France, c’est la loi informatique et libertés qui est en vigueur. Cette loi comporte des dispositions relatives au Règlement général européen sur la protection des données (RGPD).

De plus, le code de la santé publique a publié des réglementations concernant la transmission et le stockage informatique des données de santé. Ces réglementations définissent notamment une accréditation appelée « hébergeur données de santé » (HDS). Les plateformes responsables du traitement des données de santé doivent se conformer à cet agrément et les professionnels qui recueillent des données de santé doivent n’utiliser que des plateformes agréées.

Un environnement à aménager

La sécurisation des données sur internet commence de la même façon qu’à votre bureau privé : par votre environnement physique proche. Vous devez vous assurez que l’endroit où vous réalisez votre télépratique est suffisamment insonorisé et que votre écran n’est pas visible depuis l’extérieur. Une technique simple pour être certain que personne n’écoute votre client est de mettre des écouteurs : vous seul entendez ses propos. Attention cependant aux casques à réduction de bruit : ils ne permettent pas d’évaluer le volume de sa propre voix et il devient alors difficile de s’assurer que nos propos ne sont pas perceptible par notre environnement proche. À la maison, il pourrait être utile de mettre un peu de musique ou un bruit blanc dans les autre pièces à proximité de l’espace où vous vous trouvez : cela rendra vos échanges beaucoup moins audibles.

Le matériel informatique à mettre à jour

Votre ordinateur constitue une partie importante de votre télépratique. Avant de s’intéresser aux logiciels que vous allez installer, il convient d’être sûr que votre ordinateur est lui-même sécurisé. Pour cela, il vous suffit de vérifier que votre système d’exploitation et votre navigateur sont à jour. En effet, tout système informatique comporte des failles et des risques de défaillance, c’est inéluctable. Les mises à jours de ces systèmes servent à réparer les failles qui ont été identifiées. Lorsque vous ne faites pas ces mises à jour, ce sont autant de points de vulnérabilité qu’un pirate ou qu’un logiciel malveillant peut utiliser.

Si vous possédez un Mac, vous pouvez suivre cette procédure pour mettre à jour votre système d'exploitation. Si votre Mac indique qu’il ne peut pas installer la nouvelle version de MacOs, c’est qu’il est trop ancien. Sachez que vous prenez alors le risque que votre ordinateur soit moins bien protégé puisqu’il ne pourra plus disposer des dernières mises à jour. Dans la mesure du possible, il est alors recommandé de changer d’ordinateur pour un plus récent. Notez qu’un antivirus n’est pas nécessaire sur un Mac.

Si vous travaillez sur un PC, vous pouvez vérifier les mises à jour en suivant cette procédure. Notez que Windows 10 possède déjà un antivirus de bonne qualité et qu’il n’est pas utile d’en installer un autre. Si vous possédez Windows 7 ou 8, nous vous recommandons de faire la mise à jour vers Windows 10. Nous détaillerons pas cette procédure qui est complexe.

En plus des mises à jour susmentionnées sur Mac et PC, il est utile d’avoir recours à Malwarebytes. C’est un logiciel qui scanne l’ensemble de votre système ; il détecte et supprime les éléments malveillants dans votre Mac ou PC. Après 15 jours d’essai, ne soyez pas surpris, il vous sera suggéré de passer à une version payante pour continuer de bénéficier de la « protection en temps réel ». Nous vous suggérons alors de désactiver cette protection: la version gratuite est amplement suffisante et son usage occasionnel est approprié car elle vous permet tout de même de scanner votre système.

Enfin, votre navigateur web doit également être à jour. Parmi les plus connus (Google Chrome, Mozilla Firefox, Safari), c’est Firefox que nous vous recommandons: il se met à jour tout seul et ses concepteurs mènent des actions d’ampleur pour la protection de la vie privée sur internet. Tous les autres présentent un niveau de sécurité similaire à l'exception d'Internet Explorer et Edge. Il est également important de noter que bien que Google Chrome présente un bon niveau de sécurité, il est développé par une société spécialisée dans la collecte et la vente de données personnelles.

Des patients à sensibiliser

Pour que la sécurité soit bonne, il faut qu’elle le soit de bout en bout. Pour cela, il est essentiel que votre patient lui aussi utilise un ordinateur et un navigateur à jour. Dans la mesure du possible, son environnement proche devrait comporter les mêmes caractéristiques de confidentialité que le vôtre. Ce sont des points auxquels vous pouvez le sensibiliser et pour lesquels vous pouvez l’aider à trouver des aménagements concrets.

Il est également important de garder à l’esprit que l’enregistrement des séances à votre insu est beaucoup plus facile à faire qu’en présentiel dans votre cabinet. Cela peut constituer un autre point préalable à clarifier avec votre patient.

Il est enfin préférable que ce soit le psychologue qui appelle ou contacte le patient à l’heure fixée. Tout comme le psychologue irait chercher son client à la salle d’attente, c’est lui qui sollicite le client à l’heure convenue. Cela permet au psychologue de s’assurer que les conditions sont réunies avant de démarrer l’échange.

Les plateformes à examiner

Après s’être assuré que votre ordinateur et celui de votre client présentent tous deux une bonne sécurité, c’est au tour de la plateforme de télépratique de subir le même examen. Le choix de la plateforme de téléconsultation est crucial car c’est par cette plateforme que vont transiter des données confidentielles :

  • Les informations audio et vidéo échangées entre votre ordinateur et celui de votre client (par exemple : propos, visages) ;
  • Les informations que votre client et vous-même donnez à la plateforme de télépratique que vous utilisez (par exemple : identifiants, adresses courriel).

Zoom, Whatsapp, Facetime, Skype et Microsoft Teams n’utilisent pas d’hébergement agréé HDS. Whatsapp est particulièrement déconseillé car il appartient à Facebook qui est une entreprise spécialisée dans la vente de données personnelles.

De nombreuses entreprises françaises qui sont agréées HDS et proposent des solutions de télépratique sont apparues ces dernières années. Voici une liste non exhaustive :

  • Hellocare coûte 45€/mois ;
  • Leah coûte 75€/mois ;
  • Clickdoc ne mentionne pas ses tarifs et son site donne très peu d’indications quant à son fonctionnement ;
  • Idomed coûte 25€/mois mais au jour de la consultation, le lien sensé charger sa politique de confidentialité renvoie vers une page introuvable.

La plupart proposent une offre gratuite pendant la durée de la crise. Comme il s’agit de jeunes entreprises, il est recommandé de prendre le temps de naviguer sur leur site internet et de les contacter afin que vous puissiez être assurés qu’elles mettent bien place les mesures de sécurité qu’elles promettent.

En conclusion

Il n’est pas simple de bien choisir sa plateforme de téléconsultation car les enjeux techniques et légaux sont parfois obscurs. Nous espérons avoir réussi à vous donner des indications qui vous permettront de faire un choix éclairé. Nous vous souhaitons une bonne sécurisation ! Si vous souhaitez des précisions ou faire un commentaire, n’hésitez pas à nous l’adresser en écrivant à contact@asadis.net

Cet article a été rédigé avec des informations recueillies sur internet le 30 mars 2020.

Pierre-Marie Houdry, directeur d'Asadis Formation

Partager sur: Facebook | Linkedin | Twitter | Email

Vous souhaitez être tenu au courant de nos dernières formations?

J'enregistre mon adresse →


Vous pourrez vous désinscrire à tout moment.
Vous recevrez quelques courriels par an, pas plus.


Retrouvez-nous sur: Facebook Europe (fr)Facebook Québec (fr-ca)Facebook US & Canada (en)Twitter (fr)Twitter (en)LinkedIn (fr)