Publicité en cours de chargement...
Rappel des rendez-vous par SMS : un risque pour la confidentialité ?
Alors rappeler un rendez-vous par SMS à un patient constitue-t-il un traitement de données de santé à caractère personnel ?
Mes compétences juridiques, sont limitées, mais j’aurais envie de dire que oui.
En effet, le simple numéro de téléphone du patient est une donnée à caractère personnel puisqu’elle peut permettre de l’identifier.
Ensuite, énoncer qu’un patient à rendez-vous avec praticien constitue une donnée médicale à mon sens.
Autant dire que le recueil du consentement express, spécifique et éclairé est plus que nécessaire !
Nous savons tous que le canal de diffusion des SMS n’est pas du tout sécurisé, que les messages transitent en clair entre les téléphones et les antennes relais (c’est le même principe que pour les mails, aucune sécurité pendant le transport), vous me direz tout le monde ne dispose pas d’un IMSI Catcher, mais méfiez-vous quand même. Quel établissement peut prouver que son émetteur GSM n’a pas été infiltré ?
Pire encore, si l’établissement qui envoie ces rappels par SMS ne dispose pas de son propre émetteur GSM et qu’il fait appel à prestataire pour réaliser l’envoi, la plupart du temps ces services utilisent un envoi par mail converti en SMS. Alors là c’est le pompon puisqu’en plus de faire transiter en clair une information médicale à caractère personnel par SMS, on la fait en plus transiter en clair par mail ! Mais ce n’est pas fini, la majorité de ces prestataires ne disposent pas de l’agrément hébergeur de données de santé : la totale !
Si quelqu’un arrivait à intercepter le SMS qui vous rappelle votre rendez-vous au contrôle technique pour votre véhicule, cela n’aurait aucune incidence, mais s’il s’agissait de votre rendez-vous avec un spécialiste, comme par exemple un oncologue, on pourrait rapidement se faire une idée sur votre état de santé.
Et puis il y a l’effet smartphone ! Les applis avec lesquelles on s’authentifie avec son numéro de téléphone (perso, je préfère un pseudo ou un mail dédié), la vulnérabilité de ces appareils rarement « patchés », sauf une majorité des iPhone, je vous l’accorde, mais il reste combien de millions de terminaux Android pour lesquels les constructeurs divers et variés ne publient aucun patch ? La plupart des utilisateurs font aussi l’impasse sur les solutions de protections sur ce genre d’appareils. C’est là que les chevaux de Troie entrent en scène, quand ils ne sont pas préinstallés sur les terminaux comme ce fut le cas pour deux entreprises qui ont reçus leurs smartphones neufs avec des logiciels malveillants préinstallés, comme l’explique un article publié sur le blog de Check Point vendredi dernier.
Et puis pour les autres, la publication sur WikiLeaks la semaine dernière de Vault 7 regroupant de plus de 8000 documents qui détaillent l’exploitation de vulnérabilités par la CIA, leur donnera peut-être un peu d’inspiration…
Alors, est-ce que l’arrivée du RGPD [1] l’an prochain mettra un frein à tout ça ?
Je vais peut-être paraitre rétrograde, mais si on me demande de protéger les données de santé à caractère personnel produite par mon établissement, personnellement je n’aurais pas envie de les laisser partir par SMS.
Je suis ouvert au débat et preneur si des juristes ont un avis sur le sujet.
[1] Règlement général européen sur la protection des données à caractère personnel
Avez-vous apprécié ce contenu ?
A lire également.

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite
06 oct. 2025 - 10:50,
Communiqué
- EHESPDans un contexte d’accélération de la transformation numérique du système de santé, l’École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite à destination des équipes dirigeantes d’établissements sanitaires, sociaux et médico-sociaux.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !