Rappel des rendez-vous par SMS : un risque pour la confidentialité ?

Alors rappeler un rendez-vous par SMS à un patient constitue-t-il un traitement de données de santé à caractère personnel ?
Mes compétences juridiques, sont limitées, mais j’aurais envie de dire que oui.
En effet, le simple numéro de téléphone du patient est une donnée à caractère personnel puisqu’elle peut permettre de l’identifier.
Ensuite, énoncer qu’un patient à rendez-vous avec praticien constitue une donnée médicale à mon sens.
Autant dire que le recueil du consentement express, spécifique et éclairé est plus que nécessaire !

Nous savons tous que le canal de diffusion des SMS n’est pas du tout sécurisé, que les messages transitent en clair entre les téléphones et les antennes relais (c’est le même principe que pour les mails, aucune sécurité pendant le transport), vous me direz tout le monde ne dispose pas d’un IMSI Catcher, mais méfiez-vous quand même. Quel établissement peut prouver que son émetteur GSM n’a pas été infiltré ?
Pire encore, si l’établissement qui envoie ces rappels par SMS ne dispose pas de son propre émetteur GSM et qu’il fait appel à prestataire pour réaliser l’envoi, la plupart du temps ces services utilisent un envoi par mail converti en SMS. Alors là c’est le pompon puisqu’en plus de faire transiter en clair une information médicale à caractère personnel par SMS, on la fait en plus transiter en clair par mail ! Mais ce n’est pas fini, la majorité de ces prestataires ne disposent pas de l’agrément hébergeur de données de santé : la totale !

Si quelqu’un arrivait à intercepter le SMS qui vous rappelle votre rendez-vous au contrôle technique pour votre véhicule, cela n’aurait aucune incidence, mais s’il s’agissait de votre rendez-vous avec un spécialiste, comme par exemple un oncologue, on pourrait rapidement se faire une idée sur votre état de santé.

Et puis il y a l’effet smartphone ! Les applis avec lesquelles on s’authentifie avec son numéro de téléphone (perso, je préfère un pseudo ou un mail dédié), la vulnérabilité de ces appareils rarement « patchés », sauf une majorité des iPhone, je vous l’accorde, mais il reste combien de millions de terminaux Android pour lesquels les constructeurs divers et variés ne publient aucun patch ? La plupart des utilisateurs font aussi l’impasse sur les solutions de protections sur ce genre d’appareils. C’est là que les chevaux de Troie entrent en scène, quand ils ne sont pas préinstallés sur les terminaux comme ce fut le cas pour deux entreprises qui ont reçus leurs smartphones neufs avec des logiciels malveillants préinstallés, comme l’explique un article publié sur le blog de Check Point vendredi dernier.
Et puis pour les autres, la publication sur WikiLeaks la semaine dernière de Vault 7 regroupant de plus de 8000 documents qui détaillent l’exploitation de vulnérabilités par la CIA, leur donnera peut-être un peu d’inspiration…

Alors, est-ce que l’arrivée du RGPD [1] l’an prochain mettra un frein à tout ça ?
Je vais peut-être paraitre rétrograde, mais si on me demande de protéger les données de santé à caractère personnel produite par mon établissement, personnellement je n’aurais pas envie de les laisser partir par SMS.
Je suis ouvert au débat et preneur si des juristes ont un avis sur le sujet.

[1] Règlement général européen sur la protection des données à caractère personnel