Le casse-tête RGPD de la téléexpertise

Bon, on résume : entre les problèmes de démographie médicale et d’inégalités de répartition sur le territoire, l’augmentation de la demande en actes de soins (on vieillit tous) et tout simplement les évolutions technologiques, la plupart des actes médicaux se feront dans le futur par écran interposé. Que l’on y songe tout de même : en 2024, il est possible d’ouvrir un compte en banque et de disposer d’une carte de paiement en moins de 15 minutes chrono (essayez Revolut ou N26, l’expérience utilisateur est absolument bluffante), mais il faut toujours prendre un rendez-vous physique pour une ordonnance médicale de renouvellement de ses gouttes. OK, pas toujours, mais une partie non négligeable des actes de soins pourraient parfaitement être réalisés à distance.

Et c’est là qu’apparaît la téléexpertise en tant que sous-ensemble de la télémédecine. Vous êtes devant votre médecin traitant avec vos dernières analyses de sang, ce dernier a un léger doute sur la combinaison de tel et tel paramètre (c’est un exemple) et a besoin d’un avis d’expert dans le domaine de la cardiologie (c’est toujours un exemple). Avant, il fallait prendre RDV avec un ponte du CHU d’à côté, soit deux ans d’attente dans certaines spécialités. Maintenant, c’est magique : le médecin traitant et ledit expert échangent en direct par une plateforme de téléexpertise, le premier « poussant » l’analyse, le second « délivrant » un avis d’expert. (Bon, on attend toujours que l’on nous explique par quel miracle du Saint-Esprit des Octets ledit expert répondra en moins de deux ans, d’autant que la facilité d’utilisation de la technologie va faire exploser les demandes, mais tel n’est pas le sujet du présent article.)

Avant, ce type d’échange existait déjà, mais par téléphone (voire en envoyant une copie d’écran par MMS sur smartphone, si, si, je vous jure !), là, on va sécuriser tout ce foutoir. Et surtout faire raquer : avant, toujours avant, ledit expert bossait gratos en plus de son taf (on ne saura jamais à quel point certains ultra-experts sont de véritables héros anonymes[1]), mais surtout le DAF voyait d’un mauvais œil tout ce fric qui ne rentrait pas, on le comprend. Maintenant, c’est payant et, que ce soit normal ou pas, cette dimension est importante pour la suite du débat.

Mais le DPO-poète qui se niche entre les neurones de votre serviteur se pose une question fondamentale : qui est responsable de traitement, au sens du RGPD ? J’entends par là : le traitement qui est constitué par la prise en change du patient par son médecin traitant et qui finalement aboutit à la consultation d’un expert hors situ. Vous avez deux versions, et un pronostic d’évolution.

Première version : la relation avec le patient relève du seul médecin traitant et de nul autre, l’expert sollicité agissant en tant que sous-traitant (toujours au sens du RGPD) puisque dans cette situation il agit « pour le compte de ». La plateforme technique utilisée est un sous-traitant également, mais uniquement technique. Cette vision paraît logique : s’il devait avoir accès à ses données médicales, le patient s’adresserait au médecin traitant qui l’a pris en charge et à personne d’autre. Le médecin traitant pourrait d’ailleurs parfaitement transmettre des données totalement anonymisées à l’expert (uniquement les variables biologiques), voire solliciter plusieurs experts pour confronter différents avis : on ne va pas demander au patient de courir après dix experts qu’il n’a jamais vus. Du point de vue du patient, cette vision RT/ST semble logique, et d’ailleurs le droit de la santé regorge de prises de position du juge selon lesquelles la solution retenue est celle qui facilite la vie du patient (charge ensuite au médecin traitant de se retourner contre/vers l’expert en cas de litige).

En revanche, selon la seconde version, il ne s’agit pas d’un acte médical, mais de deux. Et dans ce cas, deux traitements RGPD coexistent (l’un entre le patient et son médecin traitant, l’autre entre le patient et l’expert). Cette vision se tient dans le sens où, au final, il y a deux facturations (le CHU employeur de l’expert dans l’exemple cité effectue une facturation T2A, et le médecin traitant facture son acte comme il l’a toujours fait). Cette interprétation entraîne d’autres problèmes : la question de l’identitovigilance (le CHU procède à une admission dans sa GAM sans face à face avec le patient – léger souci), la question du droit d’accès du patient à l’acte réalisé à distance par le CHU, et j’en passe. Un des éléments qui permet de trancher repose sur l’autonomie d’analyse de l’expert consulté : s’il doit répondre simplement à la question qu’on lui pose sans aucune autonomie pour aller regarder l’existence d’autres pathologies, il est ST, si autonomie il y a, il est RT d’un second traitement.

Dit autrement, le discriminant dans ce débat est simplement le nombre d’actes médicaux réalisés pendant la consultation du patient. Cela étant, mon pronostic, car il en faut bien un, c’est qu’à terme la seconde version va l’emporter, en vertu d’une règle de base de nos sociétés modernes : toujours suivre les flux d’argent. Mais les données du problème sont assez mouvantes, probable que je change d’avis, au moins partiellement, en fonction de la doctrine. Si vous pensez que je coupe les cheveux en huit, pas du tout : qui paye quoi à qui (et qui est payé) est une donnée majeure. Si la télé-machin-chose piétine depuis des décennies en France (alors que les technologies existent), c’est en grande partie à cause d’un problème de facturation.