Responsable du traitement

URGO est une société par actions simplifiée à actionnaire unique, spécialisée dans la commercialisation de produits de haute technologie en cicatrisation pour améliorer la qualité de la prise en charge des plaies.

Sur la finalité

La Commission prend acte de ce que la finalité du traitement, consistant à assurer le suivi de patients au moyen d’une application mobile du traitement des plaies par des utilisateurs professionnels de santé, est inchangée. De même, les infirmier(e)s pourront toujours entrer en contact avec des médecins experts de Médecin Direct (indépendants d’URGO) chargés de répondre à leurs demandes de conseils.

Elle prend acte de ce que la modification envisagée consiste à améliorer la coordination des soins apportés aux patients suivis par plusieurs professionnels de santé, en permettant le partage de dossiers patients entre eux.

La modification n’a pas pour objet de mettre en place un suivi ou un diagnostic à distance d’un patient, dans la mesure où les professionnels ne peuvent accéder aux fiches sans la présence des patients.

La Commission relève que le partage d’informations médicales peut intervenir entre deux professionnels de santé n’exerçant pas nécessairement au sein du même établissement, les échanges pouvant intervenir entre un infirmier et un médecin de ville et en établissement.

La Commission relève que le nouvel article L. 1110-4 du code de la santé publique (CSP) permet aux professionnels identifiés participant à la prise en charge d’une même personne d’échanger entre eux des informations nécessaires à la coordination ou à la continuité des soins relatives à cette personne. En conséquence, le nouvel article précise que les professionnels participant à la prise en charge d’une même personne peuvent échanger ou partager des informations la concernant dans la double limite des seules informations strictement nécessaires à la coordination ou à la continuité des soins et du périmètre de leurs missions.

La Commission considère les finalités poursuivies comme déterminées, explicites et légitimes au sens de l’article 6-2° de la loi du 6 janvier 1978 modifiée (loi Informatique et Libertés ).

Elle estime qu’il y a lieu de faire application des dispositions combinées des articles 8-IV et 25-I-1° de la loi Informatique et Libertés, qui soumettent à autorisation les traitements comportant des données relatives à la santé et justifiés par l’intérêt public.

Sur les données traitées

La Commission prend acte de ce que les données traitées sont inchangées. Ces données sont les suivantes :

Concernant les patients : les données d’identification (nom, prénom, date de naissance, sexe, poids et taille pour calculer l’indice de masse corporelle), les données de vie personnelle (fumeur ou non) et les données médicales (immobilisé ou non, artérique ou non, insuffisant veineux ou non, type de plaie, localisation, état de la peau, photographie de la plaie).

Les champs concernant le patient ou sa plaie (sauf le nom, le prénom et la date de naissance) peuvent ne pas être renseignés par les utilisateurs professionnels.

Concernant les utilisateurs de l’application professionnels de santé : les données d’identification (nom, prénom, numéro d’ordre) et les coordonnées (adresse du lieu d’exercice, adresse mail).

L’adresse mail sera utilisée comme identifiant du compte utilisateur. Un courrier électronique de confirmation et d’activation du compte sera envoyé à cette adresse mail, incluant les conditions générales d’utilisation, la politique de confidentialité et un modèle de formulaire d’information et de consentement du patient.

Concernant les médecins traitants des patients : les données d’identification (nom, prénom) et les coordonnées (téléphone, adresse mail).

Concernant les administrateurs de l’application, à savoir les équipes d’URGO au travers du back office, les équipes de l’hébergeur agréé données de santé et les équipes de SUDLER (chargée du développement et de la maintenance informatique), les données traitées demeurent les noms, prénoms et adresse mail.

La Commission relève que la photothèque de plaies ne comporte que des photos sans le nom des patients.

La Commission estime que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3° de la loi Informatique et Libertés.

Sur les destinataires

La Commission relève que les catégories de destinataires sont inchangées. En revanche, la nouvelle fonctionnalité permet le partage d’informations d’une fiche patient entre plusieurs utilisateurs professionnels créant, de fait, de nouveaux destinataires pour ces informations.

Il s’agit des professionnels de santé utilisateurs de l’application dans la stricte mesure nécessaire à la prise en charge de leurs patients.

Sont également destinataires des données des patients, sous une forme anonyme, le médecin expert éventuellement sollicité par un utilisateur professionnel, le personnel habilité de la société URGO, les prestataires techniques de la société URGO pour les besoins de développement et de maintenance de l’application exclusivement.

Cette liste de destinataires n’appelle pas d’observation de la part de la Commission.

Sur l’information et le droit d’accès

La Commission relève que les supports contenant l’information des personnes sur leurs droits demeurent les mentions légales, les conditions générales d’utilisation, la politique de confidentialité et l’application elle-même. Ces différents documents sont accessibles directement sur l’application et envoyés par mail à l’utilisateur professionnel lors de son inscription.

La Commission prend acte de ce que le contenu de l’information transmise aux personnes concernées sera mis à jour afin de les informer de la nouvelle fonctionnalité de partage et de leur permettre de l’accepter ou de la refuser.

Afin de garantir le droit d’opposition dont les personnes disposent en application de la loi Informatique et Libertés, la Commission demande que le contenu de l’information ainsi transmise soit conforme au nouvel article R. 1110-3 du CSP disposant que le professionnel souhaitant échanger, au sein d’une équipe de soins au sens de l’article L. 1111-12 du CSP, des informations relatives à la personne qu’il prend en charge informe préalablement la personne concernée de la nature des informations devant faire l’objet de l’échange ainsi que l’identité du destinataire.

Les utilisateurs professionnels exprimeront leur consentement directement, lors de leur inscription à l’application.

Les patients exprimeront leur consentement :

—  pour chaque accès par les utilisateurs professionnels aux fiches patient,

—  pour chaque nouveau partage avec un autre utilisateur,

—  pour l’intégration de photos de leurs plaies dans la photothèque de l’application.

Les patients expriment leur consentement indirectement, via un formulaire papier avec des cases à cocher, quant au traitement de leurs données, à la transmission d’informations les concernant à d’autres utilisateurs professionnels intervenant dans le suivi de leur dossier ainsi qu’à l’hébergement par un prestataire tiers hébergeur de données de santé.

La Commission précise que l’article L. 1111-8 du CSP, tel qu’il résulte de la loi n°2016-041 du 26 janvier 2016 de modernisation de notre système de santé, prévoit que l’ hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime . La Commission recommande que le formulaire de consentement soit modifié pour tenir compte de cette modification des textes applicables et en fasse expressément mention.

La Commission demande que le formulaire informatif remis aux patients soit modifié pour indiquer le droit dont disposent les patients, à tout moment, de supprimer le partage d’une fiche avec un autre utilisateur professionnel.

La Commission relève que les patients exercent leur droit d’accès auprès de l’utilisateur professionnel, ou, à défaut, auprès du médecin de l’hébergeur agréé dont les coordonnées sont indiqués dans la note d’information.

Les utilisateurs professionnels exercent leur droit d’accès auprès d’URGO ou auprès de l’hébergeur.

Sous réserve de la précédente observation, la Commission estime que ces modalités d’information sont satisfaisantes.

Sur les mesures de sécurité

La Commission prend acte de ce que les modifications envisagées impactent les modalités d’accès aux fiches patients et les droits des utilisateurs professionnels sur les données auxquelles ils ont accès.

Elle relève qu’une étude d’impact sur la vie privée a été réalisée et communiquée à ses services, révélant que les modalités de partage envisagées initialement ont été adaptées pour réduire les risques inhérents à cette nouvelle fonctionnalité.

L’accès à l’application

· Par les utilisateurs professionnels

La qualité d’utilisateur professionnel sera contrôlée lors de leur inscription au service afin de garantir que les utilisateurs de l’application, potentiellement destinataires d’une fiche patient, ont la qualité de professionnel de santé.

Cette vérification fera appel au service One Key Web Authentication (OWA) qui maintient un annuaire des professionnels de santé. A partir des données fournies (nom, prénom, n° RPPS, n° téléphone de contact, spécialité), OWA indique en retour si le professionnel est déjà présent et validé dans l’annuaire. Si ce n’est pas le cas, un opérateur OWA le contacte par téléphone pour valider son inscription. Le traitement faisant l’objet de la présente autorisation n’acceptera que des utilisateurs validés par OWA.

La Commission demande qu’une information spécifique soit adressée aux potentiels utilisateurs professionnels, concernant la mise en œuvre du service OWA et les droits dont ils disposent à l’égard de ce service conformément aux articles 38 et suivants de la loi Informatique et Libertés.

Les autres modalités de contrôle d’accès à l’application sont inchangées.

· Par les administrateurs

Les administrateurs continuent de s’authentifier au moyen d’un identifiant (adresse mail) et d’un mot de passe (avec chiffres et caractères spéciaux).

URGO dispose d’un accès aux fins d’administration lui permettant de gérer les comptes utilisateurs, une partie du contenu de l’application, la sécurité, le reporting ou les statistiques relatives à l’utilisation de l’application.

Le reporting par tranches d’âges consiste à recenser le nombre de patients, des types de pathologies ou des photos téléchargées. Aucune donnée nominative ne sera accessible à travers le reporting.

Les équipes d’URGO ont accès aux données des utilisateurs professionnels, aux données chiffrées des patients, excepté aux nom, prénom et date de naissance des patients.

Le médecin de l’hébergeur a accès à toutes les données stockées.

Les équipes de l’hébergeur ont accès aux données des patients sauf le nom, le prénom et la date de naissance.

L’authentification à l’application

La Commission relève que l’authentification forte des professionnels utilisateurs demeure assurée par le dépôt d’un certificat électronique sur son terminal.

Elle relève également que le nouvel article L.1110-4 du CSP issu de la loi du 26 janvier 2016 de modernisation de notre système de santé ne prévoit plus l’authentification par carte de professionnel de santé (CPS) ou dispositif équivalent agréé par l’ASIP santé, et le nouvel article L.1110-4-1 du même code renvoie ces modalités d’authentification à la conformité à des référentiels d’interopérabilité et de sécurité approuvés par le ministre en charge de la santé après avis de la Commission.

Dans l’attente de la publication des textes réglementaires permettant l’entrée en vigueur de ces nouvelles dispositions, la Commission demande que l’authentification des professionnels de santé intervienne au moyen d’une CPS, ou d’un dispositif équivalent agréé par l’ASIP santé, pour les cas où cela est techniquement réalisable et notamment pour l’utilisation de l’application via un micro-ordinateur.

Concernant la conservation des mots de passe sous forme hachée, la Commission recommande d’appliquer la fonction de hachage HMAC à clé secrète ou d’ajouter un sel avant de hacher les mots de passe.

Le partage de données via l’application

La nouvelle version de l’application organise le partage des fiches de la façon suivante :

—  l’utilisateur professionnel se connecte à son compte en renseignant son adresse mail et son mot de passe afin d’accéder à la liste des fiches des patients qu’il prend en charge personnellement,

—  s’il l’estime utile pour un meilleur suivi de son patient, l’utilisateur professionnel peut partager une de ses fiches patients avec un autre utilisateur professionnel, en demandant à l’application de générer un code de partage à usage unique, de type One Time Password (OTP), qui sera transmis par mail ou par SMS au professionnel destinataire du partage,

—  avant la génération d’un code de partage, l’utilisateur professionnel doit confirmer qu’il a informé et obtenu le consentement de son patient pour activer le partage de sa fiche,

—  le professionnel destinataire du partage doit saisir dans l’application le code qu’il a reçu. Une demande de confirmation sera alors présentée au professionnel émetteur qui devra la valider pour activer effectivement le partage et permettre au second utilisateur professionnel d’accéder à la fiche patient, avec les photographies des plaies le cas échéant, partagée et de la compléter.

Un utilisateur professionnel peut consulter et révoquer les partages qu’il a générés. A ce titre, la Commission recommande que les codes de partage ne soient pas listés en clair, et que seuls le nom des protagonistes et la date du partage soient indiqués dans l’application.

L’utilisateur propriétaire d’une fiche patient, à savoir celui qui l’a créée, peut consulter et gérer l’ensemble des partages concernant cette fiche. Le patient pourra s’adresser à lui pour connaître la liste de tous les professionnels ayant accès à sa fiche et, le cas échéant, faire révoquer un partage.

Les révocations d’accès s’effectueront unitairement, sans effet domino sur les accès consécutifs à celui révoqué.

La confidentialité des données

En cas de perte du terminal ou de plusieurs tentatives erronées d’accès, URGO peut supprimer à distance le compte utilisateur.

Toutes les données renseignées via les terminaux sont chiffrées, de sorte que seul le médecin de l’hébergeur a accès à l’ensemble des données, notamment celles relatives au nom, prénom et date de naissance des patients.

Un verrouillage automatique est activé par l’hébergeur de données de santé qui déconnecte toutes les sessions inactives pendant plus de 15 minutes.

Les données de localisation, intégrées automatiquement sur les photographies par les Smartphones disposant d’un GPS activé, sont supprimées lors du téléchargement des photographies sur le serveur.

Concernant l’hébergement des données

L’application est hébergée auprès d’un hébergeur agréé conformément aux dispositions des articles L. 1111-8 et R. 1111-9 du code de la santé publique.

L’accès physique aux serveurs est sécurisé et limité par badge RFID, système d’alarme et vidéosurveillance.

L’exploitation des serveurs se fait à distance via une interface d’administration sécurisée et soumise à authentification porte par carte à puce.

La sauvegarde et la restauration des données est réalisée quotidiennement sur des disques cryptés serveurs. La rétention des sauvegardes est réalisée selon un cycle de 30 jours.

Un processus de gestion des incidents est mis à disposition du laboratoire. Il comprend une évaluation immédiate de l’impact de l’incident et des mesures palliatives d’urgence puis émet un ticket d’incident pour le résoudre définitivement.

La traçabilité des authentifications et des accès aux données des patients

Les traces ne comprennent pas les données en elles-mêmes.

La Commission recommande de réaliser un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et lever des alertes.

Sous réserve des observations précédentes, les mesures de sécurité décrites par le responsable de traitement sont de nature à garantir un risque limité d’atteinte aux données et conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur les autres caractéristiques du traitement

La Commission prend acte de ce que les durées de conservation des données sont inchangées :

Les données des utilisateurs sont conservées :

— au maximum un mois après la cessation de l’utilisation de l’application manifestée par la clôture de son compte par un utilisateur ;

— si la cessation de l’utilisation de l’application n’est pas manifestée par la clôture du compte de l’utilisateur, pendant une durée de six mois à compter de la dernière connexion à son compte de l’utilisateur.

Les données des patients sont conservées au maximum 24 mois à compter de la dernière action de l’utilisateur sur la fiche patient ou la fiche plaie d’un patient.

Les données sont automatiquement supprimées six mois à compter de la dernière connexion de l’utilisateur à l’origine d’une fiche patient. Passé ce délai, elles seront supprimées.

La Commission estime que ces durées n’appellent pas d’observation au regard de la finalité poursuivie par le traitement.

A l’issue de cette période, les données devront être archivées conformément à la réglementation en vigueur et pourront être conservées, sous une forme anonymisée, à des fins statistiques.