C’est obligatoire. Et c’est la loi. En Suisse, la législation sur la protection des données impose aux médecins l’usage du courrier électronique sécurisé, en tout cas lorsqu’ils échangent des données de patients avec d’autres professionnels, les hôpitaux ou les assureurs. Une obligation qui semble pourtant peu respectée. Un coup de sonde non représentatif, réalisé cet été auprès de 231 médecins romands, indiquait que 39% d’entre eux seulement utilisaient soit une solution de courrier sécurisé, soit un mail fourni par leur employeur (qui a une forte probabilité d’être sécurisé). A l’autre extrémité du spectre, 14% de « très mauvais élèves » utilisaient une seule adresse e-mail privée pour toute leur correspondance, personnelle et professionnelle. Pourtant, des solutions existent, que leurs développeurs s’efforcent de rendre faciles à utiliser.

Une sécurité pour les patients

Le leader sur ce marché est la société HIN (Health Info Net), créée il y a vingt ans à l’initiative de la FMH et de la Caisse des Médecins. Elle fournit deux services liés à cette thématique, explique Didier Boillat, son représentant romand. D’abord, un certificat numérique installé sur le poste de travail du médecin qui identifie ce dernier, assurant que c’est «bien lui» l’utilisateur et non une personne non autorisée. Ensuite, une messagerie sécurisée qui exploite ce dispositif. «Nous assurons donc l’identité de l’expéditeur et du destinataire du courriel, et garantissons que les données sont protégées et qu’elles n’ont pas été modifiées en cours de route.» Le coût? Frs 324 par an pour deux identifiants (par exemple un pour le médecin et un pour le cabinet).

Concrètement, le médecin démarre d’abord un logiciel qui assure une communication chiffrée avec les serveurs de HIN et s’identifie avec un mot de passe. Puis il utilise son logiciel de messagerie habituel ou un webmail pour consulter et envoyer des e-mails.

Ce qu’il advient des e-mails envoyés par ce biais dépend du destinataire. S’il s’agit d’un collègue client de HIN (avec une adresse e-mail en @hin.ch) ou membre d’une institution utilisant une solution sécurisée par HIN (la quasitotalité des hôpitaux et assureurs suisses), la correspondance est chiffrée de bout en bout sans aucune manipulation supplémentaire.

Mais HIN permet aussi de communiquer de manière sécurisée avec un tiers, un patient par exemple, qui ne dispose pas d’un tel accès. Dans ce cas, le destinataire reçoit un code sur son téléphone portable. Ce code va lui permettre de consulter le courrier reçu sur le site de HIN.

Alternative vaudoise

Les médecins vaudois, eux, bénéficient de longue date d’un service de messagerie sécurisé utilisant les logiciels de courrier électronique habituels. Il est inclus dans leur cotisation s’ils sont membres de la Société vaudoise de médecine (SVM). Ses fonctionnalités sont plus réduites: «Les échanges sont cryptés entre l’ordinateur du médecin et nos serveurs, explique Pascal Fernandez, du Centre de confiance de la SVM. Ils le demeurent ensuite seulement si les deux correspondants ont une adresse fournie par la SVM ou s’il communique avec une adresse du CHUV.»

Cette solution donne également un accès sécurisé à de nombreuses ressources de la SVM, comme une interrogation des cartes d’assurés, un accès à la littérature médicale ou une solution de facturation. HIN, de son côté, propose d’utiliser sa méthode d’identification sécurisée pour accéder à de tels services chez des tiers.

Un futur plus sûr

Le produit de courrier sécurisé de la SVM ne permet donc pas de communication cryptée avec les tiers hors SVM ou CHUV. «C’est un système de transition en attendant les futures solutions centralisées qui apparaîtront avec le dossier électronique du patient, plaide Pascal Fernandez. L’emploi du courrier électronique pose un problème de dispersion de l’information: l’e-mail aurait beau être crypté de bout en bout, il peut toujours être copié ou transféré plus loin une fois qu’il a été déchiffré. Nous dirigeons donc nos efforts vers l’échange de données sur des plateformes sécurisées. Là, on sait qui a accédé à quelle information, quand et dans quel but.» HIN, de son côté fournit déjà un système de contrôle d’accès à des solutions centralisées et entend faire de même pour les futures solutions eHealth (voir aussi cet article).

Alors, sans doute demain, la communication sécurisée des données du patient se fera sur des plateformes centralisées. Mais en attendant, à vous de choisir une solution pour sécuriser votre courrier électronique. Encore une fois, c’est la loi.