Il se trouve que j’ai eu à faire récemment, à titre personnel, à deux médecins spécialistes à quelques jours de distance.

Je n’ai pas manqué, au cours des consultations, d’observer leurs pratiques respectives de la gestion de l’information (déformation professionnelle). Et j’ai été frappée par la différence de style; je dirais même qu’il s’agit de deux extrêmes.

Le premier rendez-vous a été pris sur Doctolib (c’est quasiment devenu la norme en 2020). Après deux minutes passées dans la salle d’attente, partagée par les six praticiens du cabinet médical, je suis très cordialement accueillie par le médecin. L’objectif de la consultation est un de ces examens technologiques qui permettent de voir ce qui se passe à l’intérieur du corps. Le praticien est concentré sur sa machine, tout en conversant aimablement avec moi pour m’expliquer ce qu’il fait et se réjouir avec moi des bonnes nouvelles qu’il lit sur l’écran. L’examen terminé, le médecin me demande mon adresse mail pour m’envoyer les résultats dans les jours suivants. Au revoir, docteur.

Trois jours plus tard, je reçois dans ma boîte de messagerie les résultats d’examen et je réalise alors que l’adresse de messagerie du praticien est une adresse @gmail.com. Je fais la moue devant ce qui me semble une légèreté professionnelle de mauvais aloi. Pour ma part, il y a longtemps que j’ai fait ce geste responsable (je dirais même civique) de me payer mon nom de domaine personnel (@marieannechabin.fr) pour quelques dizaines d’euros par an (genre 99 F…). Que la moitié de mes contacts personnels soient sur Gmail, passe encore (je fais attention à ce que je leur écris), mais pour un professionnel de santé, c’est vraiment limite. Cela me rappelle le témoignage d’un responsable informatique d’un grand groupe français, quelques années auparavant : l’entreprise avait sollicité un avocat spécialisé dans le numérique afin d’étudier les implications juridiques de stockage de données clients dans un pays étranger, non européen. La proposition commerciale de l’avocat était arrivée via une messagerie @gmail.com; le responsable informatique de l’entreprise était sidéré. Inutile de dire que ce devis n’a pas eu de suite et que l’avocat en question a perdu définitivement un client potentiel.

Je décide donc de faire remarquer à ce médecin, en évoquant – comme pour m’en excuser, ce qui est superflu du reste – mon activité de consultant et d’universitaire, que « l’échange de données à caractère personnel par une messagerie @gmail.com n’est pas l’idéal, ni pour la conformité au RGPD (Règlement général pour la protection des données personnelles) ni pour le confort moral des patients (où sont stockées mes données ?) ».

Pas plus de trois minutes plus tard, mon téléphone vibre. C’est la secrétaire du spécialiste qui s’écrie tout de go: « Ah, enfin, un humain va me parler en langage humain ». Et de m’expliquer que le cabinet est harcelé par des entreprises qui lui expliquent qu’il n’est pas dans les règles RGPD, mais que, pour 200 € ou 1000 €, ils peuvent arranger ça. De l’arnaque, évidemment. « On reçoit aussi des documents CNIL, poursuit la secrétaire que j’écoute attentivement ; ça, c’est costaud et j’ai bien compris qu’il fallait s’en préoccuper mais concrètement que faut-il faire, on ne voit pas le lien entre les parutions RGPD et le quotidien… ».

J’ai donc donné à mon tour donné une petite consultation, gratuite (je n’imagine pas, si elle avait été payante, qu’elle eût été remboursée par la CNIL…).

Le second spécialiste a choisi de ne pas utiliser les services de Doctolib. J’ai donc pris rendez-vous par téléphone, très facilement du reste.

Dès l’ouverture de la porte d’entrée par une jeune secrétaire, je ressens (au travers de mon masque…) une atmosphère radicalement différente.

Après un transit rapide dans une salle d’attente-salon d’appartement à l’ancienne, le médecin vient me chercher. Il s’installe à son bureau; je suis assise en face de lui. Il m’observe plus qu’il ne m’examine. Il m’interroge sur ma pathologie, sur mes habitudes de vie, fait des digressions où transparait une culture générale et un goût des choses de la vie qui sont extérieures au motif de ma visite et qui pourtant m’en paraissent indissociables…

Le docteur (qui pourrait être le père du premier spécialiste ci-dessus) a pris une fiche bristol de format A5 et il y porte manuscritement et méthodiquement les informations que je lui donne, en toutes lettres pour mon identité, de manière codée pour ce qui relève de sa discipline. Il y ajoute sa prescription à l’issue de la consultation. Il me rappelle un peu le médecin de famille de mon enfance, un homme dont le visage, la voix, le discours, les manières, dénotaient une connaissance intime des souffrances de l’humanité qui se muait chez lui en bonté et, justement, en une grande humanité.

Il n’y a pas d’ordinateur dans le bureau du médecin, ni même au secrétariat, comme je le constate en sortant mais j’y remarque les « boîtes à chaussures » remplies et même débordantes de fiches patients. Tout semble simple, et fonctionner efficacement. À une réflexion un peu bourrue que fait le médecin à son assistante (stagiaire), je perçois qu’il est très soucieux de l’ordre et du classement. En regardant ce fichier papier, je songe cependant qu’il n’y a pas sauvegarde des données médicales dans ce cabinet (je poserai tout de même la question lors d’une prochaine consultation).

Quelques jours plus tard, j’ai eu l’occasion de raconter cette anecdote à un jeune d’homme d’à peine trente ans qui m’a répondu : je n’ai jamais vu un médecin comme ça, avec plus de curiosité et d’envie que de méfiance ou de moquerie (le ton de mon récit était sans doute pour quelque chose dans sa perception du personnage).

Morale de l’histoire: pour les petites structures, avant de produire un « registre des traitements » plus long que celui du voisin et qui finira dans un tiroir (ou un e-tiroir), il y a certaines actions de bon sens à mener, et même à mener d’urgence, car je gage que le comportement de ce cabinet est loin d’être un cas particulier.

Morale bis: en pensant à la cybercriminalité, présentée sur les réseaux sociaux comme la plus grande menace du moment, je n’ai pas trop d’inquiétude concernant le piratage éventuel de ma « fiche » patient chez le second spécialiste. Une question de gestion des risques, entre risque de divulgation et risque de perte. Un beau sujet de débat, non?

4 commentaires

  1. Bonjour Marie-Anne, au sujet du RGPD, j’ai constaté une chose étonnante : si on veut accéder à sa retraite additionnelle RAFP et Ircantec, il faut créer un compte France connect, site qui exige…. un numéro de portable !!! Or, le principe du RGPD est de minimiser les données demandées (j’ai suivi le Mooc sur le site de la Cnil). J’hésite à donner mon numéro de portable France connect…. Bon été tout de même

    • Bonjour Isabelle, et merci pour ce témoignage. Oui, je trouve aussi que la collecte de données par les acteurs publics est souvent excessive. Dans un autre ordre d’idée, le fait que toutes les administrations, à commencer par la DGFiP, aient des comptes Facebook et Twitter qui sont un peu trop mis en avant, m’irrite aussi.

  2. Et surtout parlons dans les deux cas de la pérennité.
    Qu’adviendra-t-il de votre fiche lorsque le deuxième médecin partira à la retraite ? Son successeur ? L’ordre des Médecins ? Vous a-t-il communiqué son bilan après la consultation ?
    Le premier finalement, en vous envoyant les résultats d’examens, vous a -t-il aussi confié la responsabilité de les garder ? mais a-t-il conscience que lui aussi, il doit garder tout 10 ans après la consolidation du dommage ou le dernier passage, selon le contexte (cas du cabinet libéral) ?

    • Oui, toutes ces questions se posent. S’il y a des choses à améliorer, il faut cependant reconnaître qu’un médecin qui reprend un cabinet fait peu de cas en général des fiches de son prédécesseur et constitue les siennes; que les examens sont facilement périmés et qu’on en refait d’autres (parfois l’historique aiderait…); que les conséquences, sous réserve de vérification, ne sont pas si tragiques. Du gâchis et du désordre surtout. Et le risque de cybercriminalité et d’exploitation à grande échelle des données personnelles. C’est surtout ce dernier point qui me préoccupe.

Commentaires fermés