L’usage fréquent de WhatsApp ou Messenger entre soignants expose les données médicales à des transferts hors UE, dans un cadre juridique incertain, malgré la récente décision d’adéquation de 2023.
Dans la santé, la confidentialité n’est pas une simple exigence morale. C’est une obligation légale, éthique et déontologique. Le secret médical, inscrit à l’article L1110-4 du Code de la santé publique (Legifrance, 2024), engage tout professionnel à protéger les données relatives à l’état de santé de ses patients. Ce cadre est renforcé par le RGPD (Règlement général sur la protection des données – UE 2016/679), qui classe les données de santé comme « sensibles », soumises à des règles de traitement strictes, notamment en matière de transfert vers des pays tiers.
Pourtant, ces principes sont souvent contournés, de manière inconsciente. Nombre de professionnels de santé utilisent, pour échanger entre collègues sur des situations médicales ou sociales, des messageries dites « privées » comme WhatsApp, Messenger ou Telegram. Or, ces plateformes sont hébergées et opérées par des entreprises américaines, soumises au droit des États-Unis, et non au RGPD.
Une asymétrie juridique critique
Depuis le Cloud Act (2018), les autorités américaines peuvent contraindre les opérateurs numériques (Meta, Microsoft, Apple, etc.) à leur fournir l’accès à des données, y compris stockées hors du territoire américain. Cela inclut les échanges de messagerie et les fichiers joints, dès lors qu’ils transitent ou sont hébergés via une plateforme relevant d’une juridiction américaine.
Dans sa décision n° 393099 du 21 avril 2021, le Conseil d’État a souligné que les transferts vers les États-Unis ne garantissaient pas un niveau de protection adéquat. La CNIL, dans sa note de 2022 sur les messageries sécurisées, rappelle que l’usage d’outils non spécialisés expose les données à des risques juridiques et techniques importants, notamment en l’absence de clauses contractuelles renforcées ou de chiffrement de bout en bout maîtrisé.
Un cadre juridique en évolution
Le RGPD interdit toute transmission de données personnelles vers un pays non reconnu comme « adéquat » par la Commission européenne, sauf garanties spécifiques. Après l’invalidation du Privacy Shield par la CJUE dans l’affaire Schrems II (C-311/18), une nouvelle décision d’adéquation du 10 juillet 2023 a reconnu le EU–US Data Privacy Framework (DPF) comme offrant un niveau de protection adéquat.
Ce cadre permet de nouveau les transferts vers les États-Unis, mais uniquement vers des entreprises américaines certifiées par le ministère du Commerce américain. C’est le cas de Meta Platforms Inc., maison mère de Facebook, Messenger, Instagram et WhatsApp.
Cependant, cette certification ne couvre pas nécessairement tous les services ou traitements opérés. La CNIL insiste : les professionnels de santé ne doivent pas utiliser de plateformes grand public pour partager des données médicales, même en présence d’une certification DPF, car ces outils ne répondent ni aux exigences de confidentialité, ni aux obligations de traçabilité exigées dans le domaine médical.
Une pratique répandue, mais risquée
L’Ordre des médecins a rappelé à plusieurs reprises que l’échange d’informations médicales entre confrères doit impérativement se faire via des messageries sécurisées agréées et non via WhatsApp ou Messenger, même si ces services sont utilisés dans un cadre professionnel ou restreint. L’article R4127-4 du Code de la santé publique impose le secret professionnel aux médecins, et l’article R4127-13 leur interdit toute communication non prudente, incomplète ou identifiante. L’Ordre national des infirmiers leur impose la même exigence à l’article R4312-5. Enfin, cette obligation de stricte de confidentialité des données de santé s’impose aussi aux pharmaciens (article R4235-5), impliquant des mesures techniques appropriées que seules les messageries sécurisées agréées (MSSanté/Mailiz) permettent.
L’enjeu dépasse la simple sécurité
À l’heure où l’intelligence artificielle s’appuie sur la collecte massive de données, la tentation d’exploiter les métadonnées issues des messageries n’est pas théorique. Dans un contexte de course mondiale à la performance algorithmique, l’accès à des données de santé – même anonymisées – représente un avantage compétitif, scientifique et industriel. Les messageries non sécurisées deviennent ainsi des vecteurs involontaires de fuite de données sensibles.
Protéger la donnée, c’est protéger le soin. La confidentialité n’est pas un frein à la coopération médicale : c’est la condition de la confiance entre patients et soignants. Elle est aussi un rempart contre les dérives, les discriminations, et la captation commerciale ou politique des données de santé. Sensibiliser, former et équiper les professionnels de santé est aujourd’hui une priorité de santé publique.
Equipe A-AMCOS