Signature électronique dans la santé : consentements et dossier patient

Le secteur de la santé français — établissements publics et privés, cliniques, laboratoires, pharmacies, professionnels libéraux — produit un volume considérable d'actes qui requièrent une signature : consentements éclairés, prescriptions, directives anticipées, contrats de soins, fiches d'hospitalisation. La dématérialisation de ces documents est encadrée par un cadre particulièrement exigeant (HDS, RGPD sensibles, déontologie médicale), mais les gains d'efficacité et de sécurité sont significatifs.

Les données de santé : une catégorie sensible

L'article 9 du RGPD classe les données concernant la santé parmi les catégories particulières, dont le traitement est par principe interdit, sauf exceptions : consentement explicite, nécessité médicale, obligation légale. Un prestataire de signature électronique qui héberge des documents médicaux (consentements, comptes rendus) doit être certifié HDS (Hébergeur de Données de Santé), conformément à l'article L1111-8 du Code de la santé publique. C'est une exigence technique lourde, audit annuel obligatoire.

Le consentement éclairé

Le consentement éclairé (article L1111-4 du Code de la santé publique) est requis avant tout acte médical invasif. Historiquement recueilli sur papier, il se dématérialise progressivement, notamment dans les cliniques privées et les centres de chirurgie ambulatoire. La signature électronique avancée (AES) avec OTP SMS est adaptée : elle fournit un horodatage, une preuve d'identité, et peut être reliée au dossier patient via une API. La traçabilité est supérieure au papier.

La carte CPS et la signature qualifiée

Les professionnels de santé disposent de la Carte de Professionnel de Santé (CPS), délivrée par l'ASIP Santé (désormais Agence du Numérique en Santé — ANS). Cette carte contient un certificat qualifié qui permet à un médecin de signer numériquement avec la force légale maximale. Elle est utilisée notamment pour la prescription électronique (PE), les arrêts de travail dématérialisés, et la transmission de feuilles de soins électroniques (FSE) via le réseau SESAM-Vitale.

Directives anticipées et personne de confiance

Depuis la loi Claeys-Leonetti de 2016, les directives anticipées et la désignation d'une personne de confiance peuvent être formalisées par écrit, y compris électroniquement. Dans les EHPAD et certains établissements, ces documents sont de plus en plus dématérialisés à l'admission du résident : signature électronique du résident (ou de son représentant), horodatage, intégration dans le dossier de soins via l'API de l'éditeur. Cela évite les pertes de documents cruciaux au moment où ils sont le plus nécessaires.

Les contrats administratifs en santé

Au-delà des actes strictement médicaux, les établissements de santé signent des centaines de contrats administratifs : contrats de travail médicaux et paramédicaux, marchés fournisseurs, conventions de recherche clinique, contrats de résidence en EHPAD. Ces documents ne sont pas nécessairement hébergés en HDS s'ils ne contiennent pas de données de santé. Une solution de signature classique (non HDS) suffit alors, à condition qu'elle soit hébergée en UE et conforme RGPD.

Comment Certyneo se positionne

Certyneo n'est pas aujourd'hui un hébergeur HDS et ne prétend pas l'être. Nous couvrons les cas d'usage administratifs du secteur santé (contrats fournisseurs, contrats de travail, conventions) pour lesquels le HDS n'est pas requis. Pour les documents contenant des données de santé identifiantes (consentements éclairés liés au dossier patient), nous orientons les établissements vers des solutions certifiées HDS spécialisées comme Lifen ou MediSign.

Les bonnes pratiques sectorielles

Quelques réflexes pour un établissement de santé qui déploie la signature électronique : séparez clairement les flux médicaux (HDS obligatoire) et administratifs (RGPD standard), désignez un référent dématérialisation dans la DSI, formez les équipes soignantes à l'authentification du patient (un OTP envoyé au mauvais numéro invalide juridiquement le consentement), et conservez les pistes d'audit pendant la durée de prescription médicale — 10 ans après le dernier acte, voire 20 ans pour les actes sur mineurs.