Confidentialité et travail psychanalytique à distance

Le comité de confidentialité de l'IPA a préparé ce bref avis à l'intention des membres de l'IPA qui peuvent être préoccupés par la confidentialité lorsqu'ils entreprennent un travail psychanalytique à distance. Il révise et met à jour une version antérieure publiée en avril 2020... [1]

Début 2020, au début de la pandémie COVID-19, de nombreux psychanalystes ont dû s'adapter rapidement à l'utilisation de la technologie à distance, sans préparation ni avertissement, afin de rester en contact avec leurs patients et d'avoir la possibilité de continuer à offrir soins de santé. Dans le stress, l'incertitude et l'étrangeté de la nouvelle situation, les membres de l'IPA ont dû s'appuyer sur leur résilience interne ainsi que sur le soutien de leurs collègues.

Dans les mois qui ont suivi, de nombreux analystes et patients se sont familiarisés avec le travail à distance et s'y sont adaptés à des degrés divers, mais de nombreuses difficultés persistent et l'environnement de communication est en constante évolution. Les analystes et les patients du monde entier utilisent une variété d'appareils physiques (téléphones, tablettes, ordinateurs, routeurs, etc.), de systèmes d'exploitation (Windows, MacOS, iOS, Android, Chrome, etc.) et de services logiciels (Skype, FaceTime, etc.) WhatsApp, Teams, Zoom, Signal, etc.), souvent avec peu ou pas d'accès au support technique.

La confidentialité est essentielle à la psychanalyse. Le maintien de la confidentialité dépend de la protection de la confidentialité des communications entre le patient et l'analyste, ainsi qu'entre les analystes lorsqu'ils discutent de matériel clinique. Malheureusement, aucune technologie de communication n'est entièrement sécurisée. La probabilité d'une perte de confidentialité peut souvent être faible, mais pratiquement toutes les communications Internet peuvent être interceptées, le matériel peut être volé ou modifié et les conséquences d'une violation peuvent être graves. Le respect des exigences réglementaires telles que HIPAA (aux États-Unis) ou GDPR (en Europe) peut aider, mais cela ne rend pas la technologie totalement sécurisée. L'interception de toute modalité de communication est possible: vidéo, audio, e-mail, messages texte, médias sociaux, etc. La confidentialité peut être violée soit sur Internet lui-même, soit aux `` points finaux '' où l'analyste et le patient (ou l'analyste et l'analyste) sont respectivement situés:

Les risques d'interception sur Internet peuvent être considérablement atténués par le «cryptage de bout en bout» (E2EE). Cela signifie que le contenu de la communication est crypté partout sur Internet, à l'exception des points finaux, où il doit être intelligible. Correctement administré, cela garantit que les communications interceptées sur Internet ne seront intelligibles par aucun tiers. Certains systèmes utilisent E2EE, d'autres non. Il y a eu de fausses déclarations pour l'utiliser (par exemple par Zoom au début de 2020), de sorte que la question de savoir si un fournisseur peut être digne de confiance est une considération importante dans le choix du système à utiliser.

Les points finaux de communication, où le contenu n'est pas chiffré, sont plus difficiles à protéger. La sécurité des points finaux consiste à protéger les appareils utilisés par chaque personne (leurs ordinateurs, tablettes, smartphones, etc.), ainsi que les environnements locaux dans lesquels ils sont utilisés (par exemple, une maison ou un bureau), et de restreindre qui a accès à eux. Dans un environnement d'entreprise tel qu'un hôpital ou une université, où les appareils sont fournis et gérés par un service informatique central, la sécurité des terminaux peut être relativement bien contrôlée. Pour la plupart des analystes et des patients, cependant, ce n'est pas le cas; leur sécurité d'extrémité est ponctuelle et dépend de l'équipement qu'ils peuvent fournir et des dispositions qu'ils peuvent prendre pour se protéger. Par exemple, il est possible d'obtenir facilement un logiciel capable d'enregistrer les frappes effectuées sur un appareil, ou l'audio ou la vidéo capturé par son microphone ou sa caméra. Installé en cachette sur un appareil, un tel «stalkerware» peut enfreindre la sécurité des terminaux.

Conseils généraux pour améliorer la protection de la confidentialité sur Internet

Veillez à ce que cadre physique aux deux extrémités est privé, sans risque que l'analyste ou le patient ne soit entendu ou envahi. Cela peut être plus difficile à organiser pour le patient que pour l'analyste, selon les circonstances.
Si possible, n'utilisez que des systèmes qui fournissent cryptage de bout en bout (E2EE).
Si possible, utilisez logiciels open source, c'est-à-dire des logiciels dont le code est rendu public et donc soumis à l'examen de la communauté mondiale des ingénieurs en logiciel. Les logiciels open source sont moins susceptibles d'inclure des «portes dérobées» qui pourraient permettre une écoute clandestine.
Gardez tous les logiciels à jour. Les fournisseurs de logiciels essaient généralement de «corriger» les nouvelles vulnérabilités dès qu'elles sont découvertes; les pirates exploiteront tout ce qui n'a pas été corrigé.
Activer n'importe quel fonctions de sécurité en option du service de communication que vous utilisez, par exemple: dans la visioconférence, verrouiller les réunions une fois que tout le monde est arrivé; utiliser les salles d'attente pour contrôler les participants; exigeant des codes d'accès pour accéder aux réunions.
Utilisez mots de passe forts, à la fois pour vos appareils et pour toutes les applications ou services que vous utilisez. Vos intuitions sur la force des mots de passe mémorables et non aléatoires peuvent être fausses. N'utilisez jamais un mot de passe simple et évident, aussi pratique soit-il. Pensez à stocker vos mots de passe dans un gestionnaire de mots de passe ou dans votre navigateur. Des conseils supplémentaires sur les mots de passe peuvent être trouvés dans plusieurs des liens mentionnés ci-dessous.
Si possible, utilisez un dispositif dédié à la communication avec des patients et un appareil séparé, qui n'est jamais connecté à Internet ou seulement brièvement si nécessaire, pour l'administration, le stockage des notes, la comptabilité, etc.
Gardez au minimum toutes les informations confidentielles et / ou identifiantes communiquées via Internet. Dans la mesure du possible, utilisez pseudonymes ou codes numériques au lieu de noms réels ou d'autres détails d'identification.
Limitez le risque d'accès non autorisé aux appareils ou logiciels en utilisant authentification à deux facteurs (2FA) dans la mesure du possible. Par exemple, cela implique de demander à un utilisateur de se connecter à la fois sur l'appareil utilisé et sur un appareil séparé tel qu'un téléphone portable.
Lorsque vous travaillez en personne dans le bureau / la salle de consultation, soyez conscient de la possibilité que tout téléphone portable dans la pièce, qu'il appartienne au patient ou à l'analyste, puisse être secrètement utilisé comme appareil de surveillance ou d'enregistrement, à l'insu du propriétaire, et peut-être même après avoir été mis hors tension.
Réfléchissez à vos arrangements de sauvegarde et de restauration et testez-les pour vous assurer qu'ils fonctionnent. Vous pourriez en avoir besoin un jour si votre système est piraté. Les sauvegardes doivent être chiffrées.

Des mesures comme celles-ci réduiront les risques pour la confidentialité, tout comme le lavage des mains, la distanciation sociale et la ventilation réduisent les risques d'infection virale, mais elles ne peuvent pas les réduire à zéro. Si vous ne savez pas comment faire l'un d'entre eux, demandez si possible de l'aide à quelqu'un qui le fait.

Mieux s'informer

En général, la situation est compliquée et en constante évolution. Les suggestions faites ci-dessus reflètent notre meilleure réflexion actuelle, mais elles peuvent devenir obsolètes à tout moment. Pour cette raison, et parce que les conseils d'experts disponibles ne sont pas toujours univoques, plus les membres de l'IPA pourront se renseigner sur la cybersécurité en général, mieux ils seront en mesure de se protéger et de protéger leurs patients. D'autres conseils utiles sont largement et facilement disponibles sur le Web, et une sélection de liens pertinents est jointe.

Approches cliniques alternatives de gestion des risques

Les psychanalystes restent responsables d'assurer la confidentialité clinique, même lorsqu'ils ne comprennent pas suffisamment la technologie. La technologie introduit un paramètre qui peut affecter la confiance du patient que la confidentialité peut être maintenue. Chaque analyste doit porter un jugement clinique sur la manière d'aborder ces questions avec chaque patient. Certains souhaiteront discuter de la situation avec le patient, reconnaissant peut-être à la fois l'impossibilité de garantir la confidentialité et les limites de leur propre compréhension de la technologie. D'autres préféreront l'écoute, l'exploration et l'interprétation ouvertes comme moyens de traiter ces problèmes, comme pour tout autre aspect de la situation analytique. Le traitement psychanalytique en ligne est trop récent, et trop encore en évolution, pour que nous soyons confiants dans l'énoncé de règles générales sur la façon de faire de tels choix dans l'ici et maintenant des traitements en cours.

Des questions ou des commentaires?

Si vous avez des questions ou des commentaires sur ces conseils, veuillez les envoyer par e-mail au Comité de confidentialité de l'IPA: [email protected]

Quelques liens utiles

BSI (Allemagne): Bureau à domicile aBSIchern? Geht Ganz Einfach.
https://www.bsi.bund.de/DE/Themen/Kampagne-einfach-absichern/Home-Office/home-office_node.html

CCCS (Canada): Cybersécurité à la maison et au bureau
https://www.cyber.gc.ca/en/guidance/cyber-security-home-and-office-secure-your-devices-computers-and-networks-itsap00007

Ciberseguridad.com: Guide de cybersécurité dans le secteur sanitaire
https://ciberseguridad.com/guias/sanidad/

CNC (Le Portugal): Ville ciberinformée
https://www.cncs.gov.pt/recursos/cidadao-ciberseguro/

FEP: Surveillance Self Défense
https://ssd.eff.org/

ESET: Comment créer une contravention forte en une minute et protéger votre identité numérique
https://www.welivesecurity.com/la-es/2016/05/06/crear-contrasena-fuerte-un-minuto/

Gouvernement (La France): Conseil aux usagers
https://www.gouvernement.fr/risques/conseils-aux-usagers

API: Rapport du comité de confidentialité IPAe (2018)
https://www.ipa.world/IPA/en/IPA1/Confidentiality_Report_public_.aspx

NCSA (ETATS-UNIS): Restez en sécurité en ligne
https://staysafeonline.org/stay-safe-online/

NCSC (ROYAUME-UNI): Cyber conscient
https://www.ncsc.gov.uk/section/information-for/individuals-families

NSA (ETATS-UNIS): Guide de télétravail et de sécurité mobile
https://www.nsa.gov/What-We-Do/Cybersecurity/Telework-and-Mobile-Security-Guidance/

OSI (Espagne): Empodérate: mantén seguros tus dispositivos y protectete en Internet
https://www.osi.es/es/actualidad/blog/2021/03/08/empoderate-manten-seguros-tus-dispositivos-y-protegete-en-internet

Publié pour la première fois le 27 avril 2020; cette version révisée publiée le 10 mai 2021

1 Disponible ici. Cette version révisée prend en compte les conseils fournis par Ross Anderson FRS, professeur d'ingénierie de sécurité à l'Université de Cambridge. Le rapport complet du professeur Anderson est disponible ici.

Bienvenue dans l'espace membre IPA

Membres

Candidats

API

Psychanalyse

Recherche

Comment aider

Resources

Événements

Conseil des représentants

2023 - 2025

Contacter l'équipe

Comment pouvons-nous vous aider?

Actualité

FORUM AMERIQUE LATINE