Confidentialité et télétravail pendant la pandémie de COVID-19


Le comité de confidentialité de l’API a préparé ce bref avis à l’intention des membres de l’API qui
préoccupé par la confidentialité tout en travaillant à distance

En raison de la pandémie COVID-19, de nombreux psychanalystes ont dû s'adapter rapidement à l'utilisation de la technologie à distance, sans préparation ni avertissement, afin de rester en contact avec leurs patients et de continuer à offrir des soins de santé mentale. Les analystes et les patients utilisent une variété d'appareils physiques (téléphones, tablettes, ordinateurs, routeurs, etc.) et de services logiciels (Skype, FaceTime, WhatsApp, Zoom, etc.), souvent sans accès au support technique. Dans le stress, l'incertitude et l'étrangeté de cette situation, les membres de l'IPA doivent s'appuyer sur leur résilience interne ainsi que sur le soutien de leurs collègues. 

La confidentialité est au cœur de la psychanalyse. Malheureusement, aucune technologie n'est entièrement sécurisée. Le risque d'une violation de la confidentialité peut souvent être faible, mais pratiquement toutes les communications Internet peuvent être interceptées, du matériel peut être volé ou altéré et les conséquences d'une violation peuvent être graves. Répondre aux exigences réglementaires telles que HIPAA (aux États-Unis) ou GDPR (en Europe) peut aider, mais cela ne rend pas la technologie entièrement sécurisée. 

Des mesures simples peuvent être prises pour réduire le risque

Il s'agit notamment de:

utiliser des mots de passe forts et les changer souvent; 
en utilisant un pare-feu; installer un logiciel antivirus et le maintenir à jour; 
activer toutes les fonctions de sécurité optionnelles du service de communication que vous utilisez.

Des mesures comme celles-ci réduiront le risque pour la confidentialité, tout comme le lavage des mains et l'éloignement social réduisent le risque d'infection, mais ils ne peuvent pas le réduire à zéro. Si vous ne savez pas comment faire l'un d'entre eux, demandez de l'aide si possible à quelqu'un qui le fait.

Mieux s'informer
Plus les membres de l'IPA pourront s'informer sur la cybersécurité, mieux ils seront en mesure de se protéger eux-mêmes et leurs patients. D'autres informations utiles sont largement disponibles sur le Web, y compris dans la section 4 du Rapport du comité de confidentialité IPAeet sur le Page Surveillance Self Defense de l'Electronic Frontier Foundation.


Transparence
Les membres peuvent souhaiter discuter de la situation de confidentialité avec leurs patients. Une option pourrait être de reconnaître ouvertement à la fois l'impossibilité de garantir la confidentialité et les limites de leur compréhension de la technologie.

Autres recommandations pour améliorer la sécurité:

Pour les membres qui ont déjà une certaine connaissance de la technologie à distance, les notes supplémentaires suivantes peuvent être utiles:

  • Chiffrement de bout en bout solide de toutes les données (y compris l'audio et la vidéo en direct) est une caractéristique souhaitable de tout logiciel ou service de communication. Cela signifie que les informations sont déguisées («cryptées») en passant sur Internet d'une manière qui rend difficile pour quiconque (par exemple un fournisseur de logiciels, un fournisseur de services, un «pirate» ou une agence gouvernementale) d'avoir accès au contenu intelligible de une communication, même s'ils réussissent à l'intercepter.

 

  • Un logiciel open source est préférable. Cela signifie que le code source du logiciel a été publié et est ouvert à l'examen de la communauté mondiale des professionnels de la cybersécurité. Il est donc moins susceptible de contenir des vulnérabilités cachées, telles qu'une «porte dérobée» intégrée, qu'un logiciel dont le code source est gardé privé pour des raisons commerciales. 

 

  • Une sécurité efficace des terminaux est importante. Cela fait référence à la sécurité des dispositifs physiques utilisés par l'analyste et le patient, et est indépendant de tout logiciel ou service particulier utilisé pour la communication. Dans un environnement d'entreprise tel qu'un hôpital ou une université, où les appareils sont fournis et gérés par un service informatique central, la sécurité des terminaux peut être relativement bien contrôlée. Pour la plupart des analystes et des patients, ce n'est pas le cas, de sorte que leur sécurité au point final est ad hoc et dépend de ce qu'ils sont en mesure de fournir. Les étapes simples décrites ci-dessus, consistant à utiliser des mots de passe, un pare-feu et un antivirus, et à garder le contrôle exclusif des appareils personnels, combleront certaines lacunes.

 

  • La conformité réglementaire (par exemple HIPAA ou GDPR) doivent être traités avec prudence comme des indicateurs de sécurité relative. Par exemple, la règle de sécurité HIPAA protège uniquement l'e-PHI (Electronic Protected Health Information), qui n'inclut pas les communications audio ou vidéo en direct. Une véritable conformité HIPAA peut également imposer des charges administratives et techniques considérables au praticien, bien que celles-ci soient partiellement assouplies pendant l'urgence COVID-19.

    Des questions ou des commentaires?
    Si vous avez des questions ou des commentaires sur ces conseils, veuillez les envoyer par e-mail au Comité de confidentialité de l'IPA: [email protected]

    Première publication le 27 avril 2020