Article – L’utilisation des réseaux sociaux à l’hôpital, une opportunité de communication à encadrer

Catégorie : Droit hospitalier et coopération sanitaire
Date : 27/10/2021

Floriane PAX, Consultante du pôle Innovation du CNEH, et Marine GEY-COUÉ, Consultante du Centre de droit JuriSanté du CNEH

Article paru dans la revue Gestions hospitalières, n°609 – octobre 2021

Avec le développement des réseaux sociaux, la diffusion d’images et d’informations sur des tiers est d’autant plus rapide, moins réfléchie et plus étendue. L’utilisation de ces réseaux sociaux pour promouvoir l’hôpital et gérer sa communication institutionnelle est désormais incontournable. Pour autant, les hospitaliers peuvent se retrouver face à des situations difficiles à gérer, par exemple la diffusion d’images ou d’informations relatives à leurs collègues, à des patients ou à l’établissement employeur, qui peuvent en outre être négatives, voire diffamatoires. Quels sont les risques à identifier et les précautions à mettre en place pour sécuriser l’utilisation des réseaux sociaux à l’hôpital ?

L’utilisation actuelle des réseaux dans la fonction hospitalière

La crise sanitaire liée à l’épidémie de la Covid-19 a considérablement intensifié la communication des établissements de santé sur les réseaux sociaux avec, par exemple, près de 27 900 tweets publiés sur Twitter par les CHU et CHR entre décembre 2019 et décembre 2020, soit une moyenne de 76 tweets par jour ! Durant cette période, les établissements possédant des pages sur les réseaux sociaux sont parvenus à faire grandir leur communauté d’abonnés de manière significative, et surtout à toucher un public plus large d’usagers à la recherche de contenus fiables et de publications témoignant du quotidien des soignants. La crise a également poussé les établissements et les structures à créer des espaces sur les réseaux sociaux lorsqu’ils n’en possédaient pas afin de communiquer des informations concernant les modalités d’accès ou encore à donner des nouvelles aux familles de résidents en Ehpad. Cette crise a ainsi accéléré l’adhésion de la fonction publique hospitalière aux réseaux sociaux, en les intégrant durablement comme une modalité de communication externe mais aussi interne.

Les établissements de santé avaient cependant investi les réseaux sociaux bien avant la crise sanitaire. En effet, 96 % des CHU/CHRU étaient déjà présents sur les trois plateformes leaders (Facebook, Twitter et LinkedIn) et 54,6 % d’entre eux y communiquaient quotidiennement. Le média social le plus plébiscité par l’hôpital est, comme le révèle l’étude Comfluence de février 2021, Facebook, avec un usage et des publications quotidiennes pour 64 % des CHU, contre 61 % pour Twitter et 45 % pour LinkedIn. À ces trois principales plateformes s’ajoutent les réseaux sociaux WhatsApp, Instagram, YouTube, Snapchat et TikTok. Ces derniers sont bien moins utilisés comme canal de communication institutionnelle mais pas pour autant délaissés par les professionnels de santé et les usagers, qui constituent des communautés de micro-influenceurs.

En 2021, 60 % de la population est considérée comme numérique native [1]; les patients sont ainsi de plus en plus connectés et s’attendent à ce que le digital fasse partie de leur « expérience patient ». Ces patients connectés ont aussi plus facilement accès à l’information médicale, ce qui leur permet de s’investir davantage. Ils gagnent en autonomie, s’attribuent des responsabilités dans la bonne conduite de leurs parcours, et deviennent ainsi des consommateurs des services de santé. Ce changement de paradigme les pousse à se tourner vers les réseaux sociaux pour s’informer, prendre connaissance de l’e-réputation des établissements, comparer les offres de santé et partager leur expérience patient, qu’elle soit positive ou négative. Face à cette transformation, les réseaux sociaux des établissements ne représentent plus seulement une modalité pour partager de l’information mais aussi un véritable levier d’attractivité et de recrutement des patients.

Les établissements mettent ainsi à profit la puissance et la viralité des réseaux sociaux en redoublant de créativité pour partager des projets innovants, soutenir les soignants, diffuser des messages de prévention, promouvoir des évènements, poster des offres d’emploi, contrecarrer les fake news ou encore en donnant à voir le quotidien des métiers de l’hôpital pour faire naître des vocations.

Outre la communication externe, les réseaux sociaux sont également un outil de communication interne performant de par son instantanéité. Les agents hospitaliers sont de plus en plus nombreux à s’investir et à participer aux débats sur les réseaux sociaux en relatant leur quotidien, en valorisant le travail de leur équipe ou encore en partageant leurs cas cliniques anonymisés pour favoriser le partage de compétences. Ils deviennent de véritables influenceurs sur lesquels les établissements s’appuient pour fédérer une communauté. L’émergence et le développement de WhatsApp, l’application de messagerie instantanée, permettent à de nombreux professionnels, de même métier ou non, de se regrouper pour échanger rapidement. Ces groupes permettent notamment à des équipes hospitalières de s’organiser en adoptant un mode de communication plus fluide et moins formel que les emails. Ils peuvent aussi contribuer aux partages d’expérience entre pairs, comme l’a fait la Société française d’anesthésie réanimation au début de la crise en créant un groupe de cette sorte.

Les réseaux sociaux sont à présent ancrés dans l’écosystème hospitalier et continuent de se développer. Cependant, la facilité d’accès et la vitesse de diffusion sur ces médias entraînent parfois leurs utilisateurs à publier sans toujours mesurer l’impact possible des contenus sur l’institution et les usagers.

Les risques liés à l’utilisation des réseaux sociaux dans la FPH

Le risque cyber

La cybermalveillance est une menace majeure et constante pour les établissements de santé qui sont devenus des cibles privilégiées. Les attaques informatiques peuvent avoir d’importantes conséquences sur l’intégrité, la disponibilité et la confidentialité des données des usagers, avec le risque de mettre en danger le parcours de soins du patient. Les établissements font face à deux importantes menaces : d’une part le vol des données de santé appartenant aux patients, d’autre part la survenue d’actes de cybermalveillance pouvant impacter les systèmes d’information.

Dans ce contexte, les réseaux sociaux représentent une source importante d’informations et de renseignements pour les pirates informatiques. En effet, les réseaux sociaux restent des espaces accessibles même lorsqu’ils sont privés. Les informations divulguées sur ces plateformes vont intervenir lors de la phase de reconnaissance des pirates qui vont passer au crible l’ensemble des publications en lien avec l’établissement. Cet examen minutieux leur permet de recueillir une quantité d’informations insoupçonnables : noms et prénoms des professionnels, professions, entité d’appartenance, interactions entre les personnes de l’institution, liens sociaux, logiciels utilisés par l’établissement, marque des dispositifs médicaux numériques, QR codes ou même, de façon encore plus évidente, des identifiants de connexion apparaissant par inadvertance sur des photos. Ces informations leur servent ensuite à construire une stratégie d’attaque et, dans certains cas, à avoir recours à l’ingénierie sociale. L’ingénierie sociale, ou piratage psychologique, désigne une pratique visant à exploiter les failles psychologiques d’un individu pour lui soutirer des informations de manière frauduleuse. Ce serait par exemple le cas d’un pirate qui identifierait les interactions organisationnelles et sociales entre deux individus de l’institution hospitalière et qui se ferait passer pour l’un d’entre eux afin de demander des accès informatiques à l’autre. Lorsque le piège se referme et que le pirate obtient les informations recherchées, une brèche s’ouvre et c’est tout ou partie du système informatique qui est en danger.

La communication des établissements et des professionnels de santé sur les réseaux sociaux doit ainsi se faire avec la plus grande des précautions, en s’assurant avant toute publication que les informations communiquées ne peuvent pas mettre en péril l’intégrité des systèmes d’information.

De même, une vigilance accrue doit être observée par les auteurs afin que leurs publications respectent bien les droits et devoirs des agents qui travaillent au sein des établissements, tout comme les droits de tous les usagers, qu’ils soient pris en charge dans les services ou simples visiteurs.

L’équilibre délicat entre liberté d’opinion des agents et obligations de service public

Si la liberté d’opinion est garantie aux fonctionnaires par l’article 6 de la loi du 13 juillet 1983, elle est néanmoins restreinte par les obligations auxquelles le fonctionnaire est tenu dans sa communication, notamment celles liées à la notion de confidentialité. Le respect du secret professionnel, l’obligation de réserve, l’obligation de discrétion professionnelle [2] ou encore le respect de la vie privée imposent aux fonctionnaires de rester vigilants sur les informations qu’ils peuvent être amenés à partager. Le droit au respect de la vie privée englobe plusieurs dimensions qui touchent aussi bien les agents que les collègues, l’établissement en tant que personne morale, les patients, résidents et autres usagers de l’établissement. Ce principe, rappelé par l’article 9 du code civil [3], peut comprendre le droit au respect de l’intimité physique, de l’intimité « sociale », tout comme le respect du droit à l’image ou de la situation personnelle. La publication d’informations d’ordre personnel ou d’images relatives aux modes de vie, aux opinions, à l’hospitalisation, au handicap ou à l’exercice professionnel constitue ainsi une atteinte au respect de la vie privée si cette publication a été réalisée sans l’accord de la personne concernée [4].

S’agissant plus spécifiquement des patients, le code de la santé publique (CSP) réaffirme et renforce le droit au respect de leur vie privée et du secret des informations les concernant [5] tout en reconnaissant le droit au respect de leur dignité [6]. Les réseaux sociaux ne constituent en réalité qu’un vecteur « nouveau » (et complexe) de mise en oeuvre des droits et obligations des fonctionnaires et de respect des droits des usagers. Les textes relatifs à la fonction publique en général et à la fonction publique hospitalière en particulier n’encadrent effectivement pas l’utilisation des réseaux sociaux par les agents ou l’administration, renvoyant de facto aux juges la responsabilité d’en délimiter les applications.

Les manquements constatés sur les réseaux sociaux

Plusieurs cas de figure de manquements peuvent être envisagés avec l’utilisation des réseaux sociaux :

  • l’agent coupable d’une atteinte à la vie privée ou du non-respect de ses obligations (réserve, discrétion, secret professionnel…) ;
  • l’agent victime d’une atteinte au respect de sa vie privée par un de ses collègues, un usager ou l’administration ;
  • l’usager victime d’une atteinte au respect de sa vie privée par un agent ou l’administration.

Ces manquements peuvent provenir d’une diffusion sur les réseaux sociaux d’images, de photos, de vidéos ou d’informations à caractère dénigrant, péjoratif, négatif, mais également d’éléments strictement factuels, sans aucun jugement de valeur, car diffusés sans le consentement des personnes qui y sont identifiables. Ainsi, les juges ont déjà sanctionné la diffusion par l’administration d’une photo d’un agent sans son consentement, y compris dans l’exercice de ses fonctions [7]. De même, ils ont pu confirmer le bien-fondé d’une sanction disciplinaire contre un agent de service éducatif qui a diffusé, via son compte personnel Facebook accessible à des tiers, des vidéos contenant des images de résidents et de membres du personnel, filmées pendant son temps de travail et qu’il n’était pas autorisé à partager au-delà de l’enceinte du foyer, qualifiant ces faits d’atteinte aux droits des résidents et des membres du personnel [8]. Obtenir l’accord des personnes est donc primordial avant toute publication sur un réseau social d’informations ou d’images les concernant.

Certains cas d’atteinte à la vie privée peuvent aussi s’accompagner de non- respect des obligations professionnelles : violation du secret professionnel, manquement à l’obligation de réserve ou à l’obligation de discrétion professionnelle sont régulièrement sanctionnés, l’appréciation des faits permettant cette qualification étant de plus en plus élargie par les juges. Ainsi, la cour d’appel de Douai a récemment justifié la sanction disciplinaire d’un agent « ayant publié sur un réseau social des messages relatifs au fonctionnement de l’établissement et dénigrant l’infirmière coordinatrice » par des remarques injurieuses à son égard [9]. La cour d’appel de Marseille avait quant à elle confirmé le manquement à l’obligation de réserve de l’agent qui remettait en cause sur un réseau social les compétences en termes de management au sein de l’Assistance publique-Hôpitaux de Marseille (AP-HM), quand bien même la publication ne visait pas expressément ses responsables hiérarchiques. Les juges avaient retenu le caractère professionnel du réseau social, l’identification de l’agent sur ce réseau en tant que membre de l’AP-HM et le fait que « la proximité dans le temps de cette publication avec les propos tenus en réunion hebdomadaire ne pouvait être interprétée par ses collègues et sa hiérarchie que comme une nouvelle mise en cause [10] ». Le manquement n’a donc plus nécessairement besoin d’être exprès et le faisceau d’indices peut s’avérer suffisant pour entraîner une sanction.

Par ailleurs, certaines publications sur des réseaux sociaux peuvent constituer une diffamation, une injure ou une fausse information, au sens de la loi du 29 juillet 1881 sur la liberté de la presse. La diffamation correspond à toute allégation ou accusation d’un fait non avéré qui porte atteinte à l’honneur ou à la considération de la personne. L’injure est une invective, une expression vulgaire ou méprisante, non précédée d’une provocation et qui n’accuse d’aucun fait précis. La publication directe, la diffusion ou la reproduction, par quelque moyen que ce soit, de fausses informations, de diffamation ou d’injure sont punissables par la loi précitée.

Enfin, les atteintes répétées au droit du respect de la vie d’autrui, tout comme les propos diffamatoires ou injurieux constatés à plusieurs reprises sur des réseaux sociaux, peuvent conduire à des situations de harcèlement moral. C’est la raison pour laquelle les juges examineront la teneur et le nombre des messages déposés sur les réseaux lorsqu’ils sont saisis d’une plainte. Ce fut le cas de la cour d’appel de Douai en 2015 qui a réalisé cet examen pour caractériser ou non les faits d’agissements répétés de harcèlement moral qu’elle rejettera dans le cas d’espèce [11].

Dans un autre registre, l’utilisation des réseaux sociaux à des fins de communication externe par l’établissement pourrait conduire à transgresser l’interdiction de la publicité pour les activités médicales. Bien que ce ne soit pas le risque le plus réalisable, il convient de rappeler que l’article R. 4127-19 du CSP interdit à la médecine d’être pratiquée comme un commerce et, par extension, interdit tout procédé direct ou indirect de publicité.

Quelles actions juridiques possibles face à ces manquements ?

La personne s’estimant victime d’une atteinte à ses droits par la diffusion d’images ou d’informations la concernant sur un réseau social dispose de plusieurs leviers d’actions juridiques pour régler son différend. La première voie, non contentieuse, visera à demander auprès de l’auteur le retrait de l’image ou de l’information à l’origine du différend. Le Règlement général de protection des données (RGPD) offre effectivement une protection particulière liée à l’utilisation d’Internet. Corollaire du droit d’accès, du droit d’opposition et du droit à la limitation du traitement des données, un droit à l’oubli est prévu dans certains cas de figure par l’article 17 du RGPD : « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais. » C’est notamment le cas lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite » (par exemple lorsque la personne concernée n’a pas donné son consentement).

Si l’auteur de la publication refuse de retirer les éléments, la victime peut également saisir les juges pour obtenir le retrait de ces informations ou images. Conformément à l’article 9 du code civil, les juges peuvent effectivement « prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée ». Notons à ce titre que ces mesures peuvent, s’il y a urgence, être ordonnées en référé. Elles peuvent aussi s’accompagner d’une demande de réparation du dommage subi afin d’obtenir des indemnités compensatrices en cas de préjudice moral (mise en cause de la victime, dénigrement, accusation…).

En outre, dans l’hypothèse où l’auteur de la publication sur le réseau social est un agent de la fonction publique et manque à l’une de ses obligations professionnelles ou commet une infraction de droit commun à travers les propos qu’il tient ou les images qu’il diffuse, son établissement employeur peut prendre une sanction disciplinaire à son égard dans le respect de la procédure statutaire de la loi du 13 juillet 1983 [12].

À ce titre, les juges restent vigilants sur la légitimité de la sanction et sa proportionnalité avec la faute commise. La cour d’appel de Nancy a ainsi estimé dans son arrêt du 3 mars 2020 que les propos tenus sur un réseau social par un salarié devaient revêtir un caractère public pour constituer un manquement à l’obligation de réserve et justifier par conséquent une sanction disciplinaire. Les juges sont même allés affirmer qu’il appartenait à l’employeur d’établir ce caractère public [13].

Enfin, selon la nature des informations ou images publiées sur les réseaux sociaux, la victime peut déposer plainte et l’auteur des publications peut alors être poursuivi pénalement. Le code pénal sanctionne les atteintes à l’intimité de la vie privée d’autrui, quel que soit le moyen utilisé. Ainsi, le fait de fixer, enregistrer ou transmettre des paroles prononcées à titre privé ou confidentiel, ou l’image prise dans un lieu privé ou la localisation d’une personne sans son consentement est passible d’un an d’emprisonnement et de 45 000 euros d’amende [14].

Le code pénal sanctionne aussi la violation du secret professionnel qui est passible d’un an d’emprisonnement et de 15 000 euros d’amende [15].

La diffamation et l’injure sont quant à elles passibles d’une amende de 12 000 euros lorsqu’elles visent un particulier. Cette amende peut s’élever à 45 000 euros lorsque les propos visent une administration publique ou un fonctionnaire public à raison de sa fonction ou de sa qualité, ou bien encore s’ils visent une personne ou un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée, ou à raison de leur sexe, de leur orientation sexuelle ou identité de genre ou de leur handicap. Dans ces cas de discrimination, la diffamation et l’injure sont également punies d’un an d’emprisonnement. Notons que si l’injure discriminatoire est commise par un agent public dans l’exercice ou à l’occasion de l’exercice de ses fonctions, cela constitue une circonstance aggravante, portant les peines à trois ans d’emprisonnement et à 75 000 euros d’amende [16].

L’ensemble de ces risques liés à l’utilisation des réseaux sociaux et leurs conséquences juridiques imposent la plus grande vigilance aux professionnels et aux établissements de santé. Ces derniers, pour se préserver, peuvent appliquer un certain nombre de précautions d’usage relatives à l’utilisation des réseaux sociaux par leurs équipes.

Précautions d’usage et bonnes pratiques

Il peut être opportun de rédiger un guide de bonnes pratiques pour accompagner ses agents dans l’utilisation des réseaux sociaux et les prévenir des risques qui y sont associés, à l’instar de ce qu’a fait le CHU de Limoges [17]. À destination des professionnels de l’établissement, comme des usagers et de l’ensemble des partenaires du CHU, ce guide rappelle l’importance de respecter les droits des usagers et ceux de ses collègues, de séparer la vie privée des fonctions professionnelles et d’utiliser avec prudence les réseaux sociaux (non-identification de son établissement, paramètres de confidentialité renforcés, absence de géolocalisation…). Par exemple, prendre une photo personnelle avec un smartphone dans les services et la publier sur un réseau social peut conduire à diffuser des informations non consenties, y compris à cause des « arrière-plans qui peuvent donner des éléments de reconnaissance du lieu, d’autres personnes, de collègues, de patients ou de familles ».

Des process internes peuvent aussi être mis en place afin d’indiquer la conduite à tenir en cas de difficultés rencontrées par un agent face à l’utilisation des réseaux sociaux, par exemple en cas de propos diffamatoires, d’injures ou de menaces dont il ferait l’objet. De même, les pratiques de diffusion des données, y compris dans un contexte professionnel, tels que les échanges d’images médicales entre médecins, peuvent être évaluées, revues et sécurisées.

La diffusion de ces process à l’ensemble des équipes est d’une importance capitale. Elle peut être assurée par un guide de bonnes pratiques [18], une adaptation du livret d’accueil des nouveaux agents, mais aussi une adaptation du livret d’accueil de l’usager pour que ce dernier dispose du même niveau d’information que les professionnels. De façon plus formelle, le règlement intérieur de l’établissement peut également constituer le support juridique permettant d’encadrer l’utilisation des réseaux sociaux par les agents et les salariés, tout comme des clauses spécifiques pourraient être prévues au sein des contrats de travail si l’employeur souhaite inscrire avec force et durablement sa politique de gestion de la communication et de diffusion d’informations.

Au-delà des outils juridiques, la formation des agents sur leurs droits et obligations professionnelles, sur le respect des droits des usagers ou encore sur la bonne utilisation des réseaux sociaux peut s’avérer bénéfique pour l’ensemble de l’institution. La mobilisation plus globale des méthodes de démarche qualité peut aussi être tout à fait opportune. On le voit, il y a encore beaucoup à faire. De quoi générer quelques partages et tweets sur nos réseaux sociaux…


[1] Personne née après 1974, qui a grandi dans un monde numérique, qui est familière avec les ordinateurs, les jeux vidéo et Internet, et qui passe une grande partie de sa vie en ligne.

[2] Article 26 de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires : « Les fonctionnaires sont tenus au secret professionnel dans le cadre des règles instituées dans le code pénal. / Les fonctionnaires doivent faire preuve de discrétion professionnelle pour tous les faits, informations ou documents dont ils ont connaissance dans l’exercice ou à l’occasion de l’exercice de leurs fonctions. »

[3] Conformément à l’article 9 du code civil, « chacun a droit au respect de sa vie privée ».

[4] Cass. crim. 20 octobre 1998 n°97-84621 : « La fixation de l’image d’une personne, vivante ou morte, sans autorisation préalable des personnes ayant pouvoir de l’accorder est prohibée. »

[5] Art. L.1110-4 du CSP.

[6] Art. L.1110-2 du CSP: « La personne malade a droit au respect de sa dignité. »

[7] « Rien ne justifie que le visage du fonctionnaire de l’administration des impôts procédant à un contrôle fiscal soit diffusé et soumis à la curiosité du public, sans son consentement, hors les cas où il viendrait illustrer avec pertinence soit un événement d’actualité, soit un débat d’intérêt général ». Cass. 1re civ., 15 janvier 2015, n° 13-25.634, JurisData n° 2015-000216.

[8] Cour d’appel, Lyon, chambre sociale B, 12 février 2016, n° 14/09741.

[9] CAA Douai, 2e chambre, 21/09/2021, 20DA01990. Inédit au recueil Lebon.

[10] CAA de Marseille, 8e chambre – formation à 3, 02/04/2019, 18MA03897. Inédit au recueil Lebon.

[11] CAA de Douai, 3e chambre – formation à 3 (bis), 21/05/2015, 14DA00414. Inédit au recueil Lebon.

[12] Art. 19, 29 et 30 de la loi n 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires.

[13] « Toutefois, s’agissant de la publication sur le compte Facebook du salarié, ni l’employeur, ni l’administration n’apportent d’éléments de nature à établir que cette publication n’aurait pas été accessible seulement à un nombre restreint de personnes. Le caractère public des propos tenus sur ce réseau social, contesté par le salarié, n’est ainsi pas établi. Ces faits ne pouvaient, par suite, pas servir de fondement à des poursuites disciplinaires. » CAA de Nancy, 3e chambre, 03/03/2020, 18NC00679. Inédit au recueil Lebon.

[14] Art. 226-1 du code pénal.

[15] Art. 226-13 du code pénal : « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende. »

[16] Art. 30, 31, 32 et 33 de la loi du 29 juillet 1881 sur la liberté de la presse.

[17] http://www.chu-limoges.fr/IMG/pdf/bonnes_pratiques_des_reseaux_sociaux_print_carrier_page_a_page.pdf

[18] Ministère des Armées, « Que faire en cas d’injures ou de menaces ? », Guide du bon usage des réseaux sociaux, p.17.