Depuis déjà plusieurs années se met en place le dossier médical personnel ou DMP, c’est à dire la mémoire numérique du patient qui doit permettre aux médecins d’avoir une vue « historique » instantanée du parcours médical de chaque personne, bien portante ou malade.

Ce « carnet de santé » est attaché à chaque individu enregistré à l’Assurance Maladie, celui-ci pouvant avoir accès à ses données de santé grâce à son « identifiant national de santé » (sa carte vitale, dans un premier temps). Les informations regroupées dans ce dossier numérique – ordonnances, examens médicaux, images, etc. – sont partagées entre le médecin référent, les spécialistes, les laboratoires, l’hôpital – selon des droits d’accès hiérarchisés. Il faut donc à la fois que le DMP préserve impérativement le « secret médical » et qu’il demeure sous le contrôle du patient. Ce dernier peut accéder directement à son DMP via internet depuis son ordinateur, désigner nominativement les professionnels de santé habilités à le lire ou à y inscrire des informations (le « cercle de confiance »), enfin il peut, avec les conseils d’un professionnel de santé, décider de masquer ou de supprimer des données, s’il estime opportun de le faire.

Au-delà de la restitution du cursus médical des patients qui participent à l’amélioration des soins par une meilleure coordination et diffusion des informations afin d’éviter erreurs et oublis, la vocation de cet outil est aussi de diminuer les surcoûts engendrés par la multiplication des examens et autres prestations onéreuses. On l’aura compris, l’un des points essentiels qui préside à ce programme, c’est évidemment la confidentialité des données. L’affaire n’est pas simple car le DMP se développe au niveau des régions françaises, sous l’égide d’une agence nationale, l’ASIP-Santé (agence des systèmes d’informations partagés de santé) qui assure la coordination de la politique de e-santé du pays. C’est aussi l’ASIP-Santé qui coordonne l’agrément des hébergeurs habilités à conserver les données de santé contenues dans les DMP ainsi que les autres informations produites dans le cadre du développement des services de e-santé dans le pays.

Un agrément pour les hébergeurs

Cette obligation d’agrément s’appuie sur le code de la santé publique qui prescrit que :

1/ les professionnels de santé, les établissements de santé ou la personne concernée (le patient) peuvent déposer de telles données chez un hébergeur agréé.

2/ Les données concernées sont celles recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins.

3/ L’hébergement exige le consentement exprès de la personne concernée et les traitements nécessaires à l’hébergement sont réalisés dans le respect des dispositions de la loi Informatique et Libertés.

4/ Les hébergeurs et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreintes au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.

La procédure d’agrément a été définie par un décret qui donne les conditions à remplir ainsi que les engagements contractuels en matière de capacité financière à assurer la prestation d’hébergeur, de niveau de sécurité et des conditions du respect des principes de la protection des données personnelles. Le dossier est instruit par un comité d’agrément des hébergeurs (CAH), élu pour cinq ans et composé de représentants de professionnels de santé, d’usagers de santé et de l’IGAS (inspection générale des affaires sociales), ainsi que d’un collège d’experts en sécurité des données de santé, droit et questions éthiques. Le dossier est géré administrativement par l’ASIP-Santé qui garantit la confidentialité des informations fournies par les candidats tout au long de l’instruction. Il reçoit également l’aval de la Commission nationale de l’informatique et des libertés (CNIL) qui analyse la demande du candidat et apprécie surtout les garanties proposées par celui-ci en matière de protection des données de santé à caractère personnel et de sécurité de ces informations. Les décisions d’agrément sont officialisées par le ministre chargé de la Santé.

De hauts critères de sécurité

Comme on le voit, la sécurité des données de santé et leur protection contre la curiosité de tiers mal intentionnés est au cœur de la mise en œuvre du Dossier Médical Personnel et, au-delà, de toute la politique de e-santé qui s’élabore non seulement en France mais dans tous les pays avancés du monde, notamment ceux de la communauté européenne. L’Union européenne a en effet lancé le projet epSOS qui vise à définir les référentiels d’interopérabilité entre bases des données individuelles de santé gérées par les différents organismes européens (l’ASiP-Santé en France). Ce travail porte principalement sur deux services : le Patient Summary (une vue synthétique des informations de santé du patient) et la ePrescription, une forme d’ordonnance numérique compréhensible par tous les praticiens et pharmaciens.

Ces échanges d’informations à l’échelle de la France, de l’Europe et du Monde (nombre de pays mettent en œuvre l’équivalent du DMP) qui seront nécessaires dans le futur pour bien soigner les patients hors de leur pays de résidence, imposent des critères rigoureux aux candidats hébergeurs nationaux de donnés de santé. L’un des plus significatifs est l’obligation de résidence des centres de données dans le périmètre de l’union européenne ce qui met fin aux craintes d’investigation de la part d’autorités étrangères sous couvert de lois locales (exemple : le Patriot Act aux USA).

Un autre impératif, est la présence obligatoire d’un médecin dans l’équipe opérationnelle des hébergeurs comme garant de l’application rigoureuse du secret médical. Le volet éthique et juridique est l’un des trois domaines étudiés lors de la pré-instruction opérée par l’ASIP-Santé, les deux autres étant focalisés d’une part sur les aspects technique et sécuritaire, et d’autre part, sur l’assise économique et financière de l’entreprise qui doit donner des assurances sur sa pérennité et celle des données qui lui sont confiées. L’ensemble du processus d’agrément peut prendre jusqu’à 8 mois si le comité d’agrément (CAH) et la CNIL sont amenés à demander des précisions au candidat. Mais en général les dossiers bien construits sont traités en moins de 5 mois et le nom des hébergeurs agréés est finalement publié au bulletin officiel (BO) du ministre de la Santé et sur le site de l’ASIP Santé.

Des exigences fondamentales et fonctionnelles

Pour les responsable informatiques de l’ASIP-Santé, la sécurité est consubstantielle du projet DMP et de tout l’environnement « e-santé » qui l’accompagne. En effet, la confiance que l’on accorde à un système numérique dépend de l’idée que l’on se fait de « sa sécurité » qui devient, de ce fait, un facteur d’adhésion primordial. Pour les pouvoirs publics il s’agit donc d’apporter aux patients des garanties indispensables pour l’hébergement de leurs données de santé personnelles ; pour les promoteurs de systèmes d’information de santé (SIS), il importe de faciliter le respect des exigences légales qui s’imposent à leurs systèmes d’information ; enfin pour les prestataires de services d’hébergement, l’agrément ASIP-Santé doit représenter une reconnaissance de savoir-faire de nature à favoriser le développement de leurs activités.

Pour autant, l’Agence laisse au fournisseur le libre choix de ses solutions techniques, logicielles et organisationnelles « dans la limite du strict respect des engagements attendus ». De plus, le fournisseur d’hébergement doit s’engager formellement et explicitement sur des niveaux de disponibilité, d’intégrité et de confidentialité avec une liste exhaustive des risques non couverts qui doivent être résiduels et pris en compte comme tels. Des pénalités sont clairement prévues et exprimées. Il doit également procéder à des audits de conformité au cahier des charges, aux engagements de sécurité, à la réglementation ou à l’état de l’art des solutions de sécurité opérationnelles mises en œuvre (architectures d’ensemble, de sous-systèmes, de modes de configuration et de paramétrage des sous-ensembles constitutifs du DMP, etc.). Il doit enfin se soumettre à des tests d’intrusion ou de vulnérabilité pour évaluer sa résistance à des scénarios de malveillance (attaques internes et externes), de crise ou de mise en situation (scénarios de litige ou d’incident menés par des experts judiciaires).

Pour des hébergeurs qui désireraient élargir leur périmètre opérationnel, il s’agit là d’un défi qui est au moins à la hauteur, voire supérieur aux exigences formulées en matière de protection des données personnelles nécessaires aux transactions bancaires. L’agrément ASIP-Santé est à l’évidence une remarquable référence qui valorise de multiples compétences – en particulier, celles liées à la sécurité sous tous ses aspects – et qui ne doit pas poser problème aux prestataires habitués à la rigueur des démarches et des audits de conformité.

Le cloud computing n’est pas la panacée !

Rien ne s’oppose à ce que des données de santé à caractère personnel soient hébergées sur une infrastructure de type cloud computing, à condition que son hébergement physique respecte la réglementation de localisation (résidence dans l’Union européenne ou les pays agréés par l’Union) et qu’il réponde à toutes les exigences sécuritaires du décret hébergeur. Cependant, il est à noter que les solutions cloud ne sont pas la panacée et doivent aussi répondre à d’impérieuses contraintes économiques, comme l’illustre le récent appel d’offres infructueux de l’ASIP-Santé sur un service de messagerie pour les professionnels de santé. A la suite d’une consultation d’industriels, l’agence a en effet été amenée à rejeter toutes les propositions formulées selon le principe du SaaS (« Software as a Service »), c’est à dire, fondées sur des coûts liés à l’usage. L’Agence a estimé ne pas bénéficier d’un recul suffisant pour juger de la pertinence de ce modèle économique et des relations contractuelles entre clients et fournisseurs informatiques que cela sous entendait.

Pour l’ASIP-Sante, « l’exercice impose une juste répartition des risques entre les acteurs » ce qui peut « exposer les industriels soit à renoncer à s’engager, soit à proposer des conditions économiques aussi prudentes pour eux que peu avantageuses pour l’acheteur ». L’inadéquation des réponses reçues a conduit l’Agence à procéder de façon plus traditionnelle en assurant la construction – sur une solution Open Source précise-t-on du système par de la sous-traitance informatique plutôt que de l’acheter en mode service comme envisagé initialement.