• Print
  • Decrease text size
  • Reset text size
  • Larger text size
26/10/2011

Prendre en compte la spécificité des données médicales lors de la mise en place d'un SI Médical

Le déploiement du dossier médical personnalisé, le DMP - serpent de mer de l'e-santé française - a débuté en décembre 2010. Les heurts de ce projet phare du service public de la santé depuis 2004 doivent s'analyser à la lumière des nombreuses problématiques tant humaines que techniques : collaboration des acteurs, confiance des citoyens, préservation de la vie privée dans ce qu'elle a de plus intime, performance du système de santé, traitement des données médicales, interopérabilité des systèmes d'information, etc.
 

La protection juridique accordée au secret médical et donc à certaines données des SI médicaux est l'une de ces problématiques spécifiques au domaine.

Au printemps 2009, Roselyne Bachelot, alors ministre de la santé, redonne un coup de fouet à l'e-santé, en relançant le dossier médical personnalisé - le DMP dont le projet a, au mieux, fait du surplace depuis 2004. Au delà de la conversion du vieux carnet de santé en un moderne dossier dématérialisé, l'e-santé s'attaque à la cohérence du système de santé. Et dans notre pays où le parcours du patient (fait d'aller et de retours entre médecines de ville, hospitalière et du travail au sein de cabinets libéraux, d'hôpitaux publics, de cliniques privées) s'est fragmenté et complexifié, la cohérence des diagnostics, des traitements et des prises en charge est un levier essentiel du bien être des citoyens.

L'idée derrière le DMP est assez simple : si le dossier médical est informatisé, sécurisé, accessible à distance et à tout moment, alors le patient et les professionnels de santé autorisés seront en mesure, à chaque instant, de partager les informations nécessaires à une bonne coordination des soins, ce qui in fine profitera à la qualité du système de santé français. Mais le DMP ou les SI manipulant des données médicales, ne sont pas de simples progiciels de gestion.

La nature de la donnée médicale fait des SI médicaux des projets à part dans le paysage informatique

La réussite de l'e-santé implique évidemment une multitude d'acteurs : les patients et les professionnels de santé mais également les établissements, les ARS, le ministère, l'ASIP-Santé, la CNIL, les conseils nationaux des ordres professionnels, la HAS, les éditeurs de logiciels médicaux, les hébergeurs de données, ... Ces nombreux acteurs sont amenés à gouverner, gérer, diffuser, transformer, construire et utiliser des données médicales à caractère personnel. La difficile coordination entre acteurs aux objectifs et calendriers parfois divergents est minée par la nature même de la donnée médicale dont toute divulgation non consentie par le patient présente un risque pour respect de la vie privée.

La loi définit la donnée médicale à caractère personnel de manière extensive : c'est une donnée « relative à une personne identifiée ou qui peut être identifiée, directement ou indirectement » qui renseigne sur l'état de santé de celle-ci. A titre d'exemple, le carnet de rendez-vous d'un médecin contient des données médicales à caractère personnel comme lorsque M. Untel a rendez-vous avec le cancérologue.

Afin de protéger la vie privée, les données médicales à caractère personnel sont couvertes par le secret médical et « toute personne prise en charge par un professionnel, un établissement, un réseau de santé ou tout autre organisme participant à la prévention et aux soins a droit au respect de sa vie privée et du secret des informations la concernant. ». La rupture du secret médical est pénalement punie d'un an d'emprisonnement et de 15 000 euros d'amende qu'elle soit du fait d'un professionnel, d'un établissement, d'une tierce personne (comme un DBA), ou résultant d'une négligence.

On comprend dès lors que pour que les acteurs osent prendre des décisions impliquant la manipulation, le stockage et l'utilisation des données médicales, il fallait déminer le champ. Pour ce faire, l'Etat, dans son rôle d'organisateur de l'informatisation de la santé légifère en 2002 et 2004, et publie les décrets d'application en 2006 et 2007.

Un cadre incomplet dans lequel certaines règles sont identifiables

Le cadre juridique des SI manipulant des données médicales à caractère personnel reste flou car les arrêtés comportant les référentiels techniques précis sont toujours en cours de rédaction.

Cependant, l'e-santé avance et pour ceci, il est important de synthétiser les principales règles qui encadrent les SI médicaux.

a) Obtenir un avis ou une autorisation d'une autorité publique sur la gouvernance

Un hébergeur de données, qui est défini comme une entité ne produisant pas de données mais les stockant et mettant en œuvre les traitements automatisés, est soumis à une autorisation ministérielle. Pour celle-ci, ce sont non seulement les moyens techniques et les finalités du SI qui seront examinées mais aussi la gouvernance de celui-ci qui doit présenter des garanties de préservation de l'éthique médicale.

Lorsque c'est un établissement médical qui met en place un SI médical, la CNIL est chargée de délivrer une autorisation. La présentation de la gouvernance n'est pas obligée car l'éthique est présumée préservée par le conseil d'éthique de l'établissement.

Aller au-delà de la lettre de la loi en présentant dans le dossier CNIL la gouvernance du SI médical présente des avantages significatifs à même de renforcer la confiance des utilisateurs :
• Cela force à penser la gouvernance du SI au stade du projet en y intégrant la dimension éthique ;
• Le dispositif est étudié et validé par une autorité extérieure, indépendante et impartiale ;
• La gouvernance est garantie sur la durée car elle ne peut être changée sans l'avis conforme de la CNIL.

b) Incorporer un représentant des instances éthiques dans la gouvernance du SI

Afin de garantir que les décisions structurantes soient passées au crible de l'éthique le plus en amont possible, un représentant des instances d'éthique de l'établissement peut participer aux comités organisant le SI médical lorsque sont traitées des questions relatives aux SI contenant des données à caractère médical.

Il a pour tâche de suivre les activités des SI contenant des données médicales à caractère personnel et intervient pour apporter un avis éthique sur les choix métiers structurants, et donc sur les grandes évolutions fonctionnelles du SI. Cet avis est sollicité pour les éléments du SI touchant aux données médicales, et non sur le reste du SI.

Afin d'éviter une confusion entre représentant des utilisateurs et représentant des instances éthiques, il est sans doute souhaitable de faire appel à un médecin extérieur à l'établissement.

c) Administrer précisément les habilitations à accéder au SI

Au-delà des médecins et personnels paramédicaux, de nombreux acteurs techniques accèdent au SI et à tout ou partie des données qu'il contient.

Il est important de définir précisément les droits d'accès au SI pour l'ensemble des acteurs (sans oublier les opérations de maintenance et de support logiciel et matériel) et de mettre en place un processus précis de gestion des habilitations.

Le processus doit s'attacher aux opérations de création de droits, mais il est essentiel de porter une attention renforcée sur la fermeture des droits d'accès, souvent négligée. Pour cela le processus peut être complété par un protocole d' « audit » périodique des habilitations.

La mise en place d'un médecin administrateur responsable de l'habilitation des intervenants techniques ainsi que de celle des utilisateurs renforce la fonction d'administration des habilitations.

Le médecin administrateur n'aura pas pour tâche de créer les comptes utilisateurs mais de vérifier au préalable de toute création :
• l'existence d'un contrat de travail ou de collaboration en sollicitant, par exemple, le service de gestion administrative des RH ;
• la signature d'une charte de confidentialité spécifique aux données médicales ;
• le périmètre d'application du rôle pour les utilisateurs médicaux et paramédicaux, notamment en vérifiant l'adéquation entre le poste et la population affectée ;
• la conformité des tâches d'un intervenant technique avec l'organisation du SI médical.

d) Segmenter l'accès aux données réelles de production

La mise en œuvre d'un SI médical, à l'instar d'un SI plus classique, nécessite de nombreuses tâches techniques. Certaines de ces tâches résultent dans l'accès à des données médicales à caractère personnel par des intervenants techniques du SI.

La conception et la mise en place de jeux de données de test anonymisées pour les plateformes de développement, de test, de recette et d'intégration permet de limiter les accès techniques aux données réelles de production à la portion congrue qui ne peut être évitée comme dans le cas du support utilisateur prenant le contrôle d'un poste de travail avec un dossier médical ouvert.

Créer des jeux de test viables et réellement anonymes est une opération complexe à cause notamment de la présence de données médicales non structurées, et l'investissement ne doit pas être négligé.

Si les personnels médicaux et paramédicaux sont par nature conscients de la criticité des données médicales à caractère personnel, ce n'est pas toujours le cas des intervenants techniques. Ainsi, la signature par chaque intervenant d'une charte de confidentialité spécifique aux données médicales réduit les risques de divulgation par négligence. Cette charte comprendra a minima les éléments suivant :
• les données médicales couvertes par le secret médical ;
• la référence aux contraintes de non-divulgation du secret professionnel ;
• les risques encourus : le non respect du secret médical est pénalement puni ;
• en cas de demande anormale d'accès ou de divulgation de ces données, l'obligation de prévenir soit les instances d'éthique, soit le médecin administrateur des habilitations ;
• l'engagement écrit de l'intervenant à respecter les clauses.

 

Conclusion

Le rapide panorama dressé pourrait évoluer avec la publication des référentiels. Cependant nous nous sommes attachés à présenter des règles réalistes et inspirées de celles s'appliquant aux hébergeurs de données afin de garantir la conformité au futur cadre. Celles-ci doivent aussi être complétées par des recommandations techniques sur le SI qui sont bien décrites par la CNIL et sont d'ors et déjà prises en compte par les éditeurs.

0 commentaire
Poster un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Saisissez les caractères affichés dans l'image.
Back to Top