Confidentialité des données et sécurité des systèmes d'information : décryptage des grands impacts des premiers décrets d'application de la Nouvelle Loi de Santé, avec Élodie Royer, responsable du cabinet spécialisé ACTECIL OI.
Votée fin 2015, la Nouvelle Loi de Santé a fait évoluer le Code de la Santé Publique pour tenir compte de la digitalisation des pratiques médicales. Depuis le début de l’année, une première vague de décrets est venue préciser l’esprit de la loi et ses modalités d’application dans les champs du partage des données médicales et de la sécurité des systèmes informatiques.
Encadrement des échanges de données de santé au sein de l’équipe de soin, rôle du patient dans la gestion du DMP et signalement des incidents de sécurité informatique dans les établissements de santé : décryptage des trois idées fortes avec Élodie Royer, responsable d’ACTECIL dans l’océan Indien, cabinet d’expert en gestion des données personnelles.
"Le premier effet des décrets récents est d’officialiser un lien d’échange et de partage de données de santé entre PS et non-PS, en s’appuyant sur la notion d’équipe de soin. Dès lors qu’une personne est intégrée à une équipe de soin, qu’elle soit ou non professionnelle de santé, il est désormais possible de lui faire passer des informations sur un patient, sous certaines conditions.
Il y a deux conditions principales pour être habilité à recevoir une donnée de santé.
C’est un premier enjeu complexe qui s’impose aux établissements. Il faudra définir le fonctionnement des échanges en tenant compte de ces contraintes, avec toutes les difficultés impliquées par l’arbitrage autour de la notion compétence : parle-t-on d’un niveau de formation, de diplômes, ou d’un niveau d’expérience, etc.
L’évolution est néanmoins très importante. Parce que dans la pratique, ces échanges existaient, mais de manière informelle et en dehors du cadre légal. Cela permet d’entériner le fait, par exemple, que des hôpitaux puissent transmettre des informations sur l’état de santé d’un patient à des praticiens ou des acteurs médicosociaux qui gravitent autour d’eux sans être intégrés à ces établissements. Autre exemple : un médecin qui travaille au sein de plusieurs établissements peut désormais emporter avec lui, dans son ordinateur, les dossiers de ses patients sans contrevenir à la loi. Cela va donc faciliter un certain nombre d’échanges qui se faisaient déjà dans la pratique.
En revanche, cela va nécessiter davantage de procédures et de maîtrise des définitions possibles de ce qu’est une équipe de soin. La loi ne cadre pas pour l’instant cette notion centrale. Il appartient donc à chaque établissement de résoudre le problème par lui-même. Ce qui peut s’avérer complexe, puisqu’il existe finalement autant d’équipes de soin qu’il existe d’établissements. Il faudra donc au cas par cas définir des règles, et modéliser à terme des équipes type. L’un des risques est de rigidifier des pratiques qui jusqu’à présent étaient souples, puisqu’elles étaient informelles.
Dernière précision : l’échange d’information avec une personne qui ne fait pas partie de l’équipe de soin est possible, mais il faut alors recueillir, à chaque fois, le consentement formel du patient. Cette procédure, qui implique qu’il soit correctement informé des enjeux, peut s’avérer complexe, et il est donc important de mener une réflexion approfondie sur les définitions de l’équipe de soin pour éviter que le système devienne trop lourd à gérer."
"Les décrets ont réaffirmé le caractère incontournable du Dossier Médical Personnel et surtout — c’est une nouveauté — le rôle central de son titulaire. L’initiative et la gestion de ce DMP sont en très grande partie laissés au patient. En dehors de son médecin traitant, qui bénéficie d’un accès privilégié à l’ensemble des données, tout patient a le droit d’être informé de la liste des professionnels qui peuvent avoir accès à son dossier, et du type d’information qu’ils peuvent y consulter. Le patient peut, surtout, s’y opposer. Il peut également, s’il le souhaite, refuser que son dossier puisse être consulté par des personnes externes à son équipe de soin, même dans les cas d’urgence vitale où cela est normalement possible.
Ce niveau d’autorité sur ses informations personnelles implique une compréhension très précise des conséquences que ce genre de décision peut induire sur sa prise en charge. Plus largement, cela pose la question de la capacité du patient à solliciter la création de son DMP, à le gérer, et à exercer pleinement ses droits. À mon sens — et là c’est vraiment une question qui peut faire débat — c’est aux professionnels de santé que revient la responsabilité de faire ce travail de pédagogie.
Mais c’est d’autant plus délicat que dans de nombreux cas, les professionnels eux-mêmes ne sont pas préparés aux enjeux de la transmission de données dématérialisées. C’est notamment le cas dans les cabinets médicaux privés, où les questions de sécurité et de confidentialité des données sont encore souvent mal maîtrisées."
"Le dernier point à retenir des décrets, c’est l’obligation pour les organismes de santé de signaler à l’Agence Régionale de Santé dont ils relèvent les incidents graves de sécurité informatique. Ces incidents recouvrent toutes les atteintes aux systèmes informatisés d’un établissement susceptible d’avoir des conséquences sur la sécurité des soins ; sur la confidentialité ou l’intégrité des données de santé ; ou susceptible de nuire au fonctionnement normal de l’établissement.
On voit bien comment ces trois points recouvrent en réalité beaucoup de situations possibles. La première chose qui vient en tête, c’est le cas d’un piratage informatique lors duquel des données de santé peuvent avoir été volées, avec des risques d’atteinte à la vie privé des patients. Mais de la même manière, une simple panne de logiciel qui entraîne un retard dans le versement des payes peut avoir des conséquences au niveau ressources humaines, et devra donc également faire l’objet d’une déclaration, puisque l’incident est de nature à nuire au fonctionnement normal de l’établissement.
C’est sur le plan des ressources humaines que l’impact de cette nouvelle disposition sera sans doute le plus grand. Il faut savoir que 80 % des plaintes reçues par la CNIL émanent de collaborateurs qui estiment que leurs données privées n’ont pas été traitées correctement à l’intérieur de leur entreprise. Le plus souvent, ce sont les données des salariés qui sont malmenées, et pas comme on pourrait le penser les données des clients.
C’est un point d’attention important dans le cadre des organismes de santé, qui ont eu pour habitude de travailler beaucoup plus à la protection des données de leurs usagers qu’au respect des données de leurs personnel, comme le veut par exemple la loi Informatique et Libertés."