ASIP SANTÉ
M. Michel Gagneux, président de l'Agence des systèmes d'information partagés de santé (ASIP Santé)
M. Jean-François Parguet, directeur du pôle technique et sécurité (ASIP Santé)
26 mars 2014
M. Michel Gagneux . - L'Agence des systèmes d'information partagés de santé (ASIP Santé) est une jeune agence créée en 2009 par le Gouvernement sur ma proposition. Elle a pour mission de créer les conditions de développement futur des systèmes d'information de santé sécurisés pour permettre le partage des données de santé qui sont personnelles et particulièrement sensibles.
L'ASIP Santé doit créer les conditions applicables par tous les acteurs de santé, hôpitaux, professionnels de santé, de nature à garantir le respect de la confidentialité des données individuelles de santé.
Selon l'orientation stratégique du ministère de la santé, l'agence est le prescripteur de tous les référentiels qui doivent être respectés par les opérateurs et les acteurs en matière d'interopérabilité et de sécurité des systèmes d'information de santé , de façon à ce que les données soient partagées, échangées et stockées dans des conditions de sécurité optimale.
La seconde mission de l'ASIP Santé consiste à promouvoir des services comme le dossier médical personnel (DMP) ou une messagerie sécurisée de santé (MSS) pour lesquels l'agence est responsable du traitement des données aux termes de la loi relative à l'informatique, aux fichiers et aux libertés.
L'agence propose des dispositifs de gestion de la sécurité interne pour l'ensemble de ses infrastructures, services et produits et vérifie l'impact de tout correctif sur l'ensemble des services.
La vocation première de l'ASIP Santé est de créer un espace de confiance qui soit respecté par tous.
Depuis quatre ans, l'agence est l'un des principaux acteurs de la définition d'une politique générale de sécurité des systèmes d'information de santé qui est appliquée par les éditeurs et industriels, les établissements de santé et les médecins.
Plutôt que de s'attacher au respect de la notion de souveraineté numérique alors qu'il n'y a pas de frontière dans le numérique, l'ASIP Santé concentre ses efforts sur les règles et les procédures à imposer en matière de sécurité.
La procédure d'agrément des hébergeurs de données de santé , définie par le décret de 2006, a mis du temps à se mettre en place. C'est en 2009 que l'ASIP Santé a relancé l'application de ce décret, resté lettre morte, qui permet aux industriels de se mettre aux normes et se conformer à une doctrine.
Il existe un comité d'agrément des hébergeurs de données de santé qui étudie tous les dossiers de candidats à l'hébergement de données de santé. Ainsi, les dossiers sont soumis à une double instruction celle de la CNIL et celle du comité d'agrément de l'ASIP Santé.
Une soixantaine d'agréments ont été délivrés depuis le lancement de cette procédure et il y a eu plus de 40 % de refus d'agrément en 2013.
Cette procédure garantit que tout hébergeur de données de santé en France respecte les règles conformes à la fois à la directive européenne et aux prescriptions de la CNIL.
Les données personnelles peuvent être hébergées à l'étranger uniquement si elles restent sur le territoire de l'Union européenne dans des conditions conformes à une directive européenne transcrite dans le droit français en 2006, modifiant la loi de 1978 relative à l'informatique, aux fichiers et aux libertés.
En outre, la Commission européenne a donné son accord pour que les données personnelles puissent être hébergées dans certains pays, comme le Canada, qui offrent des garanties équivalentes à celles décrites dans sa directive (réglementation « Safe Harbor »). Certains autres pays ont passé un accord avec la Commission européenne, comme ce fut le cas en 2001 pour les États-Unis d'Amérique.
Un hébergement des données de santé en dehors des frontières de l'Union européenne, notamment par de grands industriels, est possible s'ils respectent des cahiers des charges contractuels ainsi que des règles internes qui garantissent les bonnes pratiques et l'application des procédures de sécurité prescrites par la commission européenne et la CNIL.
Le stockage des données dans les nuages se fonde sur des technologies de virtualisation qui reposent à la fois sur des infrastructures, sur des plates-formes et sur des applications. Il existe une grande diversité de technologies de virtualisation.
Le stockage dans un nuage peut permettre d'apporter une sécurité à des données atomisées qui nécessitent peu de sécurité et qui ont besoin d'être mutualisées. Mais plus les données ont besoin de sécurité, ce qui est le cas des données de santé, plus le stockage dans un nuage constitue une limite au maintien de l'optimisation des normes de sécurité.
C'est la raison pour laquelle, l'ASIP Santé n'a pas recours aux nuages pour le stockage des données. Seules certaines infrastructures techniques sont dans un nuage localisé en France.
Les données personnelles du DMP sont stockées, en France, chez deux hébergeurs sur deux sites distincts ; à Lille et à Marseille pour le dossier médical personnel (DMP) et à Paris et au Mans pour la messagerie sécurisée de santé.
M. Jean-François Parguet . - Seules les données de certaines des infrastructures techniques de l'ASIP Santé sont stockées dans un nuage en France. Il s'agit des données du site institutionnel qui présente l'ASIP Santé, des sites de formation ou encore des sites de données techniques partagées avec les industriels et les différents opérateurs de santé. Cela permet de diminuer les coûts et d'obtenir une grande disponibilité des informations de ces sites.
De même, mettre à disposition des 120 000 médecins libéraux un logiciel de gestion stocké dans un nuage peut permettre d'accroître la sécurité dans la mesure où ce logiciel est géré par des spécialistes et mis à jour régulièrement. En sens inverse, le nuage peut amoindrir la sécurité d'un dispositif totalement maîtrisé.
M. Michel Gagneux . - Pour l'identification des patients, l'échange et le partage de données de santé les concernant, la CNIL a recommandé l'utilisation d'un identifiant national de santé spécifique (INS) à la place du numéro d'identification de sécurité sociale (NIR). Cela présentait l'inconvénient majeur d'interdire en pratique à tout le secteur de la recherche d'avoir accès aux banques de données constituées par le secteur de la production de soins qui utilise le NIR. Il aurait fallu construire une passerelle entre l'univers de l'INS, avec le DMP et la messagerie sécurisée de santé, et l'univers des données de l'assurance maladie gouverné par le NIR.
Après de nombreuses années de discussion avec l'ASIP Santé, une délibération de la CNIL vient de modifier sa doctrine et d'accepter de lever l'obligation d'avoir un INS spécifique pour l'échange et le partage des données de santé.
M. Jean-François Parguet . - Les technologies des années 1980 ne permettaient pas de croiser des données alors qu'aujourd'hui, il n'y a plus besoin d'index pour croiser les bases de données. Selon les préconisations du rapport de M. Pierre Truche de 1997, il aurait fallu un identifiant pour chacune des différentes sphères : justice, intérieur, finances, santé, médico-social et médico-administratif. À l'heure actuelle, l'identifiant n'est plus un gage de sécurité.
M. Michel Gagneux . - Aujourd'hui, l'enjeu est non plus dans l'identifiant mais dans le contrôle de l'accès au système.
Chaque accès aux données d'un patient donne lieu à une traçabilité impétrable. Le patient lui-même peut contrôler tous les accès à son dossier intégralement retracés. De plus, un patient peut demander que tel professionnel de santé ou telle catégorie de professionnels de santé n'aient pas accès à ses données.
Tout médecin qui utilise le système du DMP ou la messagerie sécurisée de santé doit respecter les règles de l'espace de confiance et utiliser une carte à puce qui permet une authentification forte de son accès autorisé par le patient.
Les exigences de sécurité seront beaucoup plus fortes avec le système numérique qu'avec les pratiques actuelles où un dossier médical peut traîner sur un chariot, etc. On saura immédiatement le nom de l'infirmière qui a administré un traitement, sa qualification à dispenser ce traitement. La rigueur dans la préservation de la confidentialité des données sera bien supérieure à celle observée dans l'utilisation des dossiers « papier », des photocopies, etc.
Le DMP est dans une première phase de déploiement ; le dossier du patient électronique, dans les établissements de santé, se développe petit à petit. Un vaste programme d'hôpital numérique a été promu par le Gouvernement depuis trois ans et s'étend peu à peu.
Ce sont des processus très complexes qui supposent une réorganisation des soins. Il s'agit, à l'échelle nationale, d'un projet à l'horizon d'une génération.
Le DMP peut être à la fois utilisé par des professionnels de santé et le patient. Il n'a pas vocation à recevoir toutes les données de santé d'un patient mais uniquement les données pertinentes à partager dans un moment donné ou pour une prise en charge ultérieure. Il ne se substitue pas au dossier professionnel de santé constitué par le professionnel.
Le DMP est prêt à être déployé ; des tests ont été faits depuis 2011. C'est un produit qui fonctionne techniquement, qui est ergonomique, fiable et qui peut, s'il est bien utilisé, faire gagner du temps.
D'une manière générale, l'agence est l'opérateur chargé par le ministère de la santé d'établir les textes qui régissent la sécurité des informations de santé. Elle travaille de façon permanente avec l'ensemble des autorités compétentes en matière de sécurité des systèmes d'information et de protection des données.
Le dispositif du DMP, qui respecte les préconisations de l'ANSSI, peut être homologué au titre du référentiel général de sécurité (RGS).
L'ANSSI et la CNIL sont associées étroitement aux travaux portant sur la mise en place de la politique générale de sécurité des systèmes d'information de santé ; l'ASIP Santé a créé l'identifiant national de santé en étroite collaboration avec le laboratoire de cryptologie appliquée de l'ANSSI.
La CNIL intervient pour délivrer un avis dans le cadre de la procédure d'agrément des hébergeurs de données de santé.
Si le site Internet de l'ASIP santé est susceptible de subir des attaques générales tous les jours, sans pour autant avoir jamais été pénétré depuis 2011 ; le système de gestion du DMP n'a pas été attaqué, de manière ciblée, et des données de santé n'ont jamais été volées.
L'hébergement sécurisé des données de santé est confié à des sociétés privées françaises choisies selon une procédure d'appel d'offres mais assorti de procédures d'agrément particulièrement rigoureuses et coûteuses pour les entreprises. Cela permet d'avoir un marché de professionnels spécialisés dans l'hébergement de données de santé favorables aux normes de haut niveau garantissant le respect des bonnes pratiques de sécurité et de la réglementation.
Les Anglais ont créé un dossier informatisé du patient relatif à la production de soins qui peut être partagé mais auquel le patient n'a pas accès. Ils n'ont pas mis en place de dossier de coordination de soins partagé qui serait l'équivalent du DMP.
Leur projet est d'ailleurs ralenti parce que, contrairement au choix français, ils n'ont pas mis au point de normes d'interopérabilité qui permettent aux systèmes d'échanger des informations quelles que soient leurs différences d'environnement. Le Royaume-Uni a confié la gestion des données de santé à des industriels différents, en découpant son territoire en plusieurs zones, rendant ainsi impossible le traitement et l'échange des données d'un dossier par un système autre que celui qui l'a conçu.
Le DMP a connu une première phase, de 2004 à 2007, lors de laquelle les politiques ont fixé des objectifs économiques, de généralisation et de quantité irréalisables, selon l'avis de tous les experts. Après un audit interministériel, auquel j'ai participé, aux conclusions assez sévères sur le projet initialement prévu, Mme Roseline Bachelot, ministre de la santé de l'époque, m'a demandé de formuler des propositions qui permettraient de relancer ce projet en définissant des conditions stratégiques à réunir pour sa réussite.
C'est en application des conclusions de ce rapport, qu'a été créée l'ASIP Santé afin de garantir l'interopérabilité et la sécurité dans les échanges et le partage des données de santé.
Un nouveau DMP a été mis en place sous forme expérimentale au début de l'année 2010 et son déploiement aurait pu commencer dès la fin de l'année 2011.
En raison du changement de gouvernement intervenu en 2012, la phase de développement a connu quelques retards mais ce déploiement est maintenant inscrit dans la stratégie générale de santé et devrait être lancé à grande échelle.
Cela montre qu'il s'avère particulièrement difficile en France de concevoir des projets stratégiques complexes et de les inscrire dans le long terme d'autant plus lorsque l'on touche à de nombreux secteurs, l'organisation du poste de travail du professionnel de santé, la façon dont il va travailler avec l'hôpital, la façon dont le patient et le professionnel de santé vont communiquer, la façon dont l'assurance maladie et les services de l'État vont échanger des données. Dans ce domaine, les défis relèvent moins de la technologie que de la conduite du changement et de la réforme. De plus, la dualité de gouvernance, mal pilotée, entre l'assurance maladie et l'État rend la mise en place du projet du DMP plus difficile.
Sur ce sujet, tous les pays ont été confrontés, en fonction de leurs traits culturels, à de très grandes difficultés. Ce fut le cas pour le Royaume-Uni et le Canada.
Les pays scandinaves ont connu plus de succès en raison de leurs systèmes très intégrés et de petite taille ainsi que de leurs contraintes de climat, de géographie, qui les poussent à passer par la virtualisation.
La France est en panne d'une gouvernance, d'une définition de stratégie en matière de santé numérique et de pilotage de cette stratégie. La diversité des acteurs, leur propension à l'autonomie, la faiblesse du ministère de la santé, qui a perdu beaucoup d'expertise, en créant toutes ces agences sanitaires, posent un problème de gouvernance important.
Le DMP permettrait aux professionnels de santé de travailler de manière coopérative autour d'un même patient et de limiter le nombre d'examens redondants. Sans cet outil, la coordination des soins est difficile.
Aux États-Unis d'Amérique, les sociétés d'assurances ou les cliniques constituent des dossiers pour optimiser leur prise en charge en imposant leur système à leurs assurés.
En France, les professionnels de santé, tout comme les patients, restent très peu conscients de la nécessité de protéger les données de santé, très sensibles, intimes. De bonnes pratiques sont à promouvoir.
En 2008, le système de santé était atomisé, cloisonné, peu sécurisé et peu communiquant.
La communication constituera l'un des grands enjeux du déploiement du DMP. À noter que, dans une même journée, des patients qui pourraient se montrer frileux à l'idée de voir des médecins échanger leurs données de santé, n'hésitent pas à dévoiler, sur Facebook, des éléments de leur vie privée bien plus intimes. Ils pourraient aussi être victimes de nouveaux projets comme celui de Google Health ou de Microsoft - Health Vault - qui avaient essayé de mettre en place des dossiers médicaux mondiaux et virtuels sans se soucier de sécurité ni de confidentialité. Ces opérateurs ont d'ailleurs renoncé à leur projet pour des raisons de modèle économique mais pas pour des raisons de sécurité.
Lorsque les systèmes de santé informatisés seront mis en place, ils seront beaucoup plus protecteurs des libertés individuelles que l'absence de système actuel.
M. Jean-François Parguet . - Le DMP offre une traçabilité exhaustive des consultations dans la durée. C'est ce qui permet d'arbitrer le compromis entre la confidentialité et la perte de chances. Car si l'on prévoit de la sécurité a priori, on peut priver le professionnel d'informations et, par conséquent, aboutir à ce que l'on appelle une perte de chances pour le patient.
La traçabilité offre une base simple à cet arbitrage et permettrait de pénaliser les usages fautifs si la pénalisation existait.
M. Michel Gagneux . - L'objectif de l'ASIP Santé a répondu à une nécessité de service public en mettant en place, avec le DMP et avec la messagerie sécurisée de santé, dont le développement va commencer cette année, des outils sécurisés à grande échelle au profit des professionnels de santé comme des patients. Néanmoins, il s'avère impossible d'aller plus loin dans la façon de sécuriser l'espace de santé en raison du nombre important de professionnels de santé et de la disparité de leurs équipements informatiques.
La clé du système mis en place pour le DMP et la messagerie sécurisée de santé réside dans l'obligation pour les professionnels de santé et les patients d'entrer dans l'espace de confiance, régi par des normes d'opérabilité, de sécurité et de cryptologie, pour pouvoir échanger des données de santé en toute sécurité quelle que soit la fragilité de l'environnement numérique des utilisateurs.
En revanche, on ne pourra jamais rien contre l'utilisation par un personnel de santé d'un matériel étranger, aux mises à jour de sécurité non effectuées, par exemple.
M. Jean-François Parguet . - La protection par l'antivirus reste illusoire. La guerre de la protection du poste de travail du professionnel de santé est perdue d'avance. La sécurité doit être concentrée sur le système central.
Il existe 953 000 cartes de professionnel de santé ( CPS) qui produisent le milliard de feuilles de soin par an qui servent pour le tiers payant.
L'ASIP Santé distribue un logiciel d'accès à la carte (« Middleware ») que le professionnel de santé peut installer dans son système. Ce logiciel supporte des versions obsolètes de systèmes d'exploitation, comme Windows XP, car il est impossible d'imposer aux professionnels le changement du parc de matériel informatique des médecins libéraux.
M. Michel Gagneux . - En matière d'améliorations des conditions de sécurité, nous nous trouvons toujours sur une ligne de crête, une tension entre facilité d'usage et garantie de la sécurité .
À titre d'exemple, la messagerie sécurisée de santé destinée aux personnels de santé doit être compatible avec une certaine mobilité et il faut définir jusqu'à quel point on peut alléger les normes de sécurité, par exemple, pour allonger le temps d'ouverture des sessions.
Jusqu'à présent, l'ASIP Santé a maintenu des principes de respect des normes de sécurité assez rigides. Mais, pour que le système ne soit pas dissuasif à l'usage, il va falloir étudier les modalités d'un assouplissement, notamment pour la saisie du mot passe, qui ne dégrade par la sécurité.
Il paraît difficile d'imposer à un infirmier en tournée la saisie trop fréquente d'un mot passe de huit caractères, composé de lettres, de numéros, de signes de ponctuation, etc. Il sera tenté d'utiliser une messagerie disponible sur Internet comme Gmail, Orange, etc.
C'est l'usage, dans les années à venir, qui déterminera le bon compromis à trouver.
En accompagnant les usages et en menant une politique de pédagogie, de sensibilisation et de communication permanente, durable et récurrente, en direction des professionnels, des patients et de tous les utilisateurs, il sera possible de construire, petit à petit, une culture de bon usage de l'échange et du partage de la donnée de santé par le numérique avec une bonne sécurité de base.