Données personnelles de santé : les enjeux de la dématérialisation

L’organisation de la santé en France est confrontée depuis une quinzaine d’années à des défis majeurs : le vieillissement de la population et l’accroissement de pathologies chroniques, complexes à prendre en charge, qui l’accompagne, la baisse des effectifs de professionnels de santé et leur inégale répartition géographique, ainsi que l’exigence de qualité toujours plus forte des soins prodigués. L’intégration des technologies de l’information dans le domaine de la santé doit permettre de répondre à ces enjeux.

Toutefois, le développement accéléré de la numérisation des données de santé de chaque citoyen-patient ne va pas sans poser de nouvelles questions éthiques et juridiques quant à la protection de ces informations. Les données de santé à caractère personnel sont en effet des données sensibles susceptibles de révéler l’intimité de la vie privée. A ce titre, le droit leur reconnaît un statut particulier et impose le respect de règles visant à garantir leur confidentialité.

Ainsi, la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé a introduit des dispositions afin de garantir aux patients une protection à la fois juridique et technique de ces données de santé, tant au niveau des échanges que du partage.

Une de ces protections juridiques décrites dans le Code de la santé publique s’articule avec les dispositions du Code pénal, et concerne les sanctions applicables en cas de violation du secret professionnel (un an d’emprisonnement et 15 000 euros d’amende) et de manquements à l’obligation de sécurité du responsable de traitement prescrite par la loi Informatique et Libertés du 6 janvier 1978, modifiée le 6 août 2004 (cinq ans d’emprisonnement et 300 000 euros d’amende).

Retards des décrets d’application

Plusieurs décrets concernant l’obligation de sécurité du responsable de traitement ont également été publiés, mais leur application laborieuse pose des difficultés aux professionnels de santé dans l’exercice de leurs pratiques. Ainsi, le décret « confidentialité » qui rend obligatoire l’utilisation de la Carte de Professionnel de Santé (CPS) pour l’accès, l’échange et le partage des données de santé, n’est pas opérationnel dans de nombreux établissements de santé. Elle s’impose pourtant à tous depuis le 15 mai 2010...et depuis le 15 mai 2007 aux professionnels de santé exerçant en libéral. De plus, les arrêtés devant définir les règles de sécurité et de confidentialité imposés par ce décret n’ont toujours pas été publiés. Aujourd’hui, il est d’ailleurs question d’abrogation, ce qui sortirait les professionnels et établissements de santé d’une situation délicate. Un nouveau texte est en cours d’élaboration.

Des hébergeurs agréés

Enfin, la loi du 4 mars 2002 n’autorise l’externalisation de l’hébergement de données de santé personnelles « recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins », qu’à condition que l’hébergeur soit préalablement agréé afin de s’assurer de l’état de l’art de la sécurité mise en œuvre. Dans ce cas, le patient doit être informé que les données le concernant vont être hébergées chez un tiers et le recueil de son consentement exprès est obligatoire. L’agrément des hébergeurs est délivré par le ministre de la Santé, après avis motivé d’un comité d’agrément et de la Cnil (Commission nationale Informatique et libertés), pour une durée de trois ans . Une quinzaine ont déjà été accordés pour l’hébergement de dossiers patients d’établissements ou de groupement d’établissements, ainsi que pour le « Dossier pharmaceutique » et le « Dossier médical Personnel » (DMP) lancé fin 2010, après avoir reçu l’autorisation de la Cnil (cf encadré).

Si la procédure d’agrément semble apporter les garanties de sécurité et de confidentialité des données de santé personnelles confiées à ces hébergeurs, on imagine la volonté des pouvoirs publics de voir progressivement les acteurs de santé faire héberger les données de leurs patients. La question est donc de savoir si les industriels vont pouvoir tous offrir cette prestation avec des coûts supportables par la collectivité et les acteurs privés (assureurs, mutuelles, laboratoires, …).

Le succès ou l’échec de la mise en œuvre des pratiques médicales associées aux technologies de l’information dépendra également de la confiance ressentie par tous quant à la sécurité et la confidentialité des données de santé numérisées et échangées.

Enfin, l’appropriation de la e-santé par les patients et les professionnels nécessitera une politique active pour l’acceptation de ces nouveaux outils. 2011, avec notamment la première phase de déploiement du DMP, devrait être une année de réels retours d’expériences qui viendront consolider les pratiques en la matière.

Le Dossier pharmaceutique

Il permet au pharmacien d’avoir accès à l’historique des médicaments délivrés au cours des quatre derniers mois, afin de déceler les risques d’interactions médicamenteuses qui constituent un danger pour les patients. Quelque 9,7 millions de DP on été créés dans 16 800 officines sur les 23 000 existantes.

Le Dossier médical personnel (DMP)

C’est à partir d’avril prochain que chaque bénéficiaire de l’assurance maladie qui le souhaite devrait pouvoir y accéder via Internet. Ce dossier informatisé permet le regroupement et le partage entre les professionnels et établissements de santé des informations médicales jugées utiles à la coordination des soins ( prescriptions, résultats d’analyse,...). L’Asip santé (Agence des systèmes d’information partagés de santé) pilote ce dossier en test dans plusieurs régions, notamment en Picardie, Rhône Alpes, Alsace et Aquitaine.

La biométrie à l’hôpital

Le centre anticancéreux Oscar-Lambret de Lille va identifier ses patients soignés en radiothérapie à partir de leurs empreintes digitales. Une première en Europe. Le système, destiné à éviter les erreurs d’identification, va se mettre en place progressivement et sera expérimenté pendant une année, comme l’a préconisé la Cnil en donnant son aval. L’enregistrement des données biométriques ne pourra se faire sans l’autorisation des malades et sera limité à la durée du traitement. Quelque 2 000 personnes sont concernées.