DMP : assurer sa confidentialité se heurte à la difficulté d'authentifier les accès
La commission de relance du DMP tire à boulets rouges sur ses prédécesseurs. Elle envisage des solutions techniques comme la carte à puce afin de garantir la confidentialité des données du patient. Elle reconnaît que les outils nécessaires ne seront pas déployés avant longtemps. Jeudi 15 mai 2008, la commission en charge de la relance du Dossier Médical Personnel (DMP) a remis un volumineux rapport à Roselyne Bachelot, ministre de la santé. Ce rapport s'il manque beaucoup de concision propose une vue détaillée de ce que pourrait être le DMP et de la manière de le mettre en place. C'est un véritable cahier des charges de 120 pages fonctionnel et technique. Mais il souligne les difficultés qu'il s'agisse de réussir la gouvernance du projet ou d'assurer la confidentialité des données du patient. Dans ce dernier cas, il décrit les technologies qui lui semblent nécessaires : carte à puce, certificats numériques et signature électronique. Il relève cependant que la longueur des déploiements, tant du côté des professionnels de santé que des patients, empêchent leur usage. Un baptême des projets pilote fin 2008 De manière plus générale, la commission de relance est sans pitié envers ses prédécesseurs. En moins de quatre ans, le DMP a fait l'objet « d'annonces irréalistes, d'approximations de conception initiales, de revirements stratégiques, de débats théoriques et de divisions au sein de la gouvernance ». Le projet étant au ralenti depuis le printemps 2007, la commission préconise une relance en trois temps : une journée de la relance du DMP ; l'amorce de la préparation de la phase pilote et la création d'un « Club des promoteurs de projets » ; Un séminaire de « baptême » des projets pilote à l'automne ou à la fin de l'année 2008. Une phase expérimentale au moins durant trois ans La commission propose de relancer une phase expérimentale qui pourrait se dérouler au moins jusqu'à la fin de 2011. A cette échéance, la commission pense que l'infrastructure nationale du système DMP devrait avoir été achevée et la phase de déploiement pourra commencer. Côté gouvernance, la commission enfonce le clou des erreurs ... Photo : Roselyne Bachelot, ministre de la Santé ... qui l'ont précédée : « Il est vraisemblable que le projet n'aurait pas donné lieu à l'affichage d'échéances fantaisistes si les décideurs avait disposé d'une information documentée, par exemple sur les problèmes de diffusion de la CPS (NDLR : Carte des professionnels de Santé, une carte à puce authentifiant les médecins) dans les établissements de santé ». Autorisation purement orale De nombreuses questions se posent autour de la manière d'orchestrer les accès au DMP. Il est rappelé que le patient doit avoir le droit d'en autoriser ou d'en interdire l'accès. Pour cela, il doit manifester son accord. Selon la commission, à moyen terme, le déploiement d'instruments techniques nouveaux, comme celui d'une carte Vitale 2 avec code secret permettant de signifier un consentement par signature électronique, sera susceptible d'apporter des solutions à la fois plus sûres et simples d'utilisation. Reste que cette carte est loin d'être banalisée, dès lors, en attendant, on aura recours à une autorisation purement orale de la part du patient, à titre expérimental. Pas de solution technique fiable en vue La question du mode d'expression par le patient de son accord pour l'accès d'un professionnel de santé à son DMP n'a cessé de susciter des débats. La commission admet que les moyens techniques évoqués (carte à puce, certificats) ne sont pas attendus avant plusieurs années. Le recours à une procédure reposant sur une expression écrite est peu compatible avec une utilisation fluide du DMP. Jusqu'à présent, la solution envisagée a été celle d'un consentement du patient exprimé oralement, recueilli et transmis au « portail DMP » par le professionnel de santé. Cela repose sur une relation de confiance entre le praticien et son patient et quelques garanties telles que la traçabilité immédiate de tous les accès, et la conservation de l'historique des accès. En attendant la carte Vitale 2 Lors du premier contact entre le patient et un professionnel de santé, le consentement est recueilli oralement et allégué par le professionnel. Une déclaration d'habilitation est effectuée auprès du « Portail du DMP » par le professionnel authentifié par sa carte CPS. En ce qui concerne le consentement donné par le patient à une équipe de soins, la procédure est la même : déclaration d'habilitation effectuée auprès du « Portail du DMP » par le professionnel dûment authentifié ... ... par sa CPS, mais pour tous les membres du groupe. Dans tous les cas de figure, la carte Vitale est requise et vérifiée par le système - dans la mesure où elle tend, même de manière faible, à accréditer la présence du patient et rend plausible son consentement - sans être pour autant une condition nécessaire à l'habilitation car l'oubli de la carte Vitale ne doit pas induire une perte de chance pour le patient. Autoriser les secrétaires médicales à accéder au DMP Dans le cadre de la loi de 2004 créant le DMP, le législateur a limité l'accès aux informations contenues dans le DMP aux seuls professionnels de santé. Cela exclut par exemple les secrétaires médicales. Or, en pratique, celles-ci sont le plus souvent chargées de la préparation des dossiers. Face au risque de voir des médecins contourner la règle, par exemple en confiant leur carte CPS à leurs collaborateurs, il est préférable de prévoir des garde-fous, estime la commission qui pose la question d'une mise en conformité du droit avec la pratique. Par ailleurs, le décret dit « confidentialité » du 15 mai 2007 rend obligatoire l'authentification des professionnels de santé par utilisation de la carte CPS pour tout accès aux informations médicales à caractère personnel conservées sur support informatique et pour toute transmission de ces données par voie électronique. Il prévoit en outre que cette obligation devra, dans les établissements de santé, être effective dans les trois ans à compter de la publication du décret. A l'évidence, pour la commission, « la mise en oeuvre de cette disposition ne pourra intervenir dans les délais prévus. Il s'agit d'un chantier complexe et coûteux, qui exige au préalable une modernisation des infrastructures techniques (annuaires, serveurs de sécurité) et une mise à niveau importante des applications informatiques dont la réalisation demandera plusieurs années ». Des cartes à puce sans contact pour les hôpitaux En outre, la CPS, conçue pour un usage en secteur libéral à partir d'un PC fixe, est mal adaptée aux établissements de santé, qui requièrent des procédés d'authentification mobiles et rapides. Il existe des cartes mieux adaptées (dites « sans contact »), agréées par le GIP CPS, mais elles ne sont encore qu'expérimentales, et le GIP CPS n'en proposera lui-même qu'en 2009. De plus, le déploiement massif de la CPS à l'hôpital n'interviendra pas avant cinq ans. Il s'agit d'un délai trop long, eu égard aux perspectives de montée en charge du DMP, selon la commission, et aux enjeux de consolidation des services de confiance à l'hôpital et aux engagements pris auprès de la CNIL. En définitive, la première phase de déploiement du DMP se réalisera alors qu'un grand nombre de professionnels de santé hospitaliers ne seront toujours pas équipés ... ... d'un moyen d'authentification fondé sur le certificat de professionnel de santé délivré par le GIP CPS. De multiples pistes à explorer pour les personnels de santé La commission souligne la nécessité de prévoir des processus transitoires permettant aux professionnels de santé hospitaliers d'avoir accès à l'espace partagé. Un ensemble de dispositions doivent être mises en oeuvre. Il est nécessaire d'élaborer un cahier des charges définissant l'organisation et l'outillage des fonctions d'identification et d'authentification en établissement ; installer un dispositif de lecture de la CPS sur un certain nombre de postes fixes de façon à permettre a minima la consultation du DMP et son alimentation en comptes rendus d'hospitalisation ;déployer le système CPS en priorité dans les services et auprès des professionnels pour lesquels l'accès au DMP peut se révéler le plus immédiatement utile : services d'urgence, anesthésistes, pharmacie... ; permettre la généralisation de l'utilisation du certificat CPS sur des supports variés ; utiliser un certificat collectif pour authentifier l'équipe de soin à laquelle appartient le professionnel de santé ; distinguer, pendant la phase transitoire, l'accès en lecture et l'accès en écriture, de façon à permettre l'alimentation du DMP sans que soit exigé un certificat CPS individuel ;explorer l'authentification par lecteur d'empreinte digitale, couplée à la CPS « sans contact ». Authentifier le patient De même, pour la commission, l'authentification du patient pour l'accès au DMP doit être forte. Dans un futur plus lointain, elle estime vraisemblable que la biométrie connaîtra une grand développement. A moyen terme, la future carte Vitale 2 pourrait constituer un vecteur approprié d'authentification. Dans la phase initiale du projet, le GIP DMP devra mettre en place une solution transitoire. Parmi les dispositifs existants, la délivrance d'un certificat logiciel (à domicile ou sur un support nomade) ou d'un mot de passe à usage unique (transmis par email ou par SMS) sont deux solutions possibles. La seconde a aujourd'hui la préférence du GIP DMP.