Les données de santé sous haute sécurité

Début octobre, le centre hospitalier de Saint-Malo (35) s’est fait sévèrement recadrer par la Commission nationale de l’informatique et des libertés (Cnil), le gendarme de la sécurité des données informatiques en France. Quelle faute avait commise cet hôpital ? Il avait permis à une société extérieure de mettre son nez dans les dossiers médicaux de plusieurs centaines de patients pour une aide la facturation. Mais sans autorisation de la Cnil. Autrement dit, sans garantie de respect de la confidentialité des données. Beaucoup plus grave, des informations médicales sur des patients soignés à l’Assistance publique-Hôpitaux de Marseille (13), l’hôpital Foch de Suresnes (92) et au Pôle de santé du Plateau, qui regroupe les cliniques de Clamart et Meudon (92), se sont retrouvées, il y a quelques mois, au vu et au su de tout le monde sur le Web via une simple recherche par Google ! Dans aucun cas, il ne s’agissait de malveillance de la part de ces établissements, mais bien d’une coupable négligence. En France, plus encore que dans les autres pays développés, le secret médical et la confidentialité des données de santé sont jugés sacrés. Les règles de sécurité ont été posées depuis une dizaine d’années, mais, on le voit, des failles persistent. De telles fuites seraient-elles possibles pour les millions de données de santé qui passent entre vos mains chaque année au comptoir de l’officine ?

Hébergeur top secret

Au Conseil national de l’ordre des pharmaciens (Cnop), aucune tentative de piratage ni aucune fuite de données n’a jamais été à déplorer. « Dieu soit loué, aucune plainte de patients pour des problèmes de confidentialité des données médicales, n’est encore jamais venue jusqu’à nous ni à un tribunal », souffle Patrick Fortuit, vice-président du Cnop. Lorsque le dossier pharmaceutique (DP) a été imaginé, la sécurité a été une véritable obsession pour Isabelle Adenot, la présidente de l’Ordre, à l’origine de ce projet. C’est un hébergeur de données unique qui a été choisi pour les 28,7 millions de dossiers pharmaceutiques environ recensés à ce jour.

Le dernier appel d’offres du Cnop a abouti à un changement d’hébergeur, cette année. « Nous avons choisi celui qui était le plus intéressant sur le plan économique et sur le plan de la sécurité des données, explique Patrick Fortuit. Au départ, il n’était pas agréé par les autorités sanitaires, nous avons dû attendre qu’il le soit ». Le transfert des données entre Santeos, l’ancien hébergeur, et le nouveau, Docapost BPO, a eu lieu au printemps dans des conditions de sécurité dignes de celles d’un film d’espionnage. Les données, stockées dans des valises, ont été transportées selon trois itinéraires différents et bien sûr gardés secrets. « Il est hors de question que je vous révèle où sont conservées ces données aujourd’hui », prévient Patrick Fortuit, qui se borne à indiquer qu’elles se trouvent dans deux lieux distincts, les deux sites fonctionnant en miroir (les données sont constamment dupliquées et sauvegardées).

Touche pas au DP !

De même, au sein du Cnop, ne met pas qui veut ses pattes dans cette mine d’informations que constitue la base de données issues des DP. Il eut pourtant été dommage de ne rien en faire. « Depuis cette année, nous pouvons extraire des données de manière anonymisée de cette base afin de constituer un baromètre de santé publique, explique le vice-président du Cnop. Ainsi, un système d’alerte permet de constater une délivrance anormale de certains médicaments sur une zone géographique donnée qui pourrait être le signe d’une épidémie brutale ». Si tout semble avoir été fait pour garantir la sécurité des données de santé au niveau du stockage, il en est de même lors de la collecte de ces mêmes données en pharmacie. « On ne peut pas rentrer dans un dossier pharmaceutique sans la carte Vitale du patient et la carte de professionnel de santé », rappelle Patrick Fortuit. Mais que se passerait-il si un patient oubliait sa carte Vitale sur le comptoir et qu’un préparateur voulait s’introduire dans le DP du patient après son départ ? Si le client s’en rend compte et porte plainte, estimant que l’intrusion est une violation de sa vie privée, « la peine encourue peut aller jusqu’à trois ans de prison pour le préparateur comme pour le pharmacien titulaire », met en garde Patrick Fortuit. « Si quelqu’un entre par effraction dans un DP, il y a d’abord violation du secret médical et atteinte à la vie privée, confirme l’avocat spécialisé au barreau de Paris Pierre Desmarais (voir interview p. 22). Les peines prévues sont très lourdes. De plus, dans la pratique, on peut penser que très certainement le titulaire licencierait le préparateur pour faute ». La curiosité peut donc coûter très cher.

Protection des données en ligne à confirmer

Si pour le DP, le sentier est très balisé, la sécurité est-elle autant garantie pour la vente en ligne de médicaments qui a vocation à se développer ? Une soixantaine d’officines sont aujourd’hui autorisées à la pratiquer. Or, l’arrêté de bonnes pratiques du ministère de la Santé prévoit que « la protection des données de santé à caractère personnel est prise en compte à tous les stades des échanges et le pharmacien doit y être particulièrement attentif ». En conséquence, le même texte officiel indique que « l’hébergement des données ne peut se faire qu’auprès d’hébergeurs agréés par le ministère chargé de la santé ». Une homologation de sites autorisés qui est d’ailleurs toujours en cours (lire encadré p. 20).

Créé il y a deux ans, le site 1001pharmacies.com propose aux officines une plate-forme pour vendre leurs produits de parapharmacie – et à terme également les médicaments de médication familiale –, seuls pour l’heure autorisés à la vente en ligne. Le portail est hébergé par un opérateur unique, Typhon, en cours de procédure d’agrément. « Lors du tunnel d’achat (les différentes pages Web qui s’ouvrent les unes après les autres quand on achète quelque chose en ligne, ndlr), les textes prévoient que le client doit répondre à un certain nombre de questions de la même façon qu’au comptoir de l’officine : traitement en cours, état de grossesse, voire antécédent, âge, poids, explique Cédric O’Neill, président de 1001pharmacies.com. Cette étape nécessite un cryptage des données car il s’agit de données personnelles et c’est pourquoi il faut tout mettre en place pour que rien ne fuite ». Cette société propose de mutualiser le coût de l’hébergement sécurisé car, pour une officine, l’abonnement à un hébergeur agréé représente un coût entre 450 et 1 200 € par mois. Une somme jugée excessive par Laurence Silvestre, pharmacienne dans l’Isère (38), l’une des précurseurs de la vente en ligne de médicaments. « Outre le prix trop élevé par rapport au chiffre d’affaires dégagé par cette activité, l’obligation de recourir à un hébergeur agréé est absurde car ce sont pour la plupart des hébergeurs de grosse taille dont la principale activité est l’hébergement de données dans les hôpitaux. Leurs services ne sont pas du tout adaptés aux besoins d’une officine », explique cette titulaire qui n’a pas hésité à déposer avant l’été un recours devant le Conseil d’État contre l’arrêté de bonnes pratiques. « Ce qui n’est pas normal est que les sites hébergés dans d’autres pays européens, notamment en Belgique, ne sont pas soumis à la même contrainte », explique Laurence Silvestre. Et de voir dans cette obligation « un frein qui a été mis pour empêcher le développement de la vente en ligne ». « Si nous sommes un jour amenés à vendre en ligne des médicaments sur prescription médicale, je reverrai peut-être ma position sur les hébergeurs de santé agréés, ajoute-t-elle. Mais dans les conditions actuelles, je trouve que nous travaillons de manière tout à fait sécurisée » (lire témoignage ci-contre). La réponse du Conseil d’État ne devrait pas intervenir avant plusieurs mois.

Intégrer la culture de la sécurité informatique

Quelles que soient d’éventuelles modifications de réglementation sur la vente en ligne de médicaments, les pharmacies n’ont certainement pas fini d’entendre parler des hébergeurs de données de santé. Lors des discussions sur le Projet de loi de financement de la Sécurité sociale (PLFSS) pour 2014, la ministre de la santé, Marisol Touraine, a indiqué que les pharmacies auront naturellement vocation à rejoindre les nouvelles expérimentations de télémédecine. Qui dit télémédecine, dit télétransmission de données de santé. Quelques expérimentations concernent déjà les officines. C’est par exemple le cas du projet Sympad pour « solution intégrée de monitoring de patients en pharmacie ou à domicile » en phase de test depuis début septembre dans quelques pharmacies. Ce dispositif a pour mission de faire contribuer les pharmacies au suivi des patients chroniques par la mise en place d’un espace de « e-santé » avec la mise à disposition de dispositifs médicaux notamment des tensiomètres, des oxymètres ou même une simple balance. La particularité est que ces dispositifs sont rattachés à une « box », elle-même reliée à une tablette tactile qui transmet les données à une plate-forme. Cela permet si nécessaire de générer automatiquement des alertes en cas d’anomalie et de les transmettre au médecin traitant du patient. « Du point de vue de la sécurité des données de santé, nous avons dû nous conformer à deux impératifs, explique François Lescure, président de la société MedecinDirect qui a lancé ce projet. Le premier est de faire appel à un hébergeur de données de santé agréé, ce qui n’est pas très compliqué car il y en a un grand nombre sur le marché aujourd’hui. Ensuite, nous avons dû répondre à un certain nombre de questions de la Cnil : comment les données de santé sont-elles récupérées, comment sont-elles traitées et exploitées, le consentement du patient est-il bien garanti ? C’est un dossier relativement long et compliqué à remplir, mais probablement nécessaire. Il faut savoir que la France est sans doute le pays le plus sourcilleux au monde sur la confidentialité des données de santé ».

Une culture que devront continuer à s’approprier les pharmacies puisque le dossier pharmaceutique devra notamment un jour intégrer le dossier médical personnel (DMP) qui rassemble l’ensemble des données de santé d’un patient. En outre, une expérimentation vient d’être lancée par le Cnop pour permettre aux médecins hospitaliers d’avoir accès aux DP. Enfin, dans le cadre du développement des coopérations entre les différentes professions de santé, les pouvoirs publics et les ordres professionnels sont en train de terminer un travail sur les « messageries électroniques sécurisées de santé » qui devraient pouvoir se déployer au début de l’année prochaine. Inéluctablement de plus en plus de données de santé vont transiter par les ordinateurs des officines. Les préparateurs en sont aussi un peu les gardiens.

Un hébergeur de données de santé agréé, c’est quoi ?

Les « hébergeurs de données de santé à caractère personnel sur support informatique » agréés sont une petite cinquantaine, mais leur nombre va sans doute croître. « La première période d’agrément a duré trois ans entre fin 2009 et aujourd’hui, explique Jeanne Bossi, secrétaire générale de l’Agence des systèmes d’information partagée en santé (Asip santé), en charge de cette procédure. Depuis début 2013, nous examinons les dossiers de renouvellement. Un hébergeur n’est pas agréé en tant que tel, mais pour un certain type de prestation ». Il peut ainsi être agréé pour héberger le dossier pharmaceutique sans l’être automatiquement pour la vente en ligne de médicaments. De toute manière, aucun hébergeur n’est aujourd’hui agréé pour cette activité. « Cela va prendre un peu de temps pour constituer les dossiers et la procédure elle-même. Ceux qui proposent déjà des activités de vente en ligne doivent déposer un dossier au plus vite pour se mettre en conformité et les nouveaux doivent d’emblée le faire ». Une pharmacie peut-elle s’improviser hébergeur ? « Je ne suis pas sûre qu’elle soit équipée pour le faire, répond Jeanne Bossi. Pour obtenir l’agrément, il faut remplir un dossier qui permet d’apprécier les capacités économiques, techniques et administratives du demandeur pour répondre aux mesures de sécurité et aux modalités du respect des droits des personnes. C’est de fait devenu un métier ». L’Asip enquête pour chaque demande : quelles sont les mesures de sécurité physiques et logiques mises en place ? Comment sont sécurisés les bâtiments qui hébergent les ordinateurs ? Les données sont-elles conservées à plusieurs endroits à la fois ? Qui y a accès ? Comment est vérifiée la qualité de ces personnes ?

Jeanne Bossi, secrétaire générale de l’Agence des systèmes d’information partagée en santé (Asip santé)

Patrick Fortuit, vice-président du CNOP

Dieu soit loué, aucune plainte de patients pour des problèmes de confidentialité des données médicales n’est encore jamais venue jusqu’à nous ni à un tribunal.

Cédric O’Neill, président de 1001pharmacies.com

Les textes prévoient que le client doit répondre à un certain nombre de questions en ligne de la même façon qu’au comptoir de l’officine.

Les données de santé, le trésor de l’Assurance maladie

C’est la plus grande base de données de santé au monde. Une des plus grandes bases de données tout court, après celle du Pentagone, aux États-Unis. Dans un vaste entrepôt situé près d’Evreux (Eure) sont stockées toutes les données de remboursement de l’Assurance maladie de 65 millions de Français. Achats de médicaments, consultations médicales, examens, séjours hospitaliers, etc., tout y est soigneusement archivé et conservé avec des procédures de sécurité dignes de celles d’une centrale nucléaire. C’est l’Assurance maladie qui veille sur ce trésor. Elle ne donne accès à ses informations qu’avec parcimonie et sous la houlette de l’Institut des données de santé. « Les données de santé sont un apport essentiel pour la régulation des dépenses de santé, mais aussi pour la recherche, a rappelé son président Christian Babusiaux, lors d’un récent colloque sur le sujet. Mais il ne faut pas confondre données nominatives des patients et les bases de données anonymisés ». C’est pourquoi un certain nombre d’acteurs du système militent pour une ouverture plus large à cette base. Un collectif regroupant notamment des usagers, des chercheurs, des assureurs et des entrepreneurs – Initiative transparence santé – a publié en janvier dernier un « manifeste » appelant à « libérer les données de santé ». Le Premier ministre a pour sa part souligné son engagement en faveur de « l’open data » en général, c’est-à-dire la mise à disposition des données publiques. Du côté du ministère de la Santé, on traîne un peu des pieds. Marisol Touraine a demandé un rapport à l’Inspection générale des affaires sociales (Igas) qui lui a été rendu en septembre. « Les données de santé ne sont pas des informations comme les autres, leur protection étant notamment assurée par le secret médical, a affirmé la ministre de la Santé. C’est à une ouverture maîtrisée des données de santé qu’appelle le gouvernement ». Les pouvoirs publics veulent éviter à tout prix que des petits génies de l’informatique soient capables, à partir d’une base de données anonymisée, de reconstituer des informations médicales sur des personnes en faisant des recoupements de données. Néanmoins, la base de données de l’Assurance maladie s’ouvre peu à peu. Depuis le mois d’août, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) y a ainsi désormais un accès direct.

expérience

Jessica, préparatrice en pharmacie dans les Alpes, travaille en ligne.

La pharmacie qui l’a embauchée est l’une des pionnières de la vente en ligne de médicaments. Jessica, préparatrice en pharmacie, a été spécialement affectée à la gestion des commandes par Internet, même si elle passe toujours la plus grande partie de son temps de travail au comptoir. « Je récupère les commandes qui ont été passées sur le site Internet tous les matins. J’imprime les bons, puis je prépare les colis à partir de midi, explique la jeune femme. La titulaire vérifie chaque bon de commande, et même chaque colis ». En cas de risque d’interaction entre deux médicaments de la commande, Jessica passe un coup de fil au client et redemande l’aval de la titulaire ensuite. « Le site est tout à fait pratique pour gérer les commandes, estime cette préparatrice. Je ne suis pas du tout inquiète quant à la sécurité des données de santé, je pense que les choses sont bien cadrées ».