POINT DE VUE

Quid de la sécurité des données-santé et du traçage durant le COVID?

Véronique Duqueroy

Auteurs et déclarations

5 mai 2020

Paris, France ― Massivement, et très rapidement, les médecins se sont tournés vers la télémédecine dès le début de l’épidémie de Covid-19. La téléconsultation a ainsi explosé en France, avec 6 fois plus d’utilisations en un mois. Comment, dans ce contexte, s’assurer de la sécurité des données santé ? Les professionnels sont-ils bien préparés, les patients bien informés ? Quid des applications de traçage ? Interview du Dr Nicole Janin, ancien médecin hospitalier, conseillère médicale à l’Agence du numérique en santé.

Medscape : Pouvez-vous rappeler le rôle de l’Agence du numérique en santé (ANS) dans le contexte actuel?

Nicole Janin : L’ANS n'est pas un organisme de contrôle. Notre action essentielle en termes de sécurité et de protection des données de santé est de produire des référentiels, des produits, voire des normes. Le ministère peut décider de contraindre ces normes par la loi – par exemple, lors de la mise en œuvre du Dossier Médical Partagé (DMP), la loi a entériné l’usage de la carte professionnelle de santé pour y accéder. Le secteur industriel s’empare de ces recommandations, comme la PGSSIS (Politique générale de sécurité des systèmes d’information) et le CISIS (Cadre d’interopérabilité des systèmes d’information) : les appliquer représente un avantage concurrentiel vis-à-vis des utilisateurs ; en effet, dans le cadre de la protection des données de santé, le professionnel qui utilise un outil numérique, quel qu’il soit, garde la responsabilité de cette protection. C’est-à-dire qu’il se doit d’utiliser, voire d’acquérir, un dispositif qui garantit la protection des données, donc conformes aux référentiels de l’ANS.

Comment s’assurer de la sécurité lors du stockage des données santé?

Nicole Janin : Lorsque les données sont stockées dans une application, celui qui gère cette application, doit garantir qu’elle est conforme aux référentiels de sécurité. L’utilisateur, quant à lui, doit s’en assurer : HDS, RGPD, PGSSIS, contrôle d’accès et traçabilité.

La traçabilité dans un système d’information est une condition obligatoire, permettant l’auditabilité du système. Celà veut dire que toute personne qui va accéder aux données contenues dans le système doit être tracée par le système, de façon à connaître son nom, son prénom, etc. ― d’où l’intérêt de la carte de professionnel de santé ― et également l’heure et le jour auxquels elle a accédé à ces données. Pourquoi c’est la meilleure sécurité ? Parce que la loi précise – dans le cas du RGPD (règlement général sur la protection des données) – que toute personne qui accède de manière frauduleuse aux données de santé (c.-à-d. qui n’a aucune raison légitime d’accéder à ces données) est passible d’une amende et d’un an d’emprisonnement. Il y a donc une vraie responsabilisation.

Précédemment, la protection des données relevait de la Loi informatique et libertés de 1978 qui avait été remodelée et réaffirmée, maintenant c’est le RGPD qui couvre ce champ. Tous les industriels du secteur qui proposent des applications ou des outils, respectent tous le RGPD. Encore une fois, aux professionnels de santé de choisir les outils conformes.

Dans le contexte épidémique actuel, alors que les médecins se sont massivement tournés vers la téléconsultation, la sécurité des données est-elle assurée?

Nicole Janin – Oui, on peut l’affirmer. Tout d’abord les professionnels de santé, médecins, infirmiers et les autres professionnels paramédicaux sont respectueux du secret professionnel qu’ils doivent à leurs patients et à leurs données de santé. Parce que c’est ce qui fait l’éthique, la déontologie, la noblesse de leur profession.

L’ANS a défini un espace dit de confiance qui garantit la sécurité pour les messageries sécurisées. Aujourd’hui, de très nombreux opérateurs de messageries sécurisées viennent se faire « homologuer » auprès de l’ANS pour intégrer l’espace de confiance ; l’usage d’une messagerie sécurisée garantit parfaitement la sécurité des données de santé lors des échanges entre des professionnels de santé.

Le médecin peut-il utiliser la messagerie sécurisée pour contacter le patient?

Nicole Janin – Non. Pour l’instant, la messagerie sécurisée de santé ne s’utilise qu’entre professionnels de santé. Cela a été le choix au départ. Dans le cadre de Ma santé 2022, il est prévu que les patients disposent d’un espace sécurisé pour échanger avec les professionnels de santé. C’est l’espace numérique de santé  indiqué dans la feuille de route du numérique qui est en cours de définition

Les solutions de téléconsultation, qui sont actuellement proposées aux professionnels de santé, permettent un échange sécurisé entre le médecin et le patient. Il y a une liste de solutions de télémédecine que le ministère a produit avec leurs notes en termes de sécurité. J’ai moi-même utilisé il y a trois semaines une de [ces plateformes] puisque j’ai fait une infection COVID ; j’ai été suivie en téléconsultation, c’était une première pour moi – je suis partie de la théorie à la pratique et ça marche très bien. La solution proposée par le médecin m’a permis d’échanger des documents de manière sécurisée (ordonnance, arrête de travail) et de régler ma consultation.

Il n’est donc pas nécessaire de rappeler aux médecins de ne pas utiliser de messagerie directe avec le patient… Pensez-vous que ce soit suffisamment clair?

Nicole Janin – Soyons pragmatique, on peut le rappeler, mais ils le savent, ils savent aussi qu’aujourd’hui, il n’y a pas ce type de solution sécurisée à leur proposer.

Chaque jour, au moins quatre hôpitaux en France subissent des attaques de piratage . Cela a-t-il augmenté pendant le COVID? Comment évaluez-vous le risque de piratage actuellement?

Nicole Janin – Le risque est élevé, il est toujours là. Le code de la santé publique rend obligatoire pour les établissements de santé la déclaration des incidents graves de sécurité (Art. L.1111-8-2). Afin d’améliorer le niveau de sécurité numérique du secteur santé, le ministère des solidarités et de la santé a mis en place le 1er octobre 2017 un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des structures de santé. Ce dispositif comprend un portail de déclaration des incidents et une cellule d’accompagnement des établissements (ACSS).  Le FSSI des ministères sociaux est chargé d’assurer le pilotage de ce dispositif. Dans la mesure où on a eu des exemples – comme aux États-Unis ― le risque est toujours possible.

Peut-on dire que les  bénéfices dépassent probablement les risques, en particulier durant cette crise?

Nicole Janin – En analyse de risque, oui. Dans le cadre de l’épidémie COVID, imaginez que les patients soient obligés de rester confinés chez eux et ne puissent pas être suivis, au moins à distance, par un médecin, ne serait-ce que pour décider du moment où il faut aller à l’hôpital. Ce serait de la folie. Imaginez que tous les patients qui se mettent à tousser se ruent aux urgences – et on a vu d’ailleurs ce que ça donne : un débordement des capacités d’accueil des hôpitaux.

Nous avons, fait fin 2019, une grande étude sur la télémédecine qui montre que les professionnels de santé et le grand public avaient bien compris l’intérêt de la téléconsultation. Ils ont fait d’eux-mêmes une analyse bénéfice-risque et ont vu que pour les patients qui étaient difficiles à déplacer, qui n’avaient pas de médecin, ou pour les plus âgés qui étaient très à distance, etc., la téléconsultation pourrait être intéressante. C’était avant l’épidémie de COVID-19, donc on n’a pas testé cette question, mais je suis persuadée que, maintenant, l’essor de la téléconsultation – on a dépassé le million de téléconsultations – est dû au fait que les gens l’utilisent parce que c’est pratique. On peut dire que l’épidémie a été un accélérateur des pratiques.

Lors d’une   enquête Medscape auprès de 1000 médecins sur l’utilisation de la télémédecine, les réfractaires craignaient que cela impacte négativement la relation médecin-patient.  Qu’en pensez-vous?

Nicole Janin – Je pense que cela représente une minorité de médecins, on trouve des réfractaires sur tous les sujets… Mais de toute façon, la téléconsultation n’est pas là pour se substituer à la consultation médicale habituelle. C’est vraiment une modalité particulière, pour les cas où il n’y a pas de médecin ou si celui-ci est trop éloigné du patient, ou lorsque le patient ne peut pas ou ne doit pas se déplacer au cabinet etc. On n’est pas en train de dire que la téléconsultation va remplacer la consultation au cabinet médical, mais que c’est une facilité quand on ne peut pas, justement, avoir ce contact physique qui est irremplaçable, comme c’est le cas aujourd’hui, dans le contexte épidémique… Heureusement que l’épidémie COVID-19 n’est pas arrivée il y a deux ans, parce qu’alors personne n’avait de solution de téléconsultation digne de ce nom. On a eu, en quelque sorte, de la chance.

Comment vous assurez-vous du consentement des patients pour le partage numérique de leurs données santé?

Nicole Janin – Toutes les études pratiquées montrent que les patients ont, a priori, confiance en leur médecin ainsi que dans les hôpitaux. Globalement, les patients sont confiants et ils sont persuadés que jamais leur médecin ne les trahira en allant divulguer des choses les concernant. Et indépendamment des systèmes d’information, quand un médecin généraliste dit à son patient « j’écris au Dr X, cardiologue, et vous irez le voir pour avoir son avis », c’est exactement la même chose. Aujourd'hui, il va écrire en messagerie sécurisée, et le patient va prendre rendez-vous avec le cardiologue, il est donc d’accord pour y aller. Donc oui, le patient a conscience qu’il est en sécurité avec son équipe de soins… Mais cette confiance n’annule pas la nécessité de disposer de solutions sécurisées.

Que pensez-vous du projet de l’application StopCovid qui pourraient être mis en place pour le traçage des patients positifs?

Nicole Janin – Ce qui est intéressant, c’est de pouvoir demander à quelqu’un qui vient d’être dépisté positif, de reconstituer la liste des personnes qu’il a croisées et d’avertir ces personnes qu’elles ont possiblement été en contact avec quelqu’un qui était positif au COVID. En pratique, c’est ce que font les médecins lors d’un diagnostic et c’est ce que feront « les brigades sanitaires » prévues dans le plan de déconfinement. Donc StopCovid, je ne sais pas exactement par quel biais l’application prend le sujet, mais c’est un sujet qui est assez explosif d’un point de vue politique. Si on se sort de l’aspect politique et qu’on se place sur un plan strictement épidémiologique, ce « traçage » ne fait que décrire ce qu’un épidémiologiste fait quand il a affaire à une épidémie et qu’il enquête. C’est-à-dire que devant un cas, il cherche tous les cas contact pour leur proposer une prévention.

Aujourd’hui, on n’a pas encore en suffisance tous les outils de prévention nécessaires, que ce soit les masques, surblouses, gants ou les possibilités de tests RT-PCR et sérodiagnostics. Il est certain que tracer les cas-contacts ne suffit pas, il faut ensuite avoir les moyens de traiter ces cas-contacts tant sur le plan diagnostique que préventif.

Les médias et les réseaux parlent abondamment de cette application StopCovid sans explication, sans mise en perspective sur la finalité, le bénéfice attendu et avec des mots comme « tracing », « pistage » « repérage », qui peuvent affoler la population. Ce battage médiatique n’est pas propre à installer la confiance. Pour installer la confiance, il faut expliquer, montrer aux gens la notion de bénéfice-risque. Parce qu’effectivement, on est prêt à accepter un certain nombre de contraintes à condition que cela nous soit utile.

Quid de ce qui se fait à l’étranger ? En Asie ou en Europe? Y a-t-il des exemples à suivre… ou ne pas suivre?

Nicole Janin – Pour l’instant nous n’avons pas beaucoup d’info. Ce qui se passe en Chine, avec les systèmes mis en place, va plus loin que tracer les sujets contacts, il y a de la reconnaissance faciale partout etc. La Chine n’est pas un pays démocratique – ce n’est pas une révolution de le dire – donc il ne faut pas comparer ou aller voir ce qui se fait en Chine.

Les Allemands sont au même stade que nous et disent « ces outils sont intéressants ». Ils réfléchissent jusqu’où ne pas aller trop loin avec la population. Mais là encore, l’Allemagne n’a pas tout à fait la même situation que nous, ils ont des capacités de faire des tests sérologiques que nous n’avons pas en France. Ils sont moins en retard que nous, ils n’ont jamais eu de problème de masques, etc. Depuis le début de la crise, on voit bien comment le pouvoir politique avance, avec une grande prudence, et concertation non seulement politique, mais également scientifique.

Quels sont, pour vous, les grands défis de cette épidémie, et notament en télémédecine?

Nicole Janin – Concernant la téléconsultation, je pense que c’est assez stable. Il n’y a pas de défi. Le défi, par rapport à l’épidémie, pour l’instant, c’est toujours la même chose : avoir suffisamment de mesures de prévention, c’est-à-dire des tests diagnostiques, RT-PCR, sérologies, masques, gants. Surtout si on déconfine, il faut que les gens puissent se protéger quand ils prennent les transports en commun. Le défi, c’est par exemple que la SNCF et la RATP puissent protéger le respect de la distanciation sociale, que les gens, en général, soient bien informés pour respecter les consignes.

Les solutions de téléconsultation, elles, fonctionnent très bien. Et heureusement qu’on les a.

Pour moi, le grand enjeu national est de déconfiner les personnes âgées en EHPAD ou isolées chez elles et qui risquent de se laisser mourir de faim parce qu’elles ne voient plus leur fils, leur fille, leurs petits-enfants.... C’est vraiment l’urgence.

Pourquoi n’y a-t-il pas d’outils numériques, comme des tablettes, installées dans toutes les chambres d’EHPAD?

Nicole Janin – Certains EHPAD le font et proposent à leurs résidents de converser par Skype avec leur famille, voire de se parler au téléphone à travers une vitre. Mais ces actions restent minoritaires et relèvent surtout d’initiatives individuelles.

Les institutions (décideurs et médias), peut-être tétanisées par cette pandémie qu’elles n’avaient pas anticipée, appliquent avec force le principe de précaution et cherchent des responsables. Or l’intérêt n’est pas de dire « c’est de la faute d’untel », mais plutôt « que peut-on faire maintenant pour améliorer la situation ? ». Les professionnels de santé (soignants et chercheurs) et les professions "dites invisibles" nous montrent leur sens des responsabilités, d'engagement et d'empathie. Les institutions et la population française doivent maintenant suivre cet exemple. Je pense que c'est possible.

 

Commenter

3090D553-9492-4563-8681-AD288FA52ACE
Les commentaires peuvent être sujets à modération. Veuillez consulter les Conditions d'utilisation du forum.

Traitement....