• Home  / 
  • DELIBERATION 2006-079

DELIBERATION 2006-079

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis le 6 mars 2006 par le ministre de la santé du dossier de demande d'agrément de la société D3P, candidate à l'hébergement du dossier médical personnel dans le cadre de son expérimentation,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;

Vu l'article L. 1111-8 du code de la santé publique ;

Vu l'article L. 1110-4 du code de la santé publique;

Vu l'article L. 161-36-I du code de la sécurité sociale ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel ;

Après avoir entendu M. Jean-Pierre de Longevialle, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

La Commission nationale de l'informatique et des libertés est saisie pour avis par le ministre de la santé, conformément aux dispositions de l'article R. 1111-10 du code de la santé publique, de la demande d'agrément présentée par la société D3P, candidate à l'hébergement du dossier médical personnel dans le cadre de son expérimentation pour la région Rhône-Alpes à Annecy et Lyon.

L'article L. 161-36-I du code de la sécurité sociale dispose en effet que le dossier médical personnel est créé auprès d'un hébergeur de données à caractère personnel agréé dans les conditions prévues à l'article L. 1111-8 du code de la santé publique.

La société D3P a été retenue à l'issue d'un appel d'offres lancé en juillet 2005 par le Groupement d'intérêt public de préfiguration du dossier médical personnel (GIP-DMP) pour la phase de préfiguration du dossier médical personnel, qui a pour objet d'expérimenter les options techniques, l'adéquation fonctionnelle, les hypothèses d'organisation et d'accompagnement ainsi que les usages, de façon à contribuer au mieux à l'objectif de la loi qui est "de favoriser la coordination, la qualité et la continuité des soins".

La Commission doit, conformément aux dispositions de l'article R. 1111-10 du code de la santé publique se prononcer sur "... les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel et de sécurité de ces données".

Elle relève que le ministère de la santé a décidé de lancer l'expérimentation du dossier médical personnel dès le 10 avril 2006 ; qu'ayant été saisie le 6 mars 2006, la Commission ne peut fonder son avis que sur les seuls éléments du dossier mis à sa disposition ; qu'en conséquence le présent avis ne peut valoir que pour la phase d'expérimentation du dispositif.

Elle estime en outre devoir être saisie des évaluations réalisées au cours de l'expérimentation et à son terme.

Emet dans ces conditions l'avis suivant :

1 - Sur les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel

1-1 Les modalités de recueil du consentement du patient

La société D3P propose aux patients suivis dans les établissements de santé et par les professionnels de santé volontaires des sites pilotes, dans le cadre d'un contrat, l'ouverture d'un dossier médical personnel composé d'un volet de données générales, d'un volet de soins, d'un volet prévention et d'un volet images.

Le patient, après avoir obtenu auprès du GIP-DMP un numéro identifiant santé (NIS) se voit attribuer une adresse qualité santé (AQS) composée de son NIS et d'une lettre identifiant la société D3P qui lui permettra de s'identifier auprès de la société, en particulier lors des accès à son dossier médical personnel.

Lors de la formalisation de son adhésion au dispositif proposé par la signature d'un document décrivant notamment les conditions d'accès au dossier médical personnel, le patient devra indiquer l'identité des professionnels de santé à qui il souhaite donner des droits d'accès à son DMP. L'étendue des droits ainsi reconnus aux professionnels de santé sera paramétrable par le patient seul tout au long de l'expérimentation. La société D3P propose en particulier au patient l'accès à un journal d'événements récapitulant les accès à son dossier médical personnel et répertoriant notamment la date et la durée ainsi que l'auteur et le type des documents contenus au sein de son dossier.

La Commission estime que ces modalités sont satisfaisantes.

1-2 L'authentification du patient et les accès aux données contenues dans le dossier médical personnel

Le patient pourra accéder à son DMP par accès direct via Internet en utilisant son adresse qualité santé (AQS) et un mot de passe qui lui aura été attribué par la société D3P lors de son inscription chez l'hébergeur et qu'il utilisera ensuite pour obtenir un certificat électronique associé à des questions-défi. Il peut renouveler cette demande de certificat autant de fois qu'il le veut, les certificats étant stockés par exemple sur des ordinateurs différents.

Ce certificat logiciel servira au patient pour s'authentifier lors des demandes d'accès à l'hébergeur.

Le patient pourra également formuler par téléphone auprès du centre de services de son hébergeur une demande d'accès à son DMP. Pour des raisons de confidentialité et de sécurité, aucune demande d'accès ou de rectification ne pourra être effectuée par courrier électronique.

La Commission constate que la solution de la société D3P permet d'assurer de façon satisfaisante l'authentification du patient.

1-3 L'authentification du professionnel de santé

La procédure normale d'authentification passe par l'usage de la carte de professionnel de santé (CPS). Les professionnels de santé devront également utiliser l'adresse AQS de leur patient ou procéder à une recherche multi-critères. Les conditions d'accès du professionnel de santé sont déterminées par les autorisations accordées par le patient, en particulier concernant l'accès possible à certaines données masquées par le patient.

La procédure d'authentification des professionnels de santé exerçant au sein d'un établissement de santé doit être appréciée au regard, notamment, des dispositions de l'alinéa 3 de l'article L. 1110-4 du code de la santé publique issues de la loi du 4 mars 2002 sur les droits des malades qui précisent que lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l'ensemble de l'équipe de soins.

La Commission constate que le dossier proposé par la société D3P prend en compte la notion d'équipe de soins puisqu'elle reconnaît les mêmes droits d'accès à un dossier médical personnel aux membres d'une même équipe.

La Commission estime sur ce point, qu'il est de la responsabilité des hébergeurs de garantir la confidentialité des données qu'ils seront amenés à conserver à la demande du patient ; qu'à cet égard, ils doivent mettre en oeuvre toutes les dispositions nécessaires pour s'assurer que les professionnels de santé qui consulteront le dossier médical personnel auront été préalablement identifiés et habilités à avoir accès au dossier médical ; que seuls les membres de l'équipe soignante participant de façon effective et régulière aux soins pourront avoir accès à tout ou partie du dossier médical personnel.

La Commission rappelle également qu'aux termes du e) du 2° de l'article R. 1111-14 du décret du 4 janvier 2006 précité, le candidat à l'hébergement doit décrire les procédés techniques retenus en matière d'identification et d'authentification ; qu'en ce qui concerne les professionnels de santé, ces procédés techniques doivent avoir été agréés par le groupement d'intérêt public mentionné à l'article R. 161-54 du code de la sécurité sociale, le groupement d'intérêt public de la carte de professionnel de santé.

La société D3P propose la mise en place, en son sein, d'une plate-forme de certification PKI permettant de certifier et d'authentifier tous les acteurs professionnels qui ne le sont pas par le GIP-CPS.

Elle désignera au sein de chaque établissement un correspondant disposant d'une carte de professionnel d'établissement, qui contiendra l'identifiant de l'établissement, chargé de gérer la délivrance des certificats D3P aux personnels de l'établissement et de constituer les équipes.

Chaque professionnel de santé et membre du personnel soignant de l'établissement s'il est affecté à une équipe disposera donc d'un certificat personnel qu'il utilisera pour s'authentifier et signer quand il interviendra selon ses habilitations sur le DMP et sous la responsabilité du médecin chef de service.

La Commission estime ce mode d'authentification satisfaisant.

1-4 Le droit de masquage, les données sensibles et l'accès en urgence

Le patient a la possibilité de masquer certaines données de son DMP à certains professionnels de santé. Il pourra le faire soit directement par internet, soit en s'adressant au centre de service de la société D3P par courrier ou par téléphone sous la supervision du médecin hébergeur. Ce droit de masquage ne s'appliquera pas à l'auteur du document. La suppression d'un document est possible mais une mention apparaît pour indiquer sa suppression.

Des informations considérées comme sensibles par le professionnel de santé ne seront accessibles au titulaire du dossier qu'à partir de la date à laquelle le médecin les lui aura révélées.

La société D3P prévoit que tout professionnel de santé pourra demander un accès en urgence (mode "bris de glace") au dossier médical personnel. Le patient pourra toutefois interdire la mise en oeuvre de cette procédure sur son dossier, la valeur par défaut lors de la création du dossier DMP étant d'autoriser cette procédure.

La Commission prend acte que les accès seront tracés dans le journal d'accès du patient.

2- Sur les mesures de sécurité proposées par la société D3P

Au regard des dispositions du 2° de l'article R. 1111-9 du code de la santé publique issues du décret du 4 janvier 2006 précité, le candidat à l'hébergement doit définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d'agrément dans les conditions fixées par l'article R. 1111-14.

La Commission prend acte du fait que le personnel de l'hébergeur n'aura lui-même pas accès au dossier médical personnel, à l'exception, dans certains cas bien définis, du médecin hébergeur, et ne pourra consulter que le journal des traces des accès et des traitements et de la gestion des autorisations d'accès.

2-1 Le chiffrement des données

La Commission constate que la société D3P propose un usage systématique du chiffrement. En effet, le chiffrement est prévu pour la base de données de l'hébergeur, les échanges de données et le journal des traces et est effectué avec l'aide de boîtiers de chiffrement mettant en oeuvre l'algorithme le plus fort actuellement connu. Lors d'une consultation, il y a un décryptage "à la volée".

La Commission juge cette solution satisfaisante.

2-2 La sécurité des accès chez l'hébergeur

Les administrateurs techniques n'ont pas accès au contenu des dossiers patients et des procédés de contrôle par profils d'habilitation, gestion des mots de passe et traçabilité des actions sont mis en place.

La Commission constate que la société D3P propose que l'accès au système informatique central par les personnels techniques soit contrôlé par une carte à puce individuelle incorporant un certificat.

La Commission considère que le recours à une carte à puce individuelle incorporant un certificat est de nature à garantir la sécurité des accès aux données et qu'en conséquence une telle solution devrait être retenue pour le personnel du centre d'appel.

2-3 L'accès du médecin hébergeur

L'article R. 1111-9,6° du code de la santé publique prévoit la présence d'un médecin chez l'hébergeur.

Il gère les vérifications de cohérence en cas de soupçon de collision, dans un même dossier médical personnel, entre les données de plusieurs patients. Si ce soupçon existe, quelle qu'en soit l'origine, c'est le médecin de l'hébergeur qui retourne les documents en cause aux professionnels de santé qui en sont à l'origine, afin qu'ils en vérifient la cohérence. En cas de collision avérée, le contenu du dossier devra être rectifié par le ou les auteurs des documents.

A cette occasion, le médecin de l'hébergeur a accès aux données du dossier médical. Il s'agit d'un accès exceptionnel, motivé et tracé, justifié par les dangers qu'une collision peut faire courir au patient. Ce cas est prévu dans le contrat entre la société D3P et les patients, afin de recueillir leur accord par avance.

Le président, Alex TURK.

Guy ROSIER Vice-Président Délégué

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: