• Home  / 
  • DELIBERATION 2006-080

DELIBERATION 2006-080

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis le 6 mars 2006 par le ministre de la santé du dossier de demande d'agrément de la société France Telecom, candidate à l'hébergement du dossier médical personnel dans le cadre de son expérimentation,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;

Vu l'article L. 1111-8 du code de la santé publique ;

Vu l'article L. 1110-4 du code de la santé publique ;

Vu l'article L. 161-36-1 du code de la sécurité sociale ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu le décret n° 2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel ;

Après avoir entendu M. Jean-Pierre de Longevialle, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

La Commission nationale de l'informatique et des libertés est saisie pour avis par le ministre de la santé, conformément aux dispositions de l'article R. 1111-10 du code de la santé publique, de la demande d'agrément présentée par la société France Telecom, candidate à l'hébergement du dossier médical personnel dans le cadre de son expérimentation pour la région Paris Est, Languedoc-Roussillon et Nord-Pas de Calais.

L'article L. 161-36-I du code de la sécurité sociale dispose en effet que le dossier médical personnel est créé auprès d'un hébergeur de données à caractère personnel agréé dans les conditions prévues à l'article L. 1111-8 du code de la santé publique.

La société France Telecom a été retenue à l'issue d'un appel d'offres lancé en juillet 2005 par le Groupement d'intérêt public de préfiguration du dossier médical personnel (GIP-DMP) pour la phase de préfiguration du dossier médical personnel, qui a pour objet d'expérimenter les options techniques, l'adéquation fonctionnelle, les hypothèses d'organisation et d'accompagnement ainsi que les usages, de façon à contribuer au mieux à l'objectif de la loi qui est "de favoriser la coordination, la qualité et la continuité des soins".

La Commission doit, conformément aux dispositions de l'article R. 1111-10 du code de la santé publique se prononcer sur "... les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel et de sécurité de ces données".

Elle relève que le ministère de la santé a décidé de lancer l'expérimentation du dossier médical personnel dès le 10 avril 2006 ; qu'ayant été saisie le 6 mars 2006, la Commission ne peut fonder son avis que sur les seuls éléments du dossier mis à sa disposition ; qu'en conséquence, le présent avis ne peut valoir que pour la phase d'expérimentation du dispositif.

Elle estime en outre devoir être saisie des évaluations réalisées au cours de l'expérimentation et à son terme.

Emet dans ces conditions l'avis suivant :

1 - Sur les garanties présentées par le candidat à l'agrément en matière de protection des personnes à l'égard des traitements de données de santé à caractère personnel

1-1 Les modalités de recueil du consentement du patient

La société France Telecom propose aux patients suivis dans les établissements de santé et par les professionnels de santé volontaires des sites pilotes, dans le cadre d'un contrat, l'ouverture d'un dossier médical personnel composé d'un volet de données générales, d'un volet de soins, d'un volet prévention et d'un volet images.

Le patient, après avoir obtenu auprès du GIP-DMP un numéro identifiant santé (NIS) se voit attribuer une adresse qualité santé (AQS) composée de son NIS et d'une lettre identifiant la société France Telecom qui lui permettra de s'identifier auprès de la société, en particulier lors des accès à son dossier médical personnel.

Lors de la formalisation de son adhésion au dispositif proposé par la signature d'un document décrivant notamment les conditions d'accès au dossier médical personnel, le patient devra indiquer l'identité des professionnels de santé à qui il souhaite donner des droits d'accès à son DMP. L'étendue des droits ainsi reconnus aux professionnels de santé sera paramétrable par le patient seul tout au long de l'expérimentation.

La Commission estime que ces modalités sont satisfaisantes.

1-2 L'authentification du patient et les accès aux données contenues dans le dossier médical personnel

Le patient pourra accéder à son DMP par accès direct via Internet en utilisant son adresse qualité santé (AQS) et un login/mot de passe associé à des questions-défi.

Le patient pourra également formuler par téléphone auprès du centre de services de son hébergeur une demande d'accès à son DMP. Pour des raisons de confidentialité et de sécurité, aucune demande d'accès ou de rectification ne pourra être effectuée par courrier électronique.

La Commission considère que la solution de la société France Telecom, fondée sur un mot de passe, associé à des questions-défi constitue une solution, en l'état, acceptable. Toutefois, compte tenu du développement des dispositifs de sécurité fondés sur des certificats logiciels, la Commission estime que le recours à de tels dispositifs devra être effectif pour le déploiement du dossier médical personnel.

1-3 L'authentification du professionnel de santé

La procédure normale d'authentification passe par l'usage de la carte de professionnel de santé (CPS). Les professionnels de santé devront également utiliser l'adresse AQS de leur patient ou procéder à une recherche multi-critères. Les conditions d'accès du professionnel de santé sont déterminées par les autorisations accordées par le patient, en particulier concernant l'accès possible à certaines données masquées par le patient.

La procédure d'authentification des professionnels de santé exerçant au sein d'un établissement de santé doit être appréciée au regard notamment des dispositions de l'alinéa 3 de l'article L. 1110-4 du code de la santé publique issues de la loi du 4 mars 2002 sur les droits des malades qui précisent que lorsque la personne est prise en charge par une équipe de soins dans un établissement de santé, les informations la concernant sont réputées confiées par le malade à l'ensemble de l'équipe de soins.

L'établissement doit donc disposer vis à vis de l'hébergeur d'un certificat électronique (appelé certificat d'établissement) qui authentifie les échanges entre les professionnels de santé de l'établissement et l'hébergeur.

Toutefois, la signature électronique ne désigne formellement que l'établissement, l'authentification "interne" des professionnels de santé au sein de l'établissement n'étant pas actée par un véritable certificat. Il en résulte une difficulté pour identifier le professionnel de santé à l'origine de l'accès au dossier. En outre, le dossier présenté par la société France Telecom ne prenant pas en compte la notion d'équipes de soins, c'est l'ensemble des professionnels de santé de l'établissement qui semble pouvoir accéder au DMP d'un patient.

La Commission estime sur ce point, qu'il est de la responsabilité des hébergeurs de garantir la confidentialité des données qu'ils seront amenés à conserver à la demande du patient ; qu'à cet égard, ils doivent mettre en oeuvre toutes les dispositions nécessaires pour s'assurer que les professionnels de santé qui consulteront le dossier médical personnel auront été préalablement identifiés et habilités à avoir accès au dossier médical ; que seuls les membres de l'équipe soignante participant de façon effective et régulière aux soins pourront avoir accès à tout ou partie du dossier médical personnel.

La Commission rappelle également qu'aux termes du e) du 2° de l'article R. 1111-14 du décret du 4 janvier 2006 précité, le candidat à l'hébergement doit décrire les procédés techniques retenus en matière d'identification et d'authentification ; qu'en ce qui concerne les professionnels de santé, ces procédés techniques doivent avoir été agréés par le groupement d'intérêt public mentionné à l'article R. 161-54 du code de la sécurité sociale.

La société France Telecom prévoit que le professionnel de santé soit d'abord authentifié par l'établissement avant de pouvoir accéder à l'hébergeur ; elle prévoit ainsi que l'établissement de santé mette en oeuvre un serveur d'identité gérant tous les professionnels de santé et contenant le certificat électronique propre à l'établissement.

La Commission considère ainsi que chaque professionnel de santé exerçant au sein d'un établissement de santé participant à l'expérimentation devra impérativement être doté avant le début de l'expérimentation d'une carte de professionnel de santé attribuée par le GIP-CPS, autorité de certification gérant un annuaire des professionnels de santé avant le début de l'expérimentation. La mise en oeuvre du certificat électronique attachée à la CPS et permettant de garantir l'identification devra être effective dans un délai de deux mois à compter du début de l'expérimentation.

A cet effet, la charte d'information communiquée aux professionnels de santé devrait être complétée de conditions particulières sur ce point.

1-4 Le droit de masquage, les données sensibles et l'accès en urgence

Le patient a la possibilité de masquer certaines données de son DMP à certains professionnels de santé. Il pourra le faire soit directement par internet, soit en s'adressant au centre de service de la société France Telecom par courrier ou par téléphone sous la supervision du médecin hébergeur. Ce droit de masquage ne s'appliquera pas à l'auteur du document.

Des informations considérées comme sensibles par le professionnel de santé peuvent toutefois n'être accessibles au titulaire du dossier qu'à partir de la date à laquelle le médecin les lui aura révélées.

La société France Telecom prévoit également qu'en cas d'urgence vitale pour le titulaire du dossier médical personnel, le professionnel de santé pourra accéder au contenu du dossier alors même qu'il n'y aurait pas été préalablement autorisé par le patient (mode "bris de glace").

La Commission demande que de tels accès soient tracés.

2- Sur les mesures de sécurité proposées par la société France Telecom

Au regard des dispositions du 2° de l'article R. 1111-9 du code de la santé publique issues du décret du 4 janvier 2006 précité, le candidat à l'hébergement doit définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d'agrément dans les conditions fixées par l'article R. 1111-14.

La Commission prend acte du fait que le personnel de l'hébergeur n'aura lui-même pas accès au dossier médical personnel, à l'exception dans certains cas bien définis du médecin hébergeur, et ne pourra consulter que le journal des traces des accès et des traitements et de la gestion des autorisations d'accès.

2-1 Le chiffrement des données

La Commission constate que la société France Telecom propose le chiffrement des canaux de communication assurant les échanges et non pas de la base de données elle-même, ce qui ce qui n'assure pas de façon satisfaisante la confidentialité des données à l'égard des accès extérieurs et crée une plus grande vulnérabilité en cas d'intrusion extérieure.

La Commission juge cette solution insatisfaisante et estime nécessaire que soit mis en place un chiffrement complet de la base de données de l'hébergeur.

2-2 La sécurité des accès chez l'hébergeur

Les administrateurs techniques n'ont pas accès au contenu des dossiers patients et des procédés de contrôle par profils d'habilitation, gestion des mots de passe et traçabilité des actions sont mis en place.

La Commission constate que la société France Telecom propose que l'accès au système informatique central par les personnels techniques soit effectué par un système d'identifiant et mot de passe.

La Commission considère que le recours à une carte à puce individuelle incorporant un certificat est de nature à garantir la sécurité des accès aux données et qu'en conséquence une telle solution devrait être retenue pour les administrateurs techniques et le personnel du centre d'appel.

2-3 L'accès du médecin hébergeur

L'article R. 1111-9,6° du code de la santé publique prévoit la présence d'un médecin chez l'hébergeur.

Il gère les vérifications de cohérence en cas de soupçon de collision, dans un même dossier médical personnel, entre les données de plusieurs patients. Si ce soupçon existe, quelle qu'en soit l'origine, c'est le médecin de l'hébergeur qui retourne les documents en cause aux professionnels de santé qui en sont à l'origine, afin qu'ils en vérifient la cohérence. En cas de collision avérée, le contenu du dossier devra être rectifié par le ou les auteurs des documents.

A cette occasion, le médecin de l'hébergeur a accès aux données du dossier médical. Il s'agit d'un accès exceptionnel, motivé et tracé, justifié par les dangers qu'une collision peut faire courir au patient. Ce cas est prévu dans le contrat entre la société France Telecom et les patients, afin de recueillir leur accord par avance.

Le président, Alex TURK.

Guy ROSIER Vice-Président Délégué

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: