• Home  / 
  • DELIBERATION 2007-369

DELIBERATION 2007-369

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n°1222387)
La Commission nationale de l’informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment ses articles 8-IV et 25-I-1°;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;

Sur le rapport de M. Jean-Pierre de LONGEVIALLE, commissaire et les observations de Mme Pascale COMPAGNIE, commissaire du gouvernement ;

Formule les observations suivantes :
L’assistance Publique-hôpitaux de Paris (AP-HP) a saisi la Commission nationale de l’informatique et des libertés le 13 juin 2007 d’un dossier de formalités préalables relatif à la mise en œuvre, dans chacun de ses trente-sept hôpitaux, d’un traitement automatisé de données à caractère personnel dénommé « OSIRIS » (Organisation du Système d’Information des Risques).
« OSIRIS » est un traitement d’aide à une gestion globale des risques ayant pour finalités d’améliorer la qualité de la prise en charge hospitalière et de renforcer la sécurité à l’hôpital.
A cette fin, « OSIRIS » permet le signalement et le suivi d’événements indésirables de toute nature survenant dans les hôpitaux de l’AP-HP, ainsi que la constitution d’une base de données anonymisées destinée à l’élaboration de statistiques relatives aux risques.
La base de données propre à chaque hôpital sera hébergée sur un même serveur, situé dans une salle à accès limité et sécurisé de la Direction du Système d’information de l’AP-HP. Les accès depuis chaque hôpital seront assurés grâce à un réseau privé et sécurisé de l’AP-HP.
La Commission constate que :
- le traitement « OSIRIS » comporte le recueil de données sensibles relatives à la santé de patients identifiés ou susceptibles de l’être ;
- la mise en place d’une gestion globale des risques répond à un objectif assigné aux établissements de soins par les pouvoirs publics et les autorités sanitaires et constitue l’une des conditions de l’accréditation des établissements de soins.
La Commission estime qu’il relève donc du régime de l’autorisation, prévu à l’article 25-I-1° de la loi du 6 janvier 1978 modifiée, applicable aux traitements qui, bien que comportant des données sensibles, sont justifiés par l’intérêt public.
Sur la finalité et le principe d’un signalement volontaire des événements indésirables
Si la finalité d’« OSIRIS » est à l’évidence légitime, la Commission s’est posé la question de l’adéquation entre l’objectif visé d’une gestion globale des risques et le choix qui a été fait d’un signalement des événements indésirables laissé largement à l’initiative volontaire des agents.
Il a été précisé que ce choix était celui généralement retenu lorsque était mis en place un dispositif de gestion globale des risques dans la mesure où il est le plus à même d’emporter l’adhésion du personnel, condition nécessaire à l’efficacité du dispositif.
La Commission en prend acte, mais estime nécessaire qu’il soit procédé au terme des deux premières années d’application d’ « OSIRIS » à une évaluation de l’utilisation effective du dispositif. S’il apparaissait, en effet, que l’application était sous utilisée (à l’AP-HP en général ou dans certains établissements), c’est le caractère d’utilité publique d’un traitement portant sur des données sensibles qui s’en trouverait affecté et il y aurait donc lieu, au minimum, d’en revoir les modalités.
Sur les données traitées : le signalement des événements indésirables
- Le signalement est ouvert à tous les agents mais le système n’admet la saisie d’un signalement que si le signalant s’identifie en mentionnant sa fonction et le service auquel il appartient, ce qui permet au gestionnaire de risques de revenir vers lui pour obtenir des précisions complémentaires.
- Le traitement « OSIRIS » permet le signalement d’un événement indésirable sur la base d’une liste de catégories d’incidents implémentée dans l’application, accompagnée d’un champ libre « description des faits ».
Dans la liste, une rubrique « autre (à préciser) » a été maintenue pour tenir compte de la difficulté pour les signalants de cerner la nature de certains risques ou de l’apparition possible de nouveaux risques, mais le champ libre qui accompagnait cette rubrique dans la version précédente du projet a été supprimé.
Les fiches de signalement ne comprennent aucune rubrique d’identification des personnes susceptibles d’être à l’origine des incidents. En outre, une information rappelant qu’aucune mention d’une personne nommément désignée ne doit apparaître dans le champ de texte libre est inscrite dans l’application, à côté de ce champ.
Un rôle de filtre est assuré par le gestionnaire de risques qui veille au caractère objectif, pertinent et non excessif des données collectées.
- L’identification des patients est facultative et les champs relatifs à leur nom et prénoms sont bloqués à trois caractères, à l’instar de ce qui est prévu pour les déclarations d’événements indésirables relatifs à la pharmacovigilance.
- La Commission relève que le signalement de « complications médicales et chirurgicales inattendues » n’est pas réservé au personnel soignant alors même que le système le permettrait dans la mesure où la rubrique « fonction du signalant » doit obligatoirement être renseignée.
Sur ce point, il a été indiqué que l’option ainsi prise était cohérente avec un dispositif de signalement ouvert, impliquant qu’il soit fait confiance aux agents pour en faire une utilisation normale.
De l’avis de la Commission, seule l’évaluation qui devra être opérée par l’AP-HP au terme des deux premières années d’application permettra en définitive de vérifier la pertinence de cette option.
Sur les destinataires : l’exploitation des fiches de signalement
Les personnes chargées d’exploiter les signalements sont en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité.
Ces personnes n’ont accès qu’à des informations utiles au regard de leur domaine d’expertise ou d’exercice et sont tenues au secret professionnel en application des dispositions de l’article L.1110-4 du Code de la santé publique et de la circulaire n° 1796 du 20 avril 1973 relative au secret professionnel dans les établissements d’hospitalisation publics.
Sur l’information des intéressés et le droit d’accès
- Les utilisateurs potentiels d’« OSIRIS » sont informés de l’existence du traitement, de ses conditions de mise en œuvre et de leur droit d’accès par affichage ainsi que par un guide du signalement et par une charte destinés à promouvoir le bon usage du système, implémentés dans l’application.
- Les patients sont informés de l’existence d’« OSIRIS » ainsi que de leurs droits par le livret d’accueil qui leur est remis ainsi que par voie d’affichage dans les points d’accueil.
- Le droit d’accès s’exerce auprès du directeur adjoint chargé des affaires générales de l’établissement concerné.
Sur les mesures de sécurité mises en œuvre et la durée de conservation des données
La sécurité des accès à l’application par les destinataires est assurée par un système de login associé à un mot de passe personnel d’au moins 8 caractères, renouvelé obligatoirement tous les 3 mois et ces accès font l’objet d’une journalisation.
Le système en revanche, n’est pas sécurisé contre des usurpations d’identité qui se produiraient au stade du signalement. En effet, si les signalants doivent obligatoirement s’identifier pour enregistrer un signalement, il n’est pas prévu qu’ils s’authentifient.
Toutefois, il a été fait remarquer qu’un contrôle d’authentification du signalant, alors que le signalement est ouvert à tous les agents, irait à l’encontre de l’objectif recherché de faciliter les déclarations d’incidents et serait techniquement difficile à mettre en place. En outre, le retour systématique du gestionnaire de risques vers le signalant permettrait de détecter d’éventuelles utilisations malveillantes.
La Commission en a pris acte.
Les données nominatives sont conservées dans l’application 3 mois au maximum. En effet, à défaut d’anonymisation de ces données par la clôture de la fiche par le gestionnaire de risques, une anonymisation automatique intervient quotidiennement sur les fiches ouvertes depuis 3 mois.
Les autres données, non nominatives, sont conservées dans l’application à des fins statistiques pendant une durée fixée à 10 ans.
En conséquence, la Commission demande qu’il soit procédé à une évaluation du dispositif « OSIRIS », après deux ans de mise en œuvre et que les résultats de cette évaluation lui soient communiqués.
Elle devra porter en particulier sur les points suivants :

  • le degré d’utilisation effective du dispositif et les raisons de sous-utilisation éventuelle;
  • la liste et la classification des événements indésirables retenues dans l’application ;
  • le bien-fondé de l’option consistant à ne pas réserver le signalement des événements de nature médicale au personnel soignant ;
  • l’existence éventuelle d’utilisations malveillantes du dispositif ;
  • l’articulation entre « OSIRIS » et les procédures d’alerte et de vigilance sanitaire obligatoires.

Dans ces conditions, la Commission autorise la mise en oeuvre du traitement dans les hôpitaux de l’AP-HP.

Le président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: