Les sécurités informatiques : obligations déontologiques

Les sécurités informatiques : obligations déontologiques

Traiter des sécurités des systèmes d’information en santé et des bases informatiques contenant des données personnelles de santé n’est pas un exercice de style pour le CNOM. En effet, l’impératif déontologique est inscrit, pour tout médecin, dans l’article R 4127-4 du code de la santé publique (CSP), portant déontologie médicale : «Le secret professionnel, institué dans l’intérêt des patients, s’impose à tout médecin dans les conditions établies par la loi. Le secret couvre tout ce qui est venu à la connaissance du médecin dans l’exercice de sa profession, c’est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu’il a vu, entendu ou compris». Dans les établissements de santé, le secret médical est entendu comme étant le secret professionnel partagé par les professionnels de santé qui constituent l’équipe de soins au sens de l’article L. 1110-4, alinéa 3 du CSP. La limitation législative de cette « équipe de soins » aux seuls établissements de santé fait aujourd’hui débat et conduit à élargir la réflexion sur le partage, les échanges et les accès aux données personnelles de santé « hors les murs » de l’établissement. C’est un des objectifs du DMP, du dossier communicant de cancérologie et celui de la fluidité des échanges informatisés à partir des bases de données par messageries, etc. Dans cet ensemble complexe, l’intrusion informatique malveillante ou non autorisée pourrait entrainer la divulgation d’une information à caractère secret, paralyser le système ou pervertir les données. Les règles de sécurité doivent donc être strictement respectées. Elles constituent à ce titre une exigence déontologique. Elles doivent l’être d’ailleurs tant pour ce qui concerne la protection de la confidentialité que pour ce qui s’attache à la robustesse, à la disponibilité et à la fiabilité des systèmes d’information. La confidentialité Les professionnels de santé ayant accès aux bases de données doivent être authentifiés et leurs accès doivent être tracés par le système. La loi impose la Carte de Professionnel de Santé (CPS) pour l’accès aux données. Ce dispositif devrait être utilisé pour tous les accès aux bases informatiques stockant ou hébergeant des données personnelles de santé. Cependant une authentification sans contact - comme la CPS3 le permettra désormais - est indispensable pour toutes les activités mobiles. En outre, ses « dispositifs équivalents », sont prévus par la loi. Si le Directeur de l’Etablissement porte la responsabilité de la sécurité des SIS dans le respect de la loi, les médecins doivent être impliqués dans la définition de la politique de confidentialité de l’établissement, comme dans les formations des professionnels de santé et les auxiliaires avec lesquels ils exercent. La « sécurité déontologique » est une première marche fondamentale dans la sécurité informatique d’ensemble. Aucun accès ne devrait pouvoir avoir lieu sans reconnaissance de l’habilitation formelle par le système, distinguant rigoureusement les données administratives des données médicales. En outre, l’accès aux données personnelles de santé est clairement restreint par la loi du 4 mars 2002 à l’équipe soins qui prend en charge un patient pour une pathologie ou un épisode de soins. Ces données ne devraient pas être accessibles aux autres unités de l’établissement qui ne concourent pas directement à la prise en charge de cette pathologie ou de cet épisode. Selon le CNOM, l’accès aux données par une autre équipe de soins pour un autre motif d’hospitalisation ultérieure doit recueillir le consentement exprès du patient. Le système d’information de l’établissement doit prévoir cette situation. La sécurité informatique d’ensemble a la qualité déontologique, respectant le droit des patients à la confidentialité de leurs données personnelles de santé et le secret qui les protège s’associe la qualité des prises en charge médicales ou médico-sociales. Le système d’information doit permettre de protéger le « temps médical » en structurant de façon fiable les données personnelles des patients et en permettant un accès rapide aux bases de données, pour la qualité et/ou l’urgence du soin. Les médecins et professionnels de santé doivent respecter des procédures propres à garantir la sécurité informatique du système d’information qui concourt à la qualité du soin.