Les données médicales sont depuis quelques temps déjà dans le viseur des spécialistes de la cybersécurité qui ont noté le fort potentiel que celles-ci peuvent représenter. En effet, leur valeur, aux yeux des pirates, équivaut dorénavant à celles des données bancaires. La possible ouverture des données de santé et la centralisation des bases d’informations existantes sur lesquelles se penchent les autorités françaises de la santé, la transformation numérique qui bouleverse le monde de la santé, les méthodes de travail et les outils utilisés ne vont malheureusement qu’apporter des risques supplémentaires. Il est donc essentiel de mettre en place de nouveaux usages à l’encontre des professionnels de la santé et de leurs clients pour sécuriser les données et simplifier leurs échanges.
 
Le concept de protection des données médicales n’est pas un sujet récent. Archivage de certificats médicaux et ordonnances, utilisation d’un magnétophone pour enregistrer des constats sur l’état de santé de patients : les données médicales font partie depuis de nombreuses années du quotidien des professionnels de santé, et leur protection, avec les règles de déontologie et de respect de la vie privée s'y afférant, a toujours été d’une grande importance.
 
A l’ère du numérique, on assiste aujourd’hui à une accélération et à une amplification des données disponibles. Dossiers électroniques des patients, consultations à distance, échanges entre professionnels dans le monde entier pour faire avancer la recherche, bilans médicaux, comptes en ligne d’assurance maladie, intranet des laboratoires pharmaceutiques... Le monde de la santé regorge d’informations confidentielles qui doivent également être protégées des regards indiscrets.
 
Au cœur de cette transformation numérique, les données constituent le capital de la médecine, tant dans la prévention que dans les parcours de soin. Car l’échange et le relais de ces informations sont fondamentaux pour anticiper les pandémies, détecter les risques et guérir des patients, où qu’ils soient dans le monde. Des projets de recherche reposent sur l’utilisation et l’analyse de milliards de données collectées par le système médical universel français.
 
Par ailleurs, alors qu’on assiste à la dématérialisation des processus de la santé, les besoins de stockage et d’accès instantané aux données personnelles du patient ou du professionnel en milieu de santé sont exponentiels. Le développement de l’imagerie médicale et ses nécessités de stockage, tout comme les mutuelles qui regroupent un nombre croissant d’informations cruciales et hautement confidentielles sur leurs clients, en sont de parfaits exemples.

Au-delà du stockage des données, la transformation numérique remet en question la confidentialité des données, et plus particulièrement comment les partager en toute sécurité. Le moyen le plus communément utilisé pour le moment demeure l’email, pourtant considéré le maillon faible de la sécurité numérique. En effet, ils peuvent être interceptés et lus par un grand nombre de personnes, tant par des pirates que par les fournisseurs d’accès internet. Par ailleurs, les pièces jointes sont dans beaucoup de cas non encryptées, ce qui en fait une cible facile pour les pirates.
 
A une époque où les données sont particulièrement monnayables, les exemples de vols ne manquent malheureusement pas. Ainsi, en début d’années, quelques 40 000 identifiants et des centaines de bilans médicaux et d’analyses sanguines provenant de Labio, un laboratoire de biologie médicale, se sont retrouvés entre les mains d’un groupe de pirates, qui a exigé 20 000 euros de rançon en échange de la non-publication de ces données.
 
Les professionnels de la santé aux Etats-Unis prennent déjà depuis quelques temps cette menace au sérieux. En effet, les intrusions dans les systèmes informatiques des hôpitaux américains auraient augmenté de 600 % en 2014, d’après Websense, une agence de cybersécurité qui travaille pour le ministère de la Défense américain.
 
En France aussi, les autorités soutiennent le monde de la santé sur les questions de cybersécurité. La CNIL (Commission nationale de l'informatique et des libertés) qui a pour mission de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu, encadre, de même qu’elle le fait avec les entreprises, les professionnels de la santé qui sont amenés à traiter avec des données médicales, pour les aider à garantir le secret médical imposé par la déontologie de leur profession et protéger les données de santé à caractère personnel conformément à cette éthique. L’ASIP Santé (Agence des Systèmes d’Information Partagés de Santé), quant à elle, accompagne l’émergence de technologies numériques en santé afin d’améliorer l’accès aux soins tout en veillant au respect des droits des patients.
 
Alors que le monde de la santé se transforme et s’adapte à la révolution numérique, il apparaît capital d’adopter le bon reflexe en matière de sécurité.

Tandis qu’on estime aujourd’hui que le monde médical possède le plus grand nombre de données privées, des solutions doivent impérativement être mises en place pour prévenir toute attaque et protéger les données dont disposent les professionnels de la santé. Le partage de données et la collaboration entre professionnels dans le monde entier ne doit pas être une source d’inquiétude.
 
Les solutions dans le Cloud sont particulièrement adaptées aux professionnels de la santé qui peuvent accéder à leurs données à partir de n’importe quel ordinateur ou tablette, à tout moment, sans avoir à subir de délai. Ils n’ont, par ailleurs, pas à se soucier de la capacité de leurs serveurs et peuvent stocker un nombre exponentiel d’informations. Enfin, les collaborations entre professionnels, que ce soit au sein d’un service ou avec un expert à l’autre bout du monde, la mutualisation des ressources, mais aussi les échanges de données entre professionnels et leurs patients sont facilités.
 
Pour une protection des données totale, il est recommandé de choisir une plateforme de partage dans le Cloud hébergée dans des datacenters sur le sol français. Afin de répondre aux préoccupations de la CNIL en matière de sécurisation des données, une protection doit avoir lieu lors de l’identification grâce à une authentification à deux facteurs et pendant la transmission des données avec un chiffrement sur le serveur.
 
En choisissant de telles solutions, les professionnels de la santé se donnent de nouveaux moyens de répondre aux enjeux de la transformation numérique, indissociable du partage des données et de la collaboration en ligne, tout en assurant le secret médical qu’ils se doivent de protéger.
 
Aujourd’hui, le monde de la santé apparait comme une proie facile pour les pirates et les enjeux qui y sont liés sont trop importants pour ne pas mettre en garde la profession, quelque que soit la taille de la structure.

C'est en 1810 que le Code Pénal officialise pour la première fois le secret en le liant au corps médical. Précisé dans le Code de déontologie médicale, sa rédaction au sein du Code de la Santé Publique (CSP) lui confère d'abord une portée réglementaire. L'article R4127-4 CSP dispose ainsi que « le secret professionnel institué dans l'intérêt des patients s'impose à tout médecin dans les conditions établies par la loi ». Si cette obligation vise la communication et la transmission de ces données en les assortissant d'une sanction pénale (art 226-13 et -14 Code pénal), le stockage de ces dernières sur des supports numériques a engendré de nouveaux enjeux.
 
L'encadrement général fixé par la loi du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été ces dernières décennies revu et précisé afin de garantir dans l'usage des systèmes informatisés tant le droit au respect de la vie privée que le secret médical.
 
Si l'ensemble du dispositif législatif et réglementaire est globalement satisfaisant, sa mise en œuvre et l'émergence de nouvelles technologies démontrent certaines limites. Fondée sur le respect de la vie privée et le secret médical, la protection des données personnelles des patients fait ainsi l'objet d'une protection légale ancienne et efficace (I). Si elle a été progressivement complétée en vu d'assortir de garanties l'usage de nouvelles technologies, la réglementation actuellement en vigueur est appliquée de façon parfois lacunaire au sein des établissements (II).

A) Le droit au respect de la vie privée et au secret des informations médicales du patient implique pour le professionnel de santé de garantir leur confidentialité
 
La loi du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés pose ainsi les principes de bases concernant le traitement des données revêtant un caractère personnel. L'objectif général est d'assurer le respect de la vie privée des administrés dès lors que ces informations font l'objet d'un processus de stockage et de transmission. Elle vise l'ensemble des services exerçant une mission de service public (établissements publics de santé, administrations, cliniques...). Son article 34 impose notamment que des dispositions soient prises pour assurer la sécurité des traitements et informations, ainsi que la garantie des secrets protégés par la loi. Cette obligation légale d'assurer personnellement la sécurité des traitements impose aux professionnels de santé le respect de référentiels de sécurité.
 
En pratique, ces derniers doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées (intégrité de l’information), effacées par erreur (disponibilité), ou que des tiers non autorisés aient accès au traitement (confidentialité).
 
Ils sont donc tenus de mettre en œuvre :
- des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en œuvre d’une procédure permettant de restreindre l’accès aux seules personnes habilitées ;
- des mesures techniques par la protection des serveurs via des pare-feux, filtres anti-spam et anti- virus, l’accès aux postes de travail par des mots de passe individuels régulièrement renouvelés, l’utilisation de la Carte de Professionnel de Santé pour accéder aux données, le chiffrement des données, etc. [1]
 
La Commission Nationale Informatique et Liberté (CNIL), Autorité Administrative Indépendante (AAI) créée par cette même loi de 78 assure aux côtés des tribunaux le respect et la sanction des manquements à ces obligations.
 
Le respect du secret médical est l'autre principe qui guide l'évolution des normes encadrant le traitement des données médicales. Défini dans la partie réglementaire du Code de la Santé Publique (CSP Art. R4127-1) comme s'imposant à tout médecin et couvrant tout ce qui est venu à sa connaissance dans l'exercice de sa profession, le principe a été ensuite élevé au niveau législatif par sa codification à l'article L 1110-4 du CSP (loi du 4 Mars 2002, dite Kouchner).
 
La jurisprudence avait eu l'occasion de se prononcer sur la portée de ce principe en conférant au secret médical un caractère général et absolu. La Cour de Cassation l'a affirmé la première, dès le XIX° siècle (1885, arrêt Watelet) et surtout dans un arrêt de la chambre criminelle du 8 mai 1947 (Degraene) : « l'obligation du secret professionnel s'impose aux médecins comme un devoir de leur état. Elle est générale et absolue et il n'appartient à personne de les en affranchir ». Cette portée générale et absolue du secret médical est reconnue également dans les arrêts du Conseil d’État (arrêt d'assemblée du 12 avril 1957 – Deve) [2].
 
Le dispositif visant la sécurisation du matériel destiné à recevoir ce type d'information est lui fondé sur un système de certification et d'agrément par des AAI :
- les logiciels permettant la facturation et la télétransmission des données ainsi que le lecteur de carte Vitale (SESAM) doivent faire l'objet d'un agrément ;
- la Carte de Professionnel de Santé, permettant de signer électroniquement les actes et d'avoir accès aux informations contenues dans la carte vitale est délivrée par les Agences Régionales de Santé ;
- les fichiers patients doivent impérativement être déclarés à la CNIL. [3]
 
Si ce système permet d'assurer un certain niveau de sécurité, il n'a pas empêché récemment la divulgation de données médicales (révélation de données d'une patiente des Hôpitaux de Marseille, de l’hôpital Foch de Suresnes ou encore du Pôle de santé de Plateau). Ces dernières étant dues le plus souvent à des négligences humaines, l'effort déjà entrepris dans la formation des cadres devrait être accentué en direction du personnel. L'utilisation des dispositifs classiques (plan interne de formation, charte informatique) est à ce titre un bon moyen de sensibiliser les collaborateurs pour réduire le risque humain.

 
 
B) Le manquement aux obligations légales concernant le stockage comme la transmission non autorisée de données fait l'objet de sanctions pénales dissuasives
 
L’absence de déploiement de mesures de sécurité technique ou la négligence dans leur déploiement sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende – Art. 226-17 du Code pénal). La violation du secret médical est quant à elle punie d’un an d’emprisonnement et de 15.000 euros d’amende.
 
La loi Kouchner de 2002 pose également le principe suivant lequel seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier : il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des tiers autorisés ayant qualité pour les recevoir de façon ponctuelle et motivée.
 
L'atteinte à la confidentialité de ces données est qualifiée et punie par deux incriminations : l'infraction visée par l'article 226-22 du Code Pénal est constituée lorsque d'une part, des informations sont communiquées à des personnes non autorisées (punition de 5 ans d'emprisonnement et 300.000 euros d'amende), d'autre part lorsqu'elles sont divulguées par imprudence ou négligence (punition de 3 ans d'emprisonnement et 100.000 euros d'amende).

 
Concernant l'échange de données entre professionnels, la garantie de la confidentialité des informations médicales est assurée en soumettant les systèmes de conservation sur support informatique et de transmission par voie électronique aux règles préconisées par le Conseil d’État. Les mesures à respecter sont définies par décret, après avis public et motivé de la CNIL. Le fait d'obtenir ou de tenter d'obtenir la communication de ces données en violation de cette disposition est puni d'un an d'emprisonnement et de 15.000 euros d'amende. (Art. L1110-4 CSP). [4]

A) La sécurité de la Carte de Professionnel de Santé fait l'objet d'un encadrement rigoureux en raison de son contenu stratégique
 
Le contenu de la carte est précisé à l'article R161-52 du Code de la Sécurité Sociale. Cette dernière contient ainsi les identifiants du professionnel de santé ainsi qu'un « Domaine Assurance Maladie » contenant des données relatives aux situations d’exercices et de facturation. Ces informations conventionnelles et de nature financière sont à l'usage exclusif de l’Assurance Maladie. La carte permet en outre d'accéder au Dossier Médical Patient (DMP). Sur le plan juridique, elle peut être utilisée pour effectuer des signatures électroniques. [5]
 
Au vu de cet usage stratégique et des risques de divulgations de données, la mise en circulation et le contrôle de l'utilisation de cette carte sont strictement encadrés.
 
Ainsi, la création, la consultation et l'alimentation du DMP s'opèrent via une connexion sécurisée. Les données sont conservées sous forme chiffrée sur un serveur national géré par un hébergeur agréé par le ministère en charge de la santé : l’Hébergeur de données de santé à caractère personnel. Ce dernier agit sous le contrôle et la responsabilité de l'Agence des Systèmes d'Information Partagés de Santé (ASIP Santé). Il ne peut pas accéder aux données d'un DMP. Celles-ci ne sont accessibles qu'aux seuls professionnels de santé autorisés par le patient.
L'accès au DMP de tout autre acteur (médecins du travail, employeurs, assurances...) est formellement interdit et constitue conformément à l'article 323-1 du Code Pénal un délit passible d'une amende de 15.000 euros et d'un an d'emprisonnement. [6]
 
 
B) Malgré des obligations légales fortes pesant sur les données externalisées, le niveau de sécurité atteint dans leur stockage demeure perfectible
 
Deux modalités organisent l’externalisation des données de santé :
- la sous-traitance : le professionnel ou l’établissement de santé peuvent décider d’externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité telles que prévues par la loi. A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement ;
- l’hébergement de données de santé par un tiers : en cas d’hébergement par un tiers, le professionnel ou l’établissement de santé devra s’assurer que le prestataire met en œuvre des mesures de sécurité suffisantes. À ce titre, ce dernier doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L1111-8 et r1111-9 du CSP.
 
L’obtention de l’agrément est soumise à la mise en œuvre de solutions techniques, d’une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées ainsi que d’une politique de confidentialité et de sécurité. L’hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l’intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé. La prestation d’hébergement fait l’objet d’un contrat avec le professionnel ou l’établissement de santé, détaillant notamment les prestations fournies et les modalités d’accès aux données. [7]
 
 
L'application de cette réglementation présente toutefois des lacunes.
 
D'une part des données de santé de patients identifiés sont ainsi régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier, dans des laboratoires d’analyses, ou ont été rendues accessibles en ligne. La cause se trouve souvent dans une négligence du personnel. A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.
 
D'autre part le fait que rien ne s'oppose à ce qu'une base de données de santé à caractère personnel soit hébergée en dehors du territoire national peut également poser une limite quant au contrôle de leur sécurité. En effet la directive communautaire 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation de ces données établit un cadre de protection des données à caractère personnel équivalent à l’ensemble des pays membres de l’Union européenne. Cette directive a été transposée en France par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.


 
De plus le transfert de données de santé à caractère personnel vers un pays tiers à l’Union européenne peut être exceptionnellement autorisé sur la base des articles 68 et 69 de la loi du 6 janvier 1978.
 
En principe interdit, ce transfert est rendu possible à travers des mécanismes permettant de s’assurer du niveau de protection adéquat des données :
- la Commission européenne a reconnu comme présentant un niveau de protection adéquat, les pays suivants : Canada, Suisse, Argentine, territoires de Guernesey, de Jersey et de l’Ile de Man ;
- les Biding Corporate Rules (BCR) ou règles internes d’entreprises : règles adoptées au sein d’un groupe multinational. Elles doivent revêtir un caractère contraignant et être respectées par les filiales du groupe ;
- les Clauses Contractuelles Types : ce sont des modèles de clauses contractuelles adoptées par la Commission européenne permettant d’encadrer les transferts de données à caractère personnel ;
- le Safe Harbor : c'est un ensemble de principes de protection concernant les entreprises étasuniennes négociés par les autorités et le Commission européenne en 2001. Les entreprises adhérentes au Safe Harbor doivent se conformer à un ensemble d’exigences de protection des données et assurent ainsi un niveau de protection adéquat. [8]

En conclusion, s'il semble que le dispositif légal encadre de façon cohérente la problématique de la transmission et du stockage des données de santé, il se pose néanmoins le problème de sa déclinaison au sein des équipes. Dans la mesure où le risque est avant tout humain, rendre obligatoire une sensibilisation poussée des salariés permettrait de réduire efficacement ce dernier.
 
Sur un autre plan, la possibilité ouverte par la directive de 95 d’externaliser les données médicales en dehors du territoire national, voire même européen, pose le problème de l'évaluation de leur niveau de sécurité. Sa transposition ayant donné lieu à des interprétations différentes au sein des États, les législations nationales sur ce point apparaissent fragmentées. L'initiative de la Commission de publier une proposition de règlement le 25 Janvier 2012 peut être saluée dans la mesure où ce dernier permettrait un encadrement plus strict de ces données stratégiques au sein des États. Si ce dispositif réglementaire se révèle plus rigoureux, il ne sera pleinement efficient que s'il est couplé avec une uniformisation des formations à destination du personnel.

Bibliographie
[1] http://www.village-justice.com/articles/Donnees-sante-obligations-securite,15638.html
[2] http://www.conseil-national.medecin.fr/article/article-4-secret-professionnel-913
[3] http://esante.gouv.fr/services/espace-cps/qu-est-ce-que-la-carte-cps
[4] http://esante.gouv.fr/services/reperes-juridiques/le-cadre-juridique-du-partage-d-informations-dans-les-domaines-sanitaire
[5] http://esante.gouv.fr/services/espace-cps/qu-est-ce-que-la-carte-cps
[6] http://www.installation-infirmiere.fr/index.php/logiciel-et-teletransmission/59-la-teletransmission
[7] http://www.village-justice.com/articles/Donnees-sante-obligations-securite,15638.html

[8] http://esante.gouv.fr/services/referentiels/securite/hebergement-faq#13
 
Textes de loi
- Art r4127-4 Code de santé publique :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006912862&cidTexte=LEGITEXT000006072665 
- Art 226-13 Code pénal :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417945&cidTexte=LEGITEXT000006070719 
- Art 226-14 Code pénal :
http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000006417946&dateTexte=&categorieLien=cid 
- Art L 1110-4 Code de santé publique :
http://www.legifrance.gouv.fr/affichCodeArticle.do;?idArticle=LEGIARTI000020886954&cidTexte=LEGITEXT000006072665 
- Art 226-17 Code pénal :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417964&cidTexte=LEGITEXT000006070719
 - Art 226-22 Code pénal :
http://www.legifrance.gouv.fr/affichCodeArticle.do;?idArticle=LEGIARTI000006417984&cidTexte=LEGITEXT000006070719 
- Art r161-52 Code de la sécurité sociale :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006747430&cidTexte=LEGITEXT000006073189 
- Art 323-1 Code pénal :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719 
- Art L 1111-8 Code de santé publique :
http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719 
- Art L 1111-9 Code de santé publique :
http://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000006685785&dateTexte=&categorieLien=cid 
- Délibération CNIL n°2013-271 :
http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Bureau/2013-271_bureau_Publicite_Med_CH_ST-MALO.pdf  
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 :
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:31995L0046  
- Loi du loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel :
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676&categorieLien=id

Pour plus d'informations : www.argaus.fr

Outre l’amélioration des flux de travail, la solution d’Imprivata permet de gagner jusqu’à 45 minutes de temps de travail par jour – les professionnels de santé pouvant ainsi se consacrer uniquement sur les tâches liées à leur métier, et donc aux patients. Elle permet également de respecter les normes et règlementations en vigueur dans le monde de la santé, et favoriser l’adoption, par les utilisateurs, des outils mis à leur disposition.
 
«  Entièrement dédiées au monde de la santé, les solutions d’Imprivata visent à garantir la sécurité des données numériques des patients. Elles sont à ce titre conçues pour, à la fois, augmenter le confort d’utilisation des professionnels de santé, et améliorer la gestion, la sécurité et la traçabilité pour les Directeurs des Systèmes d’Information, explique Philippe Corneloup, Directeur d’Imprivata France. Une double problématique dans laquelle s’inscrit parfaitement le nouvel outil VDI dévoilé lors de HIT 2014, qui permet d’intégrer des solutions d’identification unique dans les postes virtuels, soutenant dès lors la mobilité des professionnels ».
 
« Concrètement, chaque utilisateur dispose d’une Carte Professionnel de Santé (CPS), dont la lecture, complétée par un code PIN, permet d’ouvrir une session. Le professionnel est alors automatiquement dirigé vers son poste de travail virtuel, tandis que les applications métiers le concernant sont également automatiquement lancées – en fonction, naturellement, de ses droits d’accès. Une seconde lecture de sa carte CPS lui permettra ensuite de verrouiller sa session sur ce poste. Celle-ci demeure toutefois active pour un délai prédéfini. Il peut donc de nouveau accéder à sa session, sur le même poste ou pas, avec sa seule carte CPS – et ce, sans avoir besoin de renseigner son code PIN, précise Dries Schelfaut, consultant technique senior. Par ailleurs, outre cette solution d’authentification forte, qui soutient la mobilité des professionnels tout en favorisant leur adhésion à l’outil informatique, Imprivata a développé un système d’authentification biométrique, dit ‘Secure Walkaway’ : la première session est, dans ce cas précis, ouverte grâce à la carte CPS, tandis qu’une caméra 3D et infrarouge intégrée au poste de travail reconnaît ensuite automatiquement l’utilisateur. Ainsi, l’écran se noircit si une session est ouverte sur un profil donné, et que quelqu’un d’autre prend le relais. Cette personne doit alors s’authentifier avec sa propre carte CPS pour déverrouiller l’écran. Désormais utilisé aux États-Unis et en Écosse, Secure Walkaway est aujourd’hui en cours de déploiement en Belgique. La solution est par ailleurs disponible en France ».

 Fournisseur leader de solutions de gestion d’accès et d’identité pour le marché européen de la santé, Imprivata annonce que le Centre Hospitalier de Perpignan a opté pour sa solution d’authentification unique Single Sign-On (SSO), afin de gérer les identités et les accès de l’ensemble de son personnel hospitalier.
 
Quotidiennement, un prestataire de soins peut se connecter aux systèmes d’information d’un hôpital plus de 70 fois. À chaque connexion, il doit saisir un login et un mot de passe, attendre que le profil utilisateur se charge, puis lancer la ou les applications choisies avant d’entrer de nouvelles informations et surtout ne pas oublier de se déconnecter à la fin de sa consultation. Ce qui représente, in fine, 45 minutes de clics et de saisies sans rapport direct avec le patient ! Outre cette perte de temps, une telle organisation peut également générer des failles de sécurité qui mettent en danger la confidentialité et la sécurité des données patients - notamment en cas d’oubli de déconnexion.
 
Cartes CPS et solution SSO : le duo gagnant
 
En adéquation avec les recommandations du Plan Hôpital Numérique, le CH de Perpignan a donc équipé l’ensemble de son personnel soignant et médical de cartes CPS. Conscient que l’informatique doit être une aide et non un frein à la qualité des soins, le directeur du SIH du CH perpignan, Vincent Templier, a souhaité associer aux cartes CPS de l’ensemble du personnel la solution d’authentification unique (SSO) d’Imprivata. Une démarche proactive qui a permis d’améliorer plusieurs points cruciaux, ayant une influence significative sur le personnel soignant mais également sur les patients.
 
Les objectifs de cette démarche sont bien sûr multiples. D’abord augmenter les effets bénéfiques de la carte CPS sur la prise en charge globale des patients, mais aussi améliorer la confidentialité des données dans les zones sensibles, comme les urgences. La solution de SSO d’Imprivata permet ainsi de garantir l’identité du personnel accédant aux données patients, d’augmenter le confort de travail et de générer un gain de temps non négligeable, qui permet aux cliniciens de porter toute leur attention sur le patient.
 
Le déploiement de la solution d’Imprivata devrait concerner à terme l’ensemble des 50 services du CH Perpignan, soit un total de 500 postes de travail et 1500 utilisateurs. La première phase de déploiement, initié à l’été 2013, concerne actuellement 250 postes équipés de lecteurs RFID compatibles avec la carte CPS.
 
L’adhésion du personnel hospitalier du CH Perpignan à la solution d’authentification unique d’Imprivata a été impressionnante. L’ensemble des cliniciens, dont le service a été équipé, a réalisé les avantages que pouvait leur procurer une telle solution au quotidien et les bénéfices qu’elle pouvait également apporter aux patients. Rapidité, confort et simplicité d’utilisation, gain de temps, sécurité accrue sont autant d’arguments ayant séduit les utilisateurs.
 
Depuis le déploiement de la solution, Vincent Templier ne déplore aucune perte de carte CPS et a vu les demandes de réinitialisation de mots de passe réduites de moitié, démontrant - si besoin était - l’adhésion de l’ensemble du personnel.
 
« L’informatique dans le secteur de la santé doit fournir des avantages financiers et cliniques, et augmenter l’efficacité sans empêcher le personnel médical de fournir au patient la meilleure qualité de soins possible. Il s’agit principalement de gagner du temps et de faciliter l’accès aux données et aux différentes applications métiers. Nous sommes très heureux d’aider le centre hospitalier de Perpignan à atteindre ces objectifs pour le bénéfice des patients », déclare Philippe Corneloup.
 
« La solution Imprivata nous a convaincus pour plusieurs raisons telles que son prix, mais aussi et surtout sa facilité d’installation et d’utilisation. La réactivité et le professionnalisme des équipes techniques ont également été décisifs dans notre choix. Ils ont été attentifs et à l’écoute tout au long du processus d’implémentation. L’adhésion rapide de l’ensemble du personnel est également une preuve que la solution d’Imprivata est parfaitement adaptée à nos besoins ! », conclut Vincent Templier.
 
Pour plus d’informations : www.imprivata.fr

Bien qu’aucune donnée sensible n’ait été dérobée, cette intrusion pose la question de l’intégrité et la sécurité des systèmes d’information dans le secteur de la santé.
 
HIMSS, organisation internationale à but non lucratif, au travers de son expertise dans les nouvelles technologies, accompagne depuis plus de 50 ans les professionnels de santé qui souhaitent optimiser leur usage pour meilleur accès et qualité de soins.
 
Elle organise une intervention sur ce thème dans le cadre de sa conférence annuelle WoHIT du 2 au 4 avril à Nice et livre l’analyse de Cédric Cartau, RSSI au CHU de Nantes et auteur de “La sécurité du système d'information des établissements de santé", aux Presses de l'EHESP, paru en mai 2012.

Depuis plusieurs années, les pouvoirs publics se concentrent sur la confidentialité des données de santé. Cette spécificité est certes importante, mais ne représente pas les deux principales priorités d’un système d’information hospitalier efficace. Son architecture doit répondre en effet, à deux critères principaux : l’intégrité et la disponibilité des données.
 
Dans le cas des attaques des ARS, il ne s’agissait que de données administratives ne mettant pas en péril la santé des patients. Toutefois, à l’heure où l’informatique gère aussi bien les services administratifs que médicaux, une attaque de même ordre contre un centre hospitalier aurait pu avoir des conséquences beaucoup plus tragiques. Le personnel soignant n’aurait pas eu accès aux données médicales des personnes hospitalisées. Quant aux appareils biomédicaux (IRM, appareil de radiologie, microscopes électroniques,...) fonctionnant avec l’aide de logiciels, ils n’auraient tout simplement pas pu être utilisés. L’hôpital n’aurait plus été en mesure de délivrer un service médical.
 
Dans ce contexte, « il est urgent de règlementer le secteur avec la mise en place d’un système de certification des logiciels sensibles (prescription connectée, dossier de soins, etc.) pour en garantir la résilience, explique Cédric Cartau, RSSI du CHU de Nantes. À quand des critères de certifications HAS qui incluent des audits réguliers de vulnérabilité des systèmes de santé ? ».
 
Très souvent, les centres hospitaliers n’ont pas suffisamment de poids pour imposer leurs cahiers des charges en matière de sécurité aux fournisseurs mondiaux de solutions IT. Ils ne peuvent pas, par exemple, imposer l’intégration d’un anti‐virus dans une solution. La réponse réglementaire apparaît comme indispensable pour faire évoluer les critères des industriels.
 
Les pouvoirs publics prennent conscience de la vulnérabilité de leurs dispositifs. C’est pourquoi, depuis juillet 2013, l’UE travaille sur une proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information qui imposerait un audit des SI publics.

HIMSS, de part son expérience auprès des établissements hospitaliers français et internationaux, constate l’importance de disposer de systèmes d’informations modernisés dont le niveau ultime correspond à un hôpital “zéro papier”. En parallèle, l’organisation internationale souligne l’importance de se doter de professionnels de l’IT spécifiquement formés aux problématiques du monde de la santé. Certains pays tels que le Royaume‐Uni, les Pays-Bas ou encore les États‐Unis ont d’ores et déjà mis en place des cursus spécifiques.
 
L'adaptation des ressources humaines est considérée comme indispensable à la réussite des grands projets d'informatisation. Dans les pays ayant engagé leur transition vers le numérique de santé, le ratio de personnel informatique est de 2 %, soit un spécialiste de l’IT pour 50 hospitaliers. En France, le ratio se situe actuellement à 0,4 et la France figure parmi un groupe de pays "retardataires" dans une fourchette de 0,4 à 0,8 %.
 
D'autres indicateurs, tel que le taux des hôpitaux raccordés aux réseaux haut débit (>100Mbps) tendent également à démontrer que notre pays est en train de prendre du retard. Sur ce dernier critère, la France a été classé à la 25ème place sur 30 pays du continent européen (chiffres fournis par une étude de la Commission Européenne).
 
Sans engagement véritable, le système français est confronté au risque d’une fracture numérique et l’adaptation des ressources humaines aux besoins de l’information des établissements de soin est devenu un enjeu stratégique pour rester dans la compétition

2500 décideurs en santé européens et internationaux reviendront sur leurs expériences innovantes et partageront leurs bonnes pratiques permettant d’améliorer la qualité des soins. Ils analyseront les thèmes stratégiques actuels et plus particulièrement la question de la continuité des soins.
 
Industriels et fournisseurs de solutions échangeront afin de relever le défi d’un réseau connecté de systèmes de soins où circule des données sur le patient à travers l’hôpital, les différents intervenants extérieurs du parcours de soins, jusqu’au domicile du malade. L’échange de données n’est pas l’unique enjeu, les prestataires devront présenter des dispositifs utilisables aussi bien pour les professionnels de santé que le patient.
 
Plus d’informations sur http://worldofhealthit.org/ et http://worldofhealthit.org/2014intro/

HIMSS est une organisation à but non lucratif qui se consacre exclusivement à fournir un leadership international pour un usage optimal des technologies de l’information et les systèmes de gestion pour l’amélioration de la santé.
 
Créée il y a 52 ans, HIMSS et ses organisations affiliées sont basées à Chicago avec différents bureaux aux États‐Unis, en Europe et en Asie.
 
HIMSS compte près de 50 000 membres dont plus des deux tiers travaillent dans la fourniture de services santé, les organisations gouvernementales ou à but non lucratif. HIMSS rassemble plus de 570 organisations dont plus de 225 sont des organisations partenaires à but non lucratif qui partagent sa mission de transformer le secteur de la santé au travers un usage efficace des TIC et des systèmes de gestion.
 
HIMSS conçoit et initie les pratiques de santé ainsi que les politiques publiques au travers de son expertise sur les contenus, le développement professionnel, la recherche et les outils médiatiques pour promouvoir l’information et les contributions sur les systèmes de gestion afin d’améliorer la qualité, la sureté, l’accès aux soins tout en maîtrisant les dépenses.
 
Pour plus d’informations : www.himss.eu
Twitter : @HIMSS