in Healthcare
,

La santé, une affaire personnelle

À l’heure de la généralisation des dossiers médicaux électroniques, la protection de la vie privée des patients prend de nouvelles dimensions.

La pression est réelle : les systèmes de santé et les gouvernements du monde entier encouragent les médecins et les hôpitaux à stocker les dossiers médicaux de leurs patients au format électronique.

Les arguments en faveur de cette tendance semblent évidents : avec un réseau efficace entre les différents acteurs, chaque médecin aura accès à tout le passé médical du patient. Ainsi, non seulement tous les services d’un hôpital pourront connaître exactement pour quelle raison le patient a été admis, mais son médecin généraliste obtiendra tous les résultats et sa caisse d’assurance maladie recevra la facture. Même le psychothérapeute du patient et les services sociaux de la ville pourront être mis dans la boucle… sans parler de l’employeur. Et quand le patient déménagera dans une autre ville, ses futurs médecins pourront également avoir les informations.

A portée de clic

Cela pourrait pourtant tourner au cauchemar de la protection de données. D’après la législation allemande, explique Thilo Weichert, commissaire de la protection des données pour l’Etat allemand du Schleswig-Holstein, même au sein d’un même hôpital, les différents services ne sont normalement pas autorisés à consulter les données des autres.

« Par exemple, le psychiatre de l’hôpital n’est pas censé connaître les données gynécologiques », explique-t-il, « sauf s’il existe un lien direct pour les besoins de traitement. »

Donc, parallèlement à la pression exercée pour l’utilisation des dossiers médicaux électroniques, il existe également une pression pour limiter leurs modalités d’utilisation et garantir que le potentiel numérique n’est utilisé qu’au bénéfice des patients.

Le risque le plus évident est d’ordre physique. David S. Finn, directeur IT Secteur de la santé chez le fournisseur de sécurité sur Internet, Symantec, explique que la situation a changé depuis l’époque où les dossiers étaient sur papier.

« Aujourd’hui, il est vraiment facile de s’emparer de tout un ensemble de dossiers », note-il. « Il est devenu possible de perdre les dossiers de millions de personnes à la fois – et il ne s’agit plus que de quelques graphiques qu’un médecin a ramenés chez lui pour étudier. »

Des scandales se sont déjà produits. Aux Etats-Unis, les noms et numéros de sécurité sociale de 26,5 millions de vétérans, avec des données sur leurs problèmes de santé, ont été volés par un employé qui les avait ramenés chez lui sans autorisation.

Par contre, poursuit M. Finn, « d’une certaine manière, la protection des informations est désormais plus facile car on sait où elles se trouvent. » On peut verrouiller les disques durs et créer des audits de protection des données pour tracer si les dossiers sont copiés ou téléchargés.

Procédures de protection des données dans les hôpitaux

M. Finn travaille chez Symantec depuis deux ans. Auparavant, il était responsable des technologies de l’information de l’Hôpital pour Enfants du Texas, mais son message n’a pas changé, explique-t-il.

« J’ai passé vingt ans à expliquer au personnel l’importance des données », déclare-t-il. « Tout se joue dans le stockage, la sécurisation et le partage des données. » Et le contrôle des données n’est pas qu’une affaire de technologie. « Cela implique également des lignes de conduite, des procédures et de la formation. Tout dépend de l’implication du personnel », ajoute-t-il. « Il faut les convaincre de prendre au sérieux les données des patients. Mon message est le suivant : « Vous serez vous-aussi un patient un jour. »

Et les personnes à convaincre ne manquent pas. Selon le LA Times, le Ministère de la Santé américain estime que « environ 150 personnes, incluant le personnel infirmier, les techniciens d’imagerie et les agents du service de facturation, ont accès à au moins une partie du dossier d’un patient au cours de son hospitalisation. Et 600 000 acteurs, fournisseurs et autres entités qui convertissent les données brutes des fournisseurs en données de facturation y ont également accès. »

Mais les exigences imposées par la confidentialité et le principe selon lequel le patient doit accepter le transfert des informations, peut compliquer la coordination des soins médicaux.

« Même si le gouvernement et les compagnies d’assurance veulent faire des médecins généralistes des ‘pilotes de la santé’ (pilotant les patients à travers le système de santé global), cela n’est pas autorisé en Allemagne, sauf si le patient a donné son consentement », souligne M. Weichert. Et même dans ce cas, le médecin généraliste n’obtient qu’une lettre dans laquelle le spécialiste résume les résultats, sans fournir les données originales.

Les détails juridiques sont différents dans chaque pays mais, selon M. Finn, cela signifie toujours que le médecin « doit comprendre la loi et son intention et garantir que la bonne personne, et seulement la bonne personne, a accès aux données. »

Il reconnaît que le secteur ne fait que commencer : « La loi donne de bonnes indications mais sur certains sujets, elle ne donne pas de réponse directe. Nous la comprenons au fur et à mesure de notre progression et il existe de nombreuses ressources au sein de l’industrie qui travaillent pour aider à instaurer des normes dans un processus évolutif. »

M. Finn explique que toute l’industrie de la santé, y compris les assureurs santé et l’industrie pharmaceutique, considèrent désormais la protection de la vie privée comme un enjeu sérieux, même si certaines personnes ne suivent pas toujours les bonnes procédures.

Violations de sécurité

Dans son rôle de gardien de la sécurité, M. Weichert n’est pas aussi optimiste. Il n’est pas certain que les hôpitaux aient toujours les bonnes priorités.
« Formulées de manière abstraite, leurs lignes de conduite sont honorables », poursuit-il, « mais concrètement, la protection des données est chère et complexe, à l’heure où des économies doivent être faites. Tous les hôpitaux présentent des déficits et la situation est désastreuse quand l’on examine leur cas individuel. »

M. Finn insiste sur le fait que la plupart des violations sont accidentelles : un chercheur qui n’a pas réussi à supprimer le nom sur une radio qu’il copie, quelqu’un qui a accidentellement copié une centaine de fichiers alors qu’il voulait en copier un seul. « Il faut comprendre les flux de données et appliquer des contrôles », commente-t-il.

M. Finn pense que le plus grand risque actuel est l’apparition de programmes malveillants d’une intensité criminelle jamais vue. Et les dangers sont spécifiques pour le secteur de la santé. Par exemple, les équipements biomédicaux comme les systèmes d’échographie et moniteurs sont de plus en plus souvent reliés aux réseaux, de sorte que leurs résultats sont directement enregistrés dans le dossier médical électronique.

« Ils sont souvent dotés de systèmes d’exploitation très primitifs », avertit M. Finn, « si bien qu’un programme malveillant qui l’infecte peut infiltrer tout le réseau. Et comme le système connaît souvent le nom du patient, sa date de naissance, ses données d’assurance, cela peut donner accès à d’autres informations – comme des données de carte de crédit. »

Ces informations seraient utiles à des escrocs mais ce sujet dépasse les préoccupations normales par rapport à la confidentialité médicale. Les patients s’inquiètent davantage que leur employeur apprenne la raison pour laquelle ils ne sont pas venus travailler, à savoir une dépression et non une migraine, qu’une nouvelle compagnie d’assurance découvre dans le passé médical l’existence d’un problème cardiaque antérieur ou que le médecin généraliste d’une nouvelle ville ne soit au courant d’un avortement subi plusieurs années auparavant.

M. Weichert considère la confidentialité comme un élément fondamental de la relation de confiance avec chaque médecin, comme c’est le cas depuis l’époque d’Hippocrate.

« Je pense que le mieux est d’instaurer des procédures strictes », indique-t-il. « On souhaite parfois les assouplir mais personne ne sait alors jusqu’où cela peut aller. »

Mais il est convaincu que la protection des données est dans l’intérêt des hôpitaux : « L’argent est un critère important, mais les investissements réalisés dans des systèmes d’information qui respectent les règles de protection des données amélioreront l’efficacité globale du système et profiteront à tous. »

Par Michael Lawton

Comment

You must be logged in to post a comment.