Après un premier volet consacré à la valeur de la signature attachée aux pièces du dossier médical dans ses deux états, c’est-à-dire en dématérialisation duplicative et en dématérialisation native, le second volet de la présente étude traite des échanges informatisés ville/hôpital et des difficultés de l’archivage.
La messagerie sécurisée de santé : un outil propice à la dématérialisation du processus de soins
Dans le cadre de la continuité de la prise en charge des patients, les services hospitaliers sont régulièrement conduits à correspondre avec les médecins traitants, les pharmacies d’officine, les centres de pathologie, les établissements de soins de suite, les Établissements d’hébergement pour personnes âgées dépendantes, etc.
Se pose, par conséquent, la question des modalités d’échanges entre les professionnels de santé de l’hôpital et leurs collègues extra-hospitaliers.
La Cnil, dans sa délibération du 12 juin 2014[1], semble avoir apporté une première réponse, en décidant que : « La présente autorisation unique concerne les traitements de données à caractère personnel ayant pour objet de permettre l’échange de données de santé au moyen d’un service de messagerie sécurisée de santé entre professionnels de santé et, plus largement, entre les professionnels des secteurs sanitaire, social et médicosocial habilités par une loi à collecter et à échanger des données de santé à caractère personnel. »
Par application de l’article 25-II de la loi du 6 janvier 1978 modifiée, les responsables autorisés à mettre en oeuvre le traitement d’un service de messagerie sécurisée de santé lui adressent une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique.
S’agissant des données traitées, il s’agit de celles relatives :
- aux professionnels habilités ;
- aux patients qu’ils prennent en charge et à propos desquels des échanges d’informations sont nécessaires pour assurer qualité et sécurité de cette prise en charge ;
- aux personnes en charge de l’administration de la messagerie.
S’agissant de la sécurité des données, la Cnil ajoute que « conformément aux dispositions du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, le responsable de traitement est tenu, le cas échéant, d’attester de sa conformité aux exigences du référentiel général de sécurité (RGS) et de rendre cette attestation accessible au public ».
La mise en place d’un service de messagerie sécurisée de santé doit, en outre, satisfaire aux conditions suivantes :
- garantir l’identité de l’émetteur et du desti – nataire d’un message en vérifiant leur appartenance à un référentiel d’identification national ou local (RPPS, Adeli, Finess, Sirene) ;
- assurer la sécurité des messages et des pièces jointes lors de leur transfert ;
- assurer la conservation sous une forme sécurisée des messages et des pièces jointes.
L’instruction du 23 décembre 2014[2] a apporté une deuxième réponse : tous les établissements doivent (devaient !) rendre la messagerie électronique qu’ils utilisent compatible avec le système des messageries sécurisées MSSanté, avant la fin 2015.
De nature à répondre à cette préoccupation, le système de messageries sécurisées MSSanté constitue un « espace de confiance » réservé aux professionnels du secteur de la santé, leur permettant d’échanger des données de manière dématérialisée, sécurisée et confidentielle. Il facilite la coordination des soins entre les établissements de santé et les professionnels de santé exerçant en secteur ambulatoire. Après une phase de tests effectuée avec succès dans 15 établissements de santé, le système de messageries sécurisées MSSanté est opérationnel depuis juin 2014.
D’après cette instruction, « le Dossier médical partagé (DMP), pour les données médicales devant être mises en partage, et les messageries sécurisées de santé (MSSanté), pour les données devant être échangées entre professionnels de santé, sont les deux services complémentaires permettant la transmission dématérialisée des informations utiles à la coordination des soins ».
Le déploiement massif de la messagerie sécurisée de santé facilite, à l’évidence, les échanges de pièces dématérialisées du dossier médical.
Les règles de conservation et d’archivage numérique
La loi (article L.211-1 du code du patrimoine) désigne sous le terme « archives » une réalité très large ne se limitant guère aux documents anciens ni aux dossiers papier : les données informatiques contenues dans les systèmes d’information d’un service ou échangées par téléprocédures, les fichiers bureautiques (documents issus d’un traitement de texte, d’un tableur, etc.), les courriels, etc., en somme tout le patrimoine informationnel, dématérialisé ou non, des organisations, constituent, dès leur création, des archives.
L’archive connaît trois âges, appelés Durée d’utilité administrative (DUA) : l’archive « courante » (utilisation quotidienne), l’archive « intermédiaire » (usage fréquent) et l’archive « définitive » (vouée à l’élimination).
Quel que soit son état, le dossier médical est, à n’en pas douter, une archive.
Les enjeux de pérennité et d’authenticité des données électroniques sont partiellement abordés par le code civil (article 1316-1). Le dispositif de signature électronique indiqué à l’article 1316-4 constitue une réponse à l’enjeu d’authenticité, précisée par le RGS. Cependant, la pérennité reste encore absente des prescriptions réglementaires. Or, les recommandations issues de la sécurité des systèmes d’information ne suffisent pas à assurer la conservation à long terme de l’information numérique.
Celle-ci est sujette à des menaces multiples : modifications abusives et non contrôlées, valeur juridique dépendante de multiples solutions techniques ou encore obsolescence technologique. Sa conservation nécessite donc le recours à des dispositifs appropriés d’archivage sécurisé dont les caractéristiques ont été définies par des normes internationales[3].
Cependant, la reconnaissance juridique de cet état de l’art international est encore faible en droit français.
Dans le secteur médical, le code de la santé publique n’a jamais entériné de recommandations de ce type : l’article R.1111-14 qui décrit une partie de la procédure d’agrément des hébergeurs de données de santé à caractère personnel évoque l’enjeu de pérennité et la nécessité de lutter contre l’obsolescence des formats mais, dans la pratique, seuls ont été pris en compte les points d’attention aux questions de sécurité des systèmes d’information.
Les fonctionnalités d’un Système d’archivage électronique (SAE) conforme aux normes internationales susnommées le distinguent pourtant d’un simple système de sauvegarde.
Un SAE doit permettre de réponse aux enjeux suivants :
- la gestion du cycle de vie des données (permettant au terme des DUA de déclencher les opérations d’élimination ou, le cas échéant, de versement vers des services publics d’archives au titre des archives définitives) ;
- la garantie de l’intégrité des données et documents via des technologies de scellement numérique et des mécanismes de contrôle de cette intégrité ;
- la traçabilité des opérations (au-delà des logs techniques des systèmes) grâce à des journaux du cycle de vie et des journaux d’événements qui sont à leur tour scellés et horodatés ;
- la duplication en temps réel des données et métadonnées sur deux sites distants (en plus des dispositifs habituels de sauvegarde) ;
- la garantie de la réversibilité des données et métadonnées stockées dans le SAE via des formats d’échanges ouverts et standardisés.
Dès lors que la DUA des données dépasse dix ans, le SAE devra permettre de pérenniser l’information numérique via une veille technologique sur les supports et les formats, mais aussi d’assurer une surveillance des supports de nature à anticiper les changements ou conversions de supports et l’utilisation d’outils d’identification, de contrôle et de conversion des formats d’encodage des fichiers reposant sur une stratégie.
Il est illusoire de vouloir conserver à l’identique un document numérique à vie.
L’objectif est d’éviter de conserver des masses d’informations dans un format qui deviendrait inutilisé et inexploitable quelques années après. La migration régulière des formats de données est la solution. La qualité de ces migrations est établie par les métadonnées de traçabilité qui attestent du déroulement de ces opérations dans un cadre contrôlé.
Les outils juridiques disponibles, l’environnement réglementaire et l’écosystème technique sont relativement mûrs pour permettre d’envisager une dématérialisation totale du processus de soins. La maturité est toute relative puisque le processus ne dépend pas uniquement de tel ou tel établissement, mais également de l’ensemble des interlocuteurs. Il s’agit par conséquent d’une démarche globale.
L’auteur
Me Omar YAHIA
SELARL YAHIA Avocats
Barreau de Paris
[1] Commission nationale de l’informatique et des libertés, délibération n° 2014-239 du 12 juin 2014 portant autorisation unique de mise en oeuvre, par les professionnels et établissements de santé ainsi que par les professionnels du secteur médico-social habilités par une loi, de traitements de données à caractère personnel ayant pour finalité l’échange par voie électronique de données de santé à travers un système de messagerie sécurisée (JORF n° 0162 du 16 juillet 2014, texte n° 96).
[2] Instruction n° DGOS/PF5/2014/361 relative a l’usage de la messagerie sécurisée MSSanté dans les établissements de santé
[3] La norme conceptuelle OAIS (Open Archival Information System ou Système ouvert d’archivage) ou ISO 14721, ou encore la norme de l’Afnor NF Z 42- 013 (spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes), devenue la norme internationale ISO 14 641-1.