Confidentialité des données de santé : foison ou jachère ?

 Comment s’assurer que les informations de santé circulent en toute sécurité et confidentialité ?
Les données personnelles de santé contiennent une partie de l’intimité de chacun et doivent rester confidentielles. La France a été pionnière dans la protection des données personnelles en promulgant la loi Informatique et Libertés du 8 janvier 1978 et en créant la CNIL. D’abord il faut protéger: c’est le vœu pieux, pas de mesures cohercitives réellement appliquées, seulement un cadre général soumis à interprétation. Seconde étape : le bâton avec notification, à l’autorité, aux personnes concernées, voire aux media des atteintes à la vie privée et à la clé amendes, sanctions financières proportionnelles, retrait d’agrément. Troisième étape : la carrotte par le lien entre subventions et satisfaction de prérequis de confidentialité. 
Les réglementations : en pleine mutation
Le cadre réglementaire portant sur la sécurité des systèmes d’information de santé en France est une cible mouvante. Il y a eu un véritable effort de formalisation et de réglementation avec la publication en mai 2007 du décret relatif à la confidentialité des données de santé. 
Le décret de mai 2007 sur la confidentialité des données de santé n’ayant pu finalement jouer son rôle, l’Agence des Systèmes d’Information Partagés de santé a alors vu le jour. 
Initiée en avril 2009 avec l’annonce des grands axes de la relance opérationnelle du DMP et des systèmes d’information partagés de santé, la réforme de la gouvernance des systèmes d’Information partagés de santé vise à consolider la maîtrise d’ouvrage publique pour créer les conditions de leur émergence et de leur développement face aux enjeux croissants de santé publique. Elle a engendré la mise en place de l’ASIP Santé, qui intègre la concertation avec les acteurs de santé comme principe d’action. L’ASIP s’est alors dotée d’outils de gouvernance destinés à faciliter sa mise en œuvre.  
L’évolution du cadre réglementaire en ce qui concerne la sécurité va dans deux directions 
Les hébergeurs de données de santé à caractère personnel et les politiques de sécurité
L’ASIP a réussi à donner vie à un décret qui datait de 2006 sur des hébergeurs de données de santé et à définir les mesures de sécurité que doivent mettre en œuvre les hébergeurs pour protéger la confidentialité des données des patients. Les établissements de santé n’ont pas l’obligation d’être conformes au décret lorsqu’ils hébergent les données de leurs propres patients. Toutefois cette subtilité évolue puisque les grands établissements hébergent de plus en plus d’applications et donc des données pour d’autres établissements. Ainsi le CHU de Nice a été le 1er établissement à être agréé.
Le décret d’hébergeur de santé est un décret d’agrément, agrément donné par le Ministère de la Santé sur instruction du dossier par l’ASIP lequel comporte un important volet sur la confidentialité et la traçabilité. En matière de traçabilité, il faut pouvoir à la demande d’un patient ressortir l’historique d’une action ; pouvoir stocker les accès, les rechercher et les restituer facilement.

Une feuille de route pour les systèmes d’information hospitaliers

Le plan hôpital numérique est un plan sur 5 ans (de 2012 à 2016) mis en place par la direction générale de l’offre des soins.

Ce plan a notamment pour but d’être sûr que les investissements sont faits à bon escient. C’est tant un instrument pour favoriser des décisions politiques en matière de santé qu’un moyen de s’assurer que les subventions publiques accordées le sont sur des projets qui aboutissent. Un volet du plan est constitué de 5 pré-requis qui doivent être satisfaits par les groupements de santé et correspondants à des investissements sur des axes plus précis qu’auparavant. 
Parmi ces pré-requis, des domaines concernent la confidentialité et la sauvegarde des informations. Concernant la confidentialité, une partie porte sur la traçabilité qui doit être assurée sur 100 % des applications. Il faut alors pouvoir implanter des outils qui intègrent facilement et à moindre coût des applications diverses qui ne sont pas forcément issues d’un même éditeur. D’où la nécessité de mettre en place une traçabilité dans un environnement hétérogène tant des applications que des structures informatiques. 
Espérons qu’Hôpital Numérique et la Politique Générale de Sécurité des Systèmes d’Information de Santé de l’ASIP permettent d’aller dans le bon sens