DPI de GHT : habilitations et contrôles, partie I

Première méthode : les contrôles « a priori ». Il s’agit d’implémenter au sein du DPI des règles d’habilitation qui calculent, à partir de variables telles que la présence du patient dans une unité, l’appartenance d’un praticien à cette même unité, un délai de carence en jours après le départ du patient, une spécialité transversale à celle du praticien (urgentiste, radiologue…), etc., une fonction de type interdit/autorisé. Physiquement, un bridage dans le DPI donne accès au dossier uniquement si la fonction mentionnée produit le résultat « autorisé ». Il s’agit bien d’un bridage technique, mais qui peut être amendé par une fonction de type bris de glace, pour traiter les urgences médicales.

Principal avantage de la méthode : elle a le mérite de faire consensus, tant auprès des pouvoirs publics (Cnil) que des associations de patients et des praticiens les plus rétifs à la mise en commun des données au sein d’un même DPI. Sur ce dernier point, il faut se souvenir en effet qu’une des réticences aux premières générations de DPI provenait du corps médical lui-même : « Monsieur le DSI, il est hors de question que je mette MES données de MES patients dans un logiciel que tout le monde pourra consulter » (quand on raconte ce genre de réactions à des jeunes chefs de clinique, ça les fait franchement rigoler, preuve que le corps médical a fait beaucoup de chemin depuis et qu’il n’est pas le mammouth inerte que certains voudraient bien laisser croire). Principal défaut de la méthode : dans les gros établissements, cela ne fonctionne pas : très rapidement, on est conduit à ouvrir des exceptions à n’en plus finir pour toutes les professions transversales, radiologues, biologistes et pharmaciens bien entendu, mais pas seulement : infirmières de pool, infirmières hygiénistes, éducateurs thérapeutiques, kinés, etc. Et surtout tout le temps : dans un fonctionnement en mode 24/365, le professionnel d’un site qui n’a pas accès à une donnée vitale – voire pire, qui ne sait pas qu’elle est dans le DPI – fait courir un risque au patient. À tel point que le corpus des exceptions finit par dépasser en taille et de très loin la règle générale. Et surtout, que l’on fait courir des risques aux patients : si un patient atteint du VIH est pris en charge par un ophtalmologue pour une pathologie qui n’a rien à voir avec le VIH, ce dernier peut faire de très grosses bêtises s’il n’a pas connaissance de l’état du patient. On est donc conduit à ouvrir temporairement des droits. Mais qui gère, qui ouvre et qui referme ces accès temporaires ? Rapidement les identifiants génériques se créent, se prêtent et, au final, le corpus de base lui-même est contourné.

Seconde méthode : les contrôles « a posteriori ». Le système est simple : tout est accessible à tout le monde (corps médical et soignant s’entend), mais tout est tracé, et les traces sont exploitées. Et surtout, tout abus est sanctionné. Plusieurs grands CHU ont entamé ces dernières années une mutation de la méthode « a priori » vers la méthode « a posteriori », et force est de constater qu’il n’y a que peu d’abus. Et les abus sont détectés : ils concernent dans la plupart des cas des consultations de dossier patient, par un agent d’une unité de soins, pour un dossier concernant un collègue de travail ou un voisin de palier (les accès indus à des dossiers de VIP sont très rares, justement parce que tout le monde sait que c’est hypersensible). Point intéressant : contrairement à ce que l’on pourrait penser, la méthode « a priori » n’empêche nullement ces accès indus : tout personnel d’une unité de soins voit par définition tous les patients de l’unité, et c’est bien l’une des principales causes d’indiscrétions. Sans parler du fait qu’avec le passage en pôles, voire en plateformes de soins, la granularité augmente, donnant de facto accès à des dossiers de plus en plus de personnels. Et surtout, dans la méthode « a priori », il est rare que les accès soient tracés et les traces exploitées. Par conséquent ces indiscrétions ne sont, dans la plupart des cas, pas détectées.

L’expérience montre que le passage à la méthode « a posteriori » améliore la confidentialité des données patients sans dégrader leur accessibilité pour le soin, mais à condition que les traces soient exploitées et les abus sanctionnés : sans ces deux derniers étages du dispositif, cette seconde méthode ne doit évidemment pas, et en aucun cas, être mise en place.

Le lien avec le RGPD est évident : ce dernier impose certes de concevoir une solution en mode Privacy by Design, mais surtout de réaliser une étude d’impact sur la vie privée de tout le dispositif. Le RGPD ne dit jamais quels risques prendre ou réduire, mais stipule simplement que les risques doivent être évalués et traités de façon rationnelle. Je ne vois personnellement aucun inconvénient à ce que l’appréciation des risques d’un DPI dont les habilitations sont gérées selon le mode « a posteriori » précise que le risque de perte de confidentialité est identifié et réduit par la mise en place de la traçabilité généralisée, d’une analyse systématique des traces et d’un système de sanctions en cas d’abus.

À suivre.