Publicité en cours de chargement...

Publicité en cours de chargement...

Quelques réflexions avant l’été

13 juil. 2021 - 00:07,
Tribune - Cédric Cartau
Pour ce dernier billet avant la serviette et les tongs, deux réflexions/interrogations de votre serviteur avec sa bonne-mauvaise humeur habituelle.

L’actualité, c’est tout d’abord cette énorme fuite de données du laboratoire Cerba. Cerba, ce n’est pas le laboratoire de quartier, si l’on en croit son site Internet, c’est le leader européen des analyses de biologie, avec pas moins de 40 000 analyses par jour et 5 000 clients dans le monde (vérifications faites, plusieurs établissements de santé par GHT en sont clients). Or, si l’on en croit la communication du groupe[1], la plateforme technique de Cerba a été victime d’une « exposition momentanée de données » par la faute (on ne sait pas laquelle) d’un de leurs prestataires d’hébergement (on ne sait pas lequel). Bon, jusque-là, que du classique, et seul celui qui n’a jamais fait d’informatique peut prétendre ne jamais avoir fauté.

Là où c’est plus étrange, c’est que la communication stipule que Cerba se considère comme responsable de traitement des analyses de biologie qui lui sont confiées. Le problème, c’est que la quasi-totalité des DPO à qui cette question a été posée a exactement l’analyse inverse : Cerba est sous-traitant (ST), en aucun cas responsable de traitement (RT). En effet, Cerba n’analyse pas un tube de sang juste pour le fun, mais parce qu’un donneur d’ordre (un client) le lui demande. En ce sens, c’est bien le client et non Cerba qui définit l’objectif, Cerba se contentant de mettre en place les automates et le système automatisé de rendu des résultats. Ce n’est d’ailleurs absolument pas incompatible avec le fait que le ST effectue la déclaration Cnil et informe les patients dont les données ont fuité, c’est juste que la qualification de RT (analyse de Cerba) exonère Cerba de rendre des comptes à ses clients : analyse du dysfonctionnement, communication sur le plan de sécurisation, etc. Mettez-vous à la place d’un patient dont l’hospitalisation a donné lieu à une analyse de sang : peu lui importe que le CH/CHU concerné sous-traite son analyse en Zambie : en termes de fuite de données, il ne connaît que le CH/CHU, et c’est bien à lui qu’il va demander des comptes.

Dernière réflexion avant la plage : les applis de niche du secteur de la santé accessibles aux patients eux-mêmes par smartphone. Je suis tombé récemment sur l’une d’entre elles, qui cible une pathologie très précise difficile à diagnostiquer, et qui propose aux patients de saisir un ensemble de données qui sera ensuite passé à une moulinette algorithmique chargée de calculer le pourcentage de probabilité de telle ou telle pathologie. L’intérêt médical est indiscutable, mais c’est après que tout se corse.

En effet, la suite logique consiste à donner l’accès de ce minidossier médical de spécialité à tel praticien afin qu’il prenne connaissance des éléments renseignés par le patient lui-même. Et, tant qu’à faire, qu’il y ajoute des commentaires, avec la possibilité de prendre connaissance de ceux de ses confrères, le tout pour une meilleure prise en charge médicale s’entend. Premier travers, ce genre d’application tend à déshabiller les DPI des établissements de santé : le DP d’un patient est en effet unique et sous la seule responsabilité de l’établissement de santé. Retrouver des éléments éparpillés sur le Web est tout simplement inenvisageable pour de simples questions de responsabilité juridique. Second travers : qui est RT de cette application ? L’éditeur vous explique que c’est lui (OK, je veux bien) et qu’il peut mettre en place une seconde base servant de dossier de spécialité pour le CH en question, seconde base dans laquelle le praticien saisira ses remarques, ses CR de consultation, etc. Mais qui est RT de cette seconde base ? Le CH ? Comment transfère-t-on des données de la première base (premier traitement) à la seconde en termes d’autorisation ? Comment s’assure-t-on des bonnes règles d’identitovigilance (si vous pensez que les patients sont à même de remplir correctement l’intégralité des cinq à sept champs obligatoires d’identité, vous vous trompez lourdement) ? Comment assure-t-on les fusions d’identité ou leur éclatement en cas d’erreur ? Comment intègre-t-on plus ou moins automatiquement les données de la seconde base dans le DPI local ? Comment gère-t-on le droit à la rectification et l’effacement au sein de trois bases, sachant que pour le DPI et la seconde base les règles ne sont absolument pas les mêmes que pour la première ? Bref, c’est la chienlit.

Bon été quand même.


[1] https://www.lab-cerba.com/sites/Cerba/home/vous-informer/news/incident-de-securite-mycerba.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

08 juil. 2025 - 00:49,

Actualité

- Maellie Vezien, DSIH

À l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.