Pour trouver une donnée de santé à caractère personnel sur quelqu'un, pas besoin de creuser longtemps, associez simplement âge, sexe et poids et vous avez déjà une donnée qui peut vous informer sur la santé de quelqu'un ! Évidemment, ni vous ni moi n'avons envie que ce genre de donnée circule librement et qui sait, soit vendue ou utilisée à des fins commerciales.
En France, tout cela est très encadré et très sécurisé de part la tendance à la dématérialisation des données médicales et l'émergence des dossiers patients informatisés !
4 décrets décrivent les obligations légales à suivre des que l'on touche à une donnée de santé.
le décret de confidentialité
Il décrit tout ce qui doit être mis en œuvre pour assurer la confidentialité des données de santé à caractère personnel. Ainsi un professionnel de santé doit d'après les textes obligatoirement s'identifier et s'authentifier via sa carte professionnel de santé (CPS) avant d'accéder à vos données. Et de fait, les hôpitaux, les cliniques, mais aussi votre médecin généraliste, dentiste ou pharmacien doivent mettre en place les systèmes qui permettent cette identification/authentification.
Tout cela sous entend que si un industriel souhaite proposer un service d'e-santé accédant ou créant des données de santé à caractère personnel, il doit respecter ce décret et ainsi s'interfacer avec le référentiel des professionnels de santé géré par l'Ordre des Médecins.
le décret d'hébergement des données de santé à caractère personnel
Des données de santé sont créées par milliers tous les jours. Votre hôpital, votre clinique, votre médecin traitant n'a aucune obligation particulière pour les héberger au sein de son établissement ou cabinet (mis à part celle de les garder un certain nombre d'années). Cependant s'il décide d'externaliser l'hébergement et l'archivage de ces données, l'industriel auquel il s'adresse est soumis au décret d'hébergement.
Ce décret lui impose un cahier des charges strict comprenant plus de 73 exigences parmi lesquelles on retrouve les notions d'inviolabilité, de sécurité, de qualité de service... Le respect de ces exigences est sanctionné d'un agrément remis pour 3 ans par le Ministère de la Santé et l'ASIP.
Ainsi de nombreux éditeurs de logiciels santé ont du acquérir un agrément d'hébergement pour leurs applications en mode SaaS. Ces dernières génèrent des données de santé par leur utilisation par le client, données hébergées dans le "cloud" et donc pas chez leur client mais dans les serveurs virtualisés des éditeurs. Elles tombent du coup sous les exigences du décret.
D'autres entreprises comme Orange ont choisi de faire de l'hébergement un métier et ont ainsi obtenu des agréments plus larges. Ce type d'agrément leur permet d'héberger et d'archiver les données de santé à caractère personnel générées ou utilisées par les logiciels de leurs clients.
le décret de télémédecine
Ce décret décrit tout ce qui doit être mis en oeuvre quand une entité souhaite mettre en place une solution de télémédecine.
Il indique notamment qu'absolument TOUT dans un acte de télémédecine doit être enregistré (i.e. Du compte rendu au discours entre les professionnels de santé). Enregistrement qui suppose de fait un hébergement de ces données dans un data center agréé car il s'agit de données de santé.
Les entités souhaitant mettre en place de tels systèmes doivent ainsi s'assurer que les solutions que leur proposent les industriels respectent l'ensemble des dispositions du décret.
enfin le décret sur le droit des patients
Il stipule une chose très importante, expliquant pourquoi certains hôpitaux et cliniques ont fait le choix d'externaliser l'hébergement des données de santé.
Il oblige effectivement les établissement producteurs de soins à garder à minima 20 ans les dossiers médicaux de leurs patients (disposition qui peut même aller jusqu'à 100 ans pour les données psychiatriques). Une durée très longue pour des établissements dont le cœur de métier n'est absolument pas d'archiver des rayonnages de dossiers ou de mettre en place un data center ! D'autant plus que la justice a déjà condamné des établissements pour la perte de ces données...
Cela explique pourquoi le métier d'hébergeur des données de santé à caractère personnel a semble-t-il un grand avenir...
Caroline,
PS: Merci à Christian, mon collègue chez Orange Healthcare, pour cet article écrit à 4 mains ;)
Crédit photo : © Kudryashka - Fotolia.com
Spécialiste de la communication digitale, je donne vie à Orange Healthcare sur les réseaux sociaux jours après jours. Geekette dans l'âme, je reste à l'affut de toutes les nouvelles applications des technologies dans la santé mais aussi dans d'autres domaines.