Réglementation

Où en est le décret de confidentialité ?

Publié le 19/12/2009

Article réservé aux abonnés

Signé in extremis aux dernières heures du gouvernement Villepin, le décret sur la confidentialité des données médicales conservées sur support informatique ou transmises par voie électronique doit être pris en compte par les établissements de santé dans les trois années suivant l’entrée en vigueur de cette directive. Autant dire que dès l’année prochaine, celle-ci devrait entrer en vigueur. Où en est-on de son application sur le terrain ?

Si le premier arrêté du décret de confidentialité est en cours d’approbation dans le cadre de la loi HPST, la prise en compte de cette réglementation est loin d’être effective. Pourtant, en mai 2010, tous les acteurs concernés devraient s’y soumettre. Sauf à obtenir une prorogation espérée et attendue. Du côté des pouvoirs publics, aucun signe dans ce sens. Pour Christophe Cianchi, manager chez Business Card Associates, « l’application de la réglementation est trop contraignante en l’état, notamment en milieu hospitalier ; les établissements sont engagés dans de multiples projets consommateurs de temps et d’énergie. D’autre part, beaucoup n’ont pas les moyens financiers de s’y conformer ; enfin, certains souffrent d’un déficit technologique, car ils n’ont aucune base en la matière pour avancer dans des conditions satisfaisantes. Il faut au minimum disposer aujourd’hui d’un SSO* ou, a minima, d’un annuaire pour espérer se conformer aux délais prévus par le décret de confidentialité. Combien en sont à ce niveau ? Très peu », estime-t-il.

La mise en place de la carte CPS pose question…

Autre souci pour la mise en pratique du décret de confidentialité, la nécessaire prise en compte de la carte CPS comme unique moyen d’authentification forte nominative, en remplacement de celle partagée dans les différentes applications d’un SIH des hôpitaux. Or, ces derniers disposent souvent de cartes d’établissements déjà existantes. L’arrivée d’un nouveau support est perçue comme une complexité supplémentaire à gérer. Seule solution, décorréler le certificat d’authenticité de la carte CPS et permettre son intégration dans des cartes d’établissements multiservices. Pour l’heure, on n’en est pas là. Et la donne se complexifie du côté de la médecine de ville quand on évoque la perspective d’une convergence entre la CPS et la carte ordinale. Une cible qui soulève quelque susceptibilité chez certains. Pour finir, ce support électronique devrait faire l’objet d’une nouvelle version promise avant la fin de l’année 2009. Elle devrait introduire une ergonomie neuve, marquée notamment par une lecture sans contact. Pour être authentifié par la version actuelle, le professionnel de santé doit l’insérer dans un lecteur dédié. Cette approche est efficace et commode pour des postes de travail dédiés, mobile ou fixe. Elle devient facilement inefficace quand il s’agit de l’utiliser dans un contexte de poste de travail banalisé et donc mis à la disposition de plus d’un professionnel de santé, comme c’est le cas aux urgences ou dans les chambres de patients. La nouvelle génération proposera une double technologie, l’une de lecture avec contact comme c’est actuellement le cas et l’autre sans contact. Cette dernière permettra à l’utilisateur, grâce à des manipulations limitées, d’accéder à son espace de travail dédié. Elle se prête efficacement au contexte actuel de grippe A redoutée en limitant le toucher des appareils et des portes d’accès. Pour être valable, l’utilisation sans contact est subordonnée à une authentification primaire du professionnel de santé, authentification forte (saisie d’un code secret déclenchant les mécanismes cryptographiques) activée lors d’une première initialisation de la session de travail sur un lecteur. Par la suite, le mode « sans-contact » entre en vigueur grâce à une reconnaissance automatique de l’utilisateur et à l’ouverture de sa session.

… mais est attendue

On le voit, la carte CPS de nouvelle génération devrait apporter de grandes nouveautés. En clair, elle est attendue. Une attente qui peut peser sur la mise en pratique du décret de confidentialité. Car plus d’un établissement subordonne le lancement de son projet en la matière à la sortie de ce sésame.

Du reste, dès son entrée en vigueur, le décret de confidentialité devrait avoir des impacts sur les SIH et les usages associés. Cette réglementation qui rend le directeur de l’établissement responsable pénalement en cas de non-respect nécessite donc une conduite de projet à part entière, avec au final un accompagnement au changement des utilisateurs. Autant dire qu’il faudra plusieurs mois pour le mener à bien. Même finalisée dans les établissements, la prise en compte de ce décret sera pérenne. Il faudra administrer les droits des utilisateurs, qu’il s’agisse de révocation ou de gestion de cartes perdues, voire volées. En fait, le décret de confidentialité invite à un véritable changement de culture.

* L'authentification unique (ou identification unique ; en anglais Single Sign-On ou SSO) est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites Internet sécurisés).

Gregg-Ivan Boumal