Mission pour l’informatisation des services de santé

La MISS a prouvé sa totale négligence à organiser la sécurisation des données de santé et leur hébergement par des prestataires dument agrémentés, dans le cadre du vaste chantier d’informatisation des actes médicaux

Le Dossier médical partagé (DMP), reporté à 2010 par Roselyne Bachelot, a beau ne pas exister, les données de santé, elles, se collectent, se partagent et se mettent en ligne à la pelle : Dossier Pharmaceutique, épaulé par l’industrie (2,4 millions de dossiers partagés entre officines), Web Médecin et Historique des remboursements (financé et piloté par la CNAM), « dossiers réseaux communicants » pour les spécialistes de pathologies lourdes (cancer, diabète, cardiologie). Les biologistes procèdent aux échanges d’analyses biologiques via des systèmes privés, comme Bioserveur, propriété de la multinationale Agfa Gevaert, et les régions développent des plateformes régionales de télé-santé. Sans compter quelques réseaux intranet pour les Centres de santé municipaux (en Seine St Senis par exemple), et les messageries pour échanges entre praticiens.

La question de la sécurisation des échanges de ces données sensibles et très personnelles et celle du strict encadrement des hébergeurs à qui elles sont confiées, se pose d’autant plus que les acteurs se multiplient. Certaines sont hébergées par des Réseaux de santé, d’autres par des hôpitaux, des mairies, et la majorité par des entreprises privées, dans des Data Centers parfois délocalisés.

La Mission pour l’informatisation du système de santé (MISS), créée en 1997, aurait théoriquement du se saisir de ces questions et y apporter des réponses, puisqu’elle est chargée de garantir :
 la cohérence des choix stratégiques et techniques
 le respect des règles éthiques
 le respect des prescriptions de sécurité en matière de transmission et d’accès aux informations médicales
 les règles déontologiques pour la conception et la diffusion des services et logiciels offerts à travers le réseau santé-social

La loi Kouchner du 4 mars 2002 fixait le cadre, en autorisant " les professionnels de santé ou les établissements de santé ou la personne concernée, à déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet". Sous réserve du "consentement exprès de la personne concernée".

Il faudra attendre le 4 janvier 2006 pour qu’un décret définisse les conditions de cet agrément et instaure un “ Comité d’agrément” en charge d’instruire les demandes des hébergeurs pour le ministère de la Santé. Il n’homologuera que les hébergeurs en charge des expérimentations (tout aussi tardives) du DMP, avant de suspendre ses activités, faute de publication des référentiels nécessaires à l’agrément.

La MISS n’ a sans doute pas eu le temps d’y pourvoir, puisque la loi du 30 janvier 2007 suspendra opportunément les procédures d’agrément (jusqu’au 1er février 2009), laissant la CNIL délivrer au coup par coup des récépissés de déclaration de traitements informatiques de données de santé. Depuis l’arrivée de son nouveau directeur, André Loth, ancien responsable à la CNAM de la mission Sesam-VITALE (dont on connait les failles et les insuccès), la MISS n’a guère progressé. Le 2 février 2009, on n’en savait guère plus.

Dans une interview publiée par Espace Social Européen, André Loth déclare "les entreprises d’hébergement qui avaient obtenu l’accord de la Cnil continuent d’être autorisées, contrairement à ce qui a été écrit. Elles doivent simplement via la Miss faire une demande d’agrément au comité qui conseillera à la ministre de l’accorder ou non."

C’est donc bien la MISS qui gère ce dossier. C’est elle qui "a dessiné les plans de l’invraisemblable usine à gaz législative et réglementaire de l’agrément des hébergeurs de santé, écrit Jean-Jacques Fraslin sur i-Med. 7 ans après le vote de la Loi Kouchner instituant l’agrément obligatoire des prestataires d’hébergement en ligne des données de santé, la procédure est au point mort".

Questionné sur le pourquoi du retard André Loth répond : « la période 2007-2008 a été très agitée. Du coup, ce sujet s’est trouvé relégué au second plan » (sic !) mais « la procédure d’agrément des hébergeurs de données de santé a repris dès le 2 février ». On apprendra un mois plus tard - il était temps - que le GIP DMP a rendu public un référentiel.

Les six ordres des professions de santé (médecins, pharmaciens, dentistes, kinésithérapeutes, pédicures- podologue et sages-femmes) se sont eux aussi inquiétés récemment. Un projet
d’arrêté concernant l’authentification des utilisateurs et à
la transmission des informations médicales sur un réseau ouvert, stipule que le recours à la Carte de Professionnel de Santé (CPS) pour s’authentifier serait recommandée... mais pas obligatoire.

Pour M. Fraslin, on est toujours dans "un invraisemblable no man’s land".
"Une banale “déclaration préalable” au titre de la “Loi du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés” suffit pour exercer le métier d’hébergeur en ligne des données de santé. La procédure n’est pas plus contraignante que celle utilisée pour héberger les données personnelles des membres d’un forum consacré à l’art du macramé ! Quant au patient pourtant concerné au premier chef, c’est le dernier informé. Sa “cartographie santé” en ligne reste un secret. Aujourd’hui il lui est impossible d’obtenir facilement la liste des sites mettant en ligne ses propres données de santé !"