Examinant les systèmes de cartes de l’assurance maladie, la Cour des comptes dans son rapport 2010 se penche sur la protection des données médicales dont le principe a été posé par la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé.

Après avoir relevé que cinq ans s’étaient écoulés entre la loi et le décret d’application du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique, la Cour constate que huit ans après la loi, le principe demeure largement inappliqué. A ce jour, l’accès aux données médicales demeurerait fréquemment peu sécurisé hors établissement comme dans les 3 000 établissements sanitaires et médico-sociaux concernés.

« La direction de l’hospitalisation et de l’organisation des soins (DHOS) avait à juste titre estimé en 2007, sans être écoutée, à sept années, au lieu des trois fixées, le délai de la mise en oeuvre par les établissements de l’identification des professionnels, compte tenu d’une maturité technologique et de compétences inégales en leur sein, des contraintes budgétaires ainsi que de la capacité limitée des fournisseurs actuels. Trois ans après le décret, ces référentiels ne sont pas encore parus.
La stratégie était de sécuriser les données en rendant la CPS obligatoire à partir de mai 2008 hors établissements et de mai 2010 dans les établissements. Cela supposait des moyens très considérables en investissements et en personnels, mais le ministère avait élaboré le décret sans étude d’impact technique et budgétaire préalable. Il a donc commis une erreur d’appréciation en instaurant un principe et des échéances qu’il ne pouvait ni budgétairement ni matériellement faire respecter.
La DHOS avait cependant, sitôt le décret paru, mis en chantier un programme de mise en conformité des systèmes d’information hospitaliers avec le dispositif CPS et lancé une première tranche expérimentale de 23 établissements dans le cadre d’un plan de généralisation. Avec le « GIP sur la modernisation des systèmes d’information hospitaliers » (GMSIH) et le GIP CPS, elle a assuré à l’automne 2009 la livraison des guides techniques nécessaires et une évaluation des premières expériences. Mais la situation est maintenant bloquée. »

L’ASIP répond qu’il n’existe pas de politique générale de sécurité documentée pour les systèmes d’information de santé et indique qu’à cet égard, “la recommandation de la Cour de « mettre en oeuvre la continuité de la stratégie en matière de confidentialité des données médicales » nous semble de ce point de vue ambiguë et réductrice.
Le gel de la mise en oeuvre du décret de 2007 n’est pas dû à l’initiative de l’ASIP Santé, mais au constat, effectué par l’ensemble des acteurs, du caractère difficilement applicable du texte et de l’irréalisme des délais qu’il impose, irréalisme souligné par ailleurs par la Cour. De plus, ce gel fait suite à une modification de la loi introduisant la possibilité de sécuriser les échanges avec, outre la CPS, des « dispositifs équivalents », de façon à ouvrir le champ des technologies possibles.
Cette modification ne vise pas à « concurrencer » la CPS, mais à reconnaître une évidence, à savoir que la CPS ne peut constituer l’alpha et l’oméga de la sécurité face aux évolutions rapides des techniques et des pratiques. De fait, le GIP CPS distribue d’ores et déjà des certificats serveurs qui ne sont pas des CPS.
C’est la raison pour laquelle, en l’absence de définition sur une base consensuelle d’une stratégie nationale en matière de sécurité et afin de ne pas prendre le risque de délivrer un message susceptible de créer de la confusion, l’ASIP Santé a préféré suspendre la publication de documents sur des expérimentations en établissements, dont on ne savait dire si elles constituaient ou non un modèle acceptable ».

A suivre !