Données médicales numériques

«La protection des données ne doit pas être affaire de prix»


Obligatoire en tout temps, la protection des données médicales gagne en importance avec la numérisation. Prestataires de santé et fournisseurs de systèmes informatiques sont confrontés aux mêmes défis.


Texte: Roger Welti, Images: ©iStock, ©Alamy, ©Keystone, 14 décembre 2017




Le dossier électronique du patient (DEP) donne lieu à de nombreuses discussions sur la protection et la sécurité des données dans le secteur de la santé - tant au niveau privé que parmi les experts. Selon le baromètre Swiss eHealth 2017, 65 pour cent de la population fait confiance aux établissements qui travaillent avec le DEP et doivent protéger ces données - un pourcentage tout à fait acceptable. Les professionnels de la santé sont plus sceptiques. 35 pour cent des médecins et 42 pour cent des pharmaciens ne proposeraient pas de DEP à leurs patients pour des raisons de protection des données. Quels défis la protection électronique des données du patient doit-elle relever? Nous avons interrogé l’Office fédéral de la santé publique (OFSP), les prestataires de santé et les fournisseurs de systèmes informatiques.


Le changement de paradigme favorise la sensibilité

La numérisation du système de santé, et notamment le DEP, modifient durablement l’équilibre des pouvoirs dans le traitement des données médicales. Pour la première fois, le patient peut consulter ses propres données et contrôler lui-même leur accès. Les temps où un groupe indéfini de personnes avait accès aux données de santé d’un patient - à son insu - sont révolus. «Nous vivons un changement de paradigme», déclare Salome von Greyerz, cheffe du département Stratégies de santé à l’OFSP. «Ceci oblige les prestataires de santé à être encore plus sensibles à la question de la protection des données.»

Mais cette prise de conscience ne suffit pas. Il convient de trouver des solutions techniques qui répondent aux nouvelles exigences. Salome von Greyerz est consciente du fait que «les exigences en matière d’authentification vont augmenter dans les hôpitaux et auprès d’autres prestataires de santé». Les nouveaux processus de connexion doivent, selon elle, être compatibles avec les procédures de traitement afin de maintenir l’efficacité et la qualité. Et Salome von Greyerz d’ajouter: «Il existe des exemples fructueux de fournisseurs de santé et de partenaires technologiques expérimentés qui sont parvenus à trouver des solutions convaincantes grâce à une coopération à la fois intensive et constructive».





Externalisation à des professionnels, une solution qui mérite d’être testée

De telles solutions ne sont pas gratuites, un fait dont l’OFSP est tout à fait conscient. Salome von Greyerz a une opinion déterminée sur les coûts générés: «La protection des données ne doit pas être affaire de prix». Si les standards minimaux de protection des données exigés par la loi entraînent des coûts, les prestataires de santé devront en tenir compte dans les négociations collectives.

L’OFSP considère que la sensibilité en matière de protection et de sécurité des données et l’expertise des prestataires de santé informatiques sont extrêmement élevées. Cependant, le logiciel rançonneur «WannaCry» et d’autres incidents ont prouvé que les petits hôpitaux notamment, mais aussi les foyers et les cabinets médicaux, présentent des vulnérabilités dans les systèmes primaires. «Le transfert de la sauvegarde de données des systèmes locaux vers le cloud peut ici s’avérer être une méthode éprouvée», explique Salome von Greyerz. La prochaine actualisation de la stratégie eHealth de la Confédération contient des recommandations et des mesures d’accompagnement formulées pour aider les prestataires de santé dans le domaine de la sécurité des données.


Le secteur ambulatoire exige une rémunération

Selon Yvonne Gilli de FMH, l’acquisition de connaissances doit également être un objectif important. Avec la numérisation, les médecins établis doivent faire face à de nouveaux défis concernant l’enregistrement, l’administration et l’échange des données. «La Suisse manque fondamentalement d’expertise en informatique médicale. Il serait urgent de la renforcer - et ce, dès le niveau universitaire», explique Yvonne Gilli.

Selon elle, le savoir-faire seul ne suffit pas. Les médecins établis sont tributaires de la rémunération des services informatiques qu’ils fournissent - donc également pour les efforts entrepris en matière de protection du dossier électronique des patients. «Toutefois, ceci ne se reflète pas dans les systèmes de rémunération existants», commente Yvonne Gilli. Dans aucun pays du monde, la promotion durable de la numérisation dans la pratique ambulatoire n’a fonctionné sans cofinancement public. Et Yvonne Gilli d’ajouter: «C’est le cas aussi en Suisse, même s’il n’y a actuellement aucune volonté politique allant dans ce sens.»





Manque d’intérêt des patients

Alors que les prestataires de santé ont des devoirs à remplir en matière de protection et de sécurité des données, les patients semblent porter un faible intérêt à ce sujet, affirme Yvonne Gilli de FMH. «Hommes ou femmes, les Suisses souhaitent surtout avoir accès à leurs données par voie électronique.» À l’heure actuelle, ils ont encore peu de questions concrètes sur la protection et la sécurité des données.»

Dans le domaine stationnaire, il n’est pas possible de faire une déclaration générale sur l’intérêt des patients pour la protection des données. «Dans le cadre de la Stratégie nationale contre le cancer, une sensibilisation accrue peut cependant être identifiée chez les patients de l’oncologie, par exemple», explique Caroline Piana, responsable de la division Tarifs, eHealth de l’association des hôpitaux H+.


Bien plus qu’une simple question d’informatique

Les hôpitaux doivent faire face à un défi particulier en ce qui concerne les dossiers médicaux. En effet, ces données sont enregistrées sur différents systèmes informatiques. Souvent, ces systèmes ne sont pas mis en réseau, ce qui peut être avantageux en cas d’attaques venant de l’extérieur. «Un inconvénient, cependant, est qu’il est plus difficile pour les hôpitaux de suivre toutes les collectes de données concernant les patients et leur fusion dans le DEP», explique Caroline Piana. La direction des hôpitaux doit donc définir des procédures organisationnelles, techniques et de processus nécessaires avant de pouvoir participer à une plateforme DEP. «L’interface avec une plateforme DEP n’est ainsi pas seulement un projet informatique, mais aussi une approche holistique de l’hôpital en tant qu’entreprise, en termes d’organisation et de processus», souligne Caroline Piana.

Qu’en est-il du savoir-faire nécessaire en matière de protection des données dans les hôpitaux suisses? L’association H+ souligne que la sécurité des données des patients n’a pas attendu la numérisation pour devenir une priorité. «Les hôpitaux ont leurs propres conseillers à la protection des données ou recherchent la coopération d’experts reconnus.» ajoute Caroline Piana. L’un des défis majeurs pour le DEP est d’avoir suffisamment de personnel hospitalier possédant l’expertise nécessaire. H+ offrira des possibilités de formation appropriées dans ce domaine.

La direction de chaque hôpital doit décider, elle-même, si elle souhaite mettre à disposition les connaissances en matière de protection des données en interne, si elle veut s’associer à d’autres hôpitaux ou si elle préfère disposer d’un soutien par le biais d’experts externes. «Les hôpitaux doivent vérifier en permanence, dans le cadre d’une analyse des risques, si la sécurité et la disponibilité des données peuvent être assurées plus efficacement par des ressources internes ou externes ou par un mélange des deux», explique Caroline Piana.





Équipe de cyberdéfense et conseiller en protection des données

La complexité des questions techniques et juridiques en matière de protection des données pousse les prestataires de santé suisses à recourir également au soutien de partenaires expérimentés. C’est certainement la raison pour laquelle les dépenses TIC prévues par les hôpitaux et foyers pour les prochaines années ont manifestement été transférées d’une exploitation interne vers des services externes, comme le prouve une étude parue récemment.

Les fournisseurs de systèmes informatiques offrent aux acteurs du secteur de santé suisse un savoir-faire et des solutions techniques que ceux-ci ne peuvent ou ne veulent pas apporter eux-mêmes. Swisscom dispose d’une expérience de longue date dans le domaine de la sécurité des données. Le Groupe compte notamment plus d’une centaine d’experts en sécurité. Le fait que Swisscom emploie un conseiller en protection des données spécialement pour le secteur Health montre à quel point ce prestataire de services informatiques attache de l’importance à la sécurité des données des patients. Martin Smock veille au respect de toutes les lois et réglementations. En contact permanent avec l’OFSP, il est l’interlocuteur du Préposé fédéral à la protection des données et à la transparence.

«La protection des données et de la vie privée des clients et des patients est notre priorité absolue», souligne Martin Smock. En tant que prestataire de services informatiques, Swisscom adhère clairement au principe selon lequel les données médicales doivent faire l’objet d’une protection spéciale et ne sont pas évaluées par Swisscom. Dans tous les cas, la souveraineté et le droit aux données incombent au patient. Martin Smock explique: «Avec notre technologie, nous aidons les patients à faire respecter leurs droits.»




La protection grâce à la sécurité


Les défis en matière de sécurité et de protection des données qui s’imposent aux hôpitaux et foyers sont nombreux. Nous avons compilé les sept plus grands défis - et de précieux conseils pour les relever!

> 7 astuces pour les hôpitaux et les foyers


Hand with smartphone

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?