Communication scientifique
Session of 27 avril 2010

La sécurisation du dossier médical partagé (DMP)

MOTS-CLÉS : dossier médical unique. dossiers médicaux.. informatique médicale
Securing shared medical records
KEY-WORDS : medical informatics. medical record linkage.

Aline Marcelli * et Daniel SOLARET **, Daniel Solaret **

Résumé

Institué par la loi du 13 Août 2004, le dossier médical personnel avait pour but de « soigner mieux à un moindre coût ». Il devait, en effet, éviter des examens redondants ou des traitements incompatibles. Attribué à chaque bénéficiaire de l’assurance maladie, il aurait dû être mis en œuvre le 1er Janvier 2007. Diverses difficultés concernant notamment, la confidentialité des données médicales échangées, ont entraîné des reports successifs de sa date d’application. Six ans après sa création, devenu dossier médical partagé, il n’est toujours pas opérationnel. L’information actuelle fait le point entre théorie et réalité, et constate que des changements fondamentaux doivent être apportés à un projet initial trop ambitieux. Des solutions pratiques et peu coûteuses existent qui permettraient la création d’un dossier médical individuel sécurisé susceptible de recueillir le concours du corps médical et celui de l’ensemble de la population.

Summary

Established in law on August 13th, 2004, the personal medical records system was intended to ensure better treatment at lower cost, notably by avoiding redundant examinations and incompatible treatments. The system should have been implemented on January 1st, 2007, for all people with medical insurance coverage. Various difficulties, and particularly problems of confidentiality, led to successive postponements. Six years after its creation, the shared medical records system is still not operational. This article examines the theory and the reality, and concludes that fundamental changes must be made to what was an overambitious project. Practical and cheaper solutions exist, and would allow the creation of secure individual medical records acceptable to the medical profession and public alike.

INTRODUCTION

Le dossier médical personnel est l’un des rares sujets de société dont l’actualité ne se dément pas. Tel le Phénix de l’Antiquité, il a rebondi de difficultés en difficultés pour réapparaître sous sa forme actuelle de dossier médical partagé. Qualifié à l’origine de « condition de survie de notre système de santé » par le Ministre de la Santé, le dossier médical personnel devait être opérationnel le 1er janvier 2007. Ce délai trop bref a conduit à reporter sa date de mise en application.

Une réflexion complémentaire a permis de promulguer de nouvelles et importantes dispositions qui visent à la relance du projet initial. Il n’en reste pas moins que certaines questions demeurent latentes, essentiellement celles qui concernent la confidentialité des informations médicales. Dans un contexte aussi sensible, c’est sur l’avenir que la présente communication veut se pencher pour envisager ce que peut devenir le dossier médical partagé.

Le dossier médical personnel

Institué par la loi du 13 août 2004, relative à l’assurance maladie [1], le dossier médical personnel est une des pièces maîtresses du parcours coordonné des soins. Il s’inspire du carnet de santé de l’enfant qui contient toutes les constatations importantes concernant la santé de celui-ci.

Il était exhaustif de tout le passé médical du patient afin d’éviter des examens redondants ou des traitements incompatibles. Chaque bénéficiaire de plus de seize ans disposait d’un dossier médical personnel dématérialisé. Tous les dossiers étaient centralisés chez un ou plusieurs hébergeurs agréés par les pouvoirs publics.

Ce système, devant s’appliquer le 1er janvier 2007, visait à améliorer la qualité des soins comme à maîtriser les dépenses de santé. Il était coercitif, tout patient qui refuse l’ouverture de son dossier ou dont celui-ci n’est pas mis à jour, étant moins remboursé.

Enfin, un groupement d’intérêt public, le GIP-DMP et un Comité d’orientation étaient chargés du déploiement du dossier médical personnel.

En mai 2006, M. Xavier Bertrand, alors Ministre de la Santé, confirmait que ce dossier serait généralisé en juillet 2007 et indiquait que des tests sur le terrain étaient pratiqués dans dix sept sites répartis dans treize régions et qu’ils portaient sur trente mille dossiers impliquant quinze cents professionnels de santé et soixante-treize établissement de soins. Selon M. Coudreau, Président à l’époque du GIP-DMP, « il faudra raisonner en millions de dossiers à partir de 2007, ce qui signifie que l’on a réglé, préalablement, les problèmes juridiques, techniques et financiers ». Or, une incertitude persistait sur ces sujets. En novembre 2006, M. Sauret, Directeur du GIP-DMP, évaluait les gains potentiels directs entre 750 millions et 1,3 milliards d’euros, les gains indirects étant au moins équivalents.

Quant aux dépenses, le Ministre de la Santé les fixait à « environ un milliard sur cinq ans ». Les gains directs étaient estimés à un milliard d’euros par an, comme les gains indirects, les investissements étant prévus entre 1,3 et 1,5 milliard d’euros sur cinq ans.

D’autres difficultés se sont manifestées par la suite D’abord, des difficultés d’ordre médical , avec la problématique du masquage [2].

Celui-ci permet au patient de dissimuler des informations, le code de la santé publique lui accordant le droit au secret. Quelle que soit sa motivation, la volonté du patient doit être respectée. Mais reste la question de savoir s’il a la compétence nécessaire pour mesurer le rapport bénéfice-risques, pour sa santé, du masquage qu’il opère ?

Quant au médecin, soit le masquage se situe à un niveau précis et il en déduira quelle est l’information supprimée, soit, dans la crainte de voir sa responsabilité mise en cause, il sera tenté de se faire révéler le contenu du masquage. Pourra-t-il alors le supprimer, avec l’accord du patient ? C’est le problème du masquage du masquage.

Ensuite, des difficultés d’ordre juridique peuvent se manifester. Le médecin joue un rôle majeur dans l’ouverture et la tenue du dossier. S’il commet une erreur ou un oubli, quelle sera sa responsabilité, alors que le patient qui, en principe, se trouve à ses cotés, est propriétaire et gestionnaire de son dossier ?

Enfin, des difficultés relatives à la confidentialité qui bénéficie d’une première protection grâce au principe du secret professionnel. Une deuxième garantie repose sur l’existence d’un organisme officiel de contrôle (CNIL). De même, les décrets des 4 janvier 2006 [3] et 15 mai 2007 [4] ont précisé les obligations des hébergeurs.

D’autres éléments visent également au maintien de la confidentialité : l’attribution à chaque assuré d’un numéro identifiant de santé, le NIS ; la délivrance d’une nouvelle carte Vitale 2 ; la carte de professionnel de santé pour tous les acteurs de santé et son corollaire, la mise en place des terminaux de lecture ; la sécurisation des messageries afin d’éviter que des informations médicales circulent sans protection sur le web.

La relance du dossier médical personnel

Alors que le maximum de garanties semblait ainsi réuni pour assurer la confidentialité des données médicales cryptées, une enquête du Ministère de la Santé aboutissait, en novembre 2007, à des résultats mitigés. Le Ministère décidait l’ouverture d’une phase de concertation jusqu’en mars 2008. Un appel d’offres pour désigner les hébergeurs ayant été lancé début avril 2007, le dossier médical personnel paraissait pouvoir devenir opérationnel en 2008.

 

Cependant, dès 2003, des travaux de M. Fieschi et Y. Merlière [5] et de A. Coulomb, Directeur de l’ANAES [6], incitaient à s’orienter vers un « dossier du patient virtuel partagé » ce qui impliquait un changement radical de conception. Une mission interministérielle chargée d’une nouvelle approche du sujet remettait son rapport en novembre 2007 et recommandait une relance du projet sur de nouvelles bases [7].

Madame Bachelot-Narquin, Ministre de la Santé, de la Jeunesse, des Sports et de la Vie associative, désignait alors M. Gagneux, Inspecteur Général des Affaires Sociales [8] pour présider un groupe de travail qui devait analyser les conditions d’une relance du dossier médical personnel. Ce groupe a établi un constat relevant, notamment, une insuffisance des investissements publics dans les systèmes d’information de la santé et la déficience de la coordination entre les hôpitaux et les médecins de ville.

Le rapport du groupe de travail proposait la création :

• d’un conseil national des systèmes d’information de santé présidé par le Ministre de la Santé, • d’une agence de l’efficience hospitalière qui regrouperait :

— la mission d’appui à l’investissement hospitalier, — la mission nationale d’expertise et d’audit hospitalier, — le groupement pour la modernisation des systèmes d’information hospitaliers.

• d’une agence pour le développement des systèmes d’information de santé partagés (ASIP) regroupant trois grands pôles :

— l’agence de l’efficience hospitalière qui vient d’être citée, — les systèmes d’information de santé partagés, eux-mêmes, — un pôle d’assurance maladie composé de la CNAMTS et du GIE SESAM Vitale.

Sous réserve de son fonctionnement futur, il est permis de noter le caractère complexe de cette construction administrative.

Les prévisions budgétaires du GIP-DMP, de 2006 à 2012, étaient de neuf-cent millions d’euros, dont quatre-vingts déjà dépensés. Le budget annuel, à partir de 2009, devait être de cent millions d’euros, environ. Par ailleurs, le groupe de travail proposait que des expérimentations soient tentées, pendant trois ans, sur une vingtaine de sites.

En janvier 2008, une mission parlementaire, présidée par J.P. Door, avait considéré le dossier médical personnel comme « un élément inéluctable du mouvement d’informatisation des données de santé » [9].

Pour sa part, le Conseil National de l’Ordre des Médecins publiait, en mai 2008, un livre blanc sur la relance du dossier médical personnel [10] et estimait nécessaire de créer :

— un dossier socle ne contenant que les informations médicales essentielles, — un espace national sécurisé d’échanges de données entre professionnels de santé.

 

De son côté, le Comité consultatif national d’éthique émettait, le 28 mai 2008, un avis favorable à un dossier médical personnel pour les patients atteints de maladies chroniques ou pour les personnes vulnérables [11].

C’est dans ces conditions que Madame Bachelot-Narquin prenait, en juin 2008, diverses décisions parmi lesquelles :

— Le dossier médical personnel devient facultatif.

— En conséquence, les sanctions financières prévues en 2004 contre ceux qui refuseraient l’ouverture d’un dossier, sont supprimées.

— Le dossier sera la propriété du patient, partagée avec les professionnels de santé.

— L’assurance maladie, financeur principal, sera considérée comme « un partenaire stratégique des projets ».

— Le déploiement à tout le territoire national en 2009 est suspendu. Les premiers dossiers personnels seront établis dans des projets pilotes régionaux, avec différents services testés localement, comme le dossier médical de l’enfant. Dans d’autres régions, le dossier médical personnel sera axé sur des cas précis, tels le suivi des diabétiques ou des cancéreux.

— Le déploiement du dossier médical personnel sur tout le territoire national est prévu pour 2012.

— Le dossier médical personnel changera de nom.

— Enfin, le coût du dossier médical partagé est estimé à un peu plus de cent millions d’euros par an, sous réserve des différentes lois annuelles sur le financement de la sécurité sociale, la Cour des Comptes invitant l’Asip à éviter les errements du GIP-DMP [12].

Le dossier médical partagé et l’avenir

Les difficultés budgétaires étant ainsi réglées dans leur principe, une convergence avec le dossier pharmaceutique était établie. Ce dossier contient la liste de tous les médicaments délivrés dans n’importe quelle pharmacie, le pharmacien ne pouvant consulter que les quatre derniers mois.

Cependant, certaines difficultés restaient latentes, telle celle portant sur la responsabilité éventuelle du praticien, puisque aucune jurisprudence définitive n’est encore établie à cet égard.

Mais, surtout, une question primordiale demeurait en suspens : celle de la confidentialité des informations médicales collectées dans le dossier. C’est la recherche de leur protection qui doit être évoquée maintenant, au titre de l’avenir du dossier médical partagé. Dès le 14 avril 2007, la CNIL avait publié le bilan des contrôles qu’elle avait effectués « in situ » auprès des acteurs des expérimentations du dossier médical personnel. Elle en a conclu que la protection de la confidentialité était insuffisante, tant à l’ouverture du dossier que lors de son fonctionnement pour le cryptage des bases de données.

Enfin, en vue d’attribuer un numéro d’identifiant aux assurés sociaux, le NIS, le Ministère de la Santé avait proposé de conserver à chacun d’eux son numéro de sécurité sociale. La CNIL s’y est opposée, considérant que ce procédé n’offrait pas de garanties suffisantes de sécurité.

C’est au milieu de ces difficultés que des changements importants sont intervenus récemment. Le GIP-DMP a disparu, remplacé par une nouvelle structure. L’Agence des systèmes d’information partagés de santé : l’Asip-santé. Cet organisme, doté d’un budget annuel de quatre-vingt dix millions d’euros, a lancé un appel d’offres pour sélectionner le prestataire qui conservera les données médicales des patients.

À partir du mois de mars 2010, l’Asip a retenu un hébergeur unique chargé de mettre en place un système pouvant recevoir cinq millions de dossiers. Parallèlement, l’Agence fixera des standards pour que les logiciels utilisés par les médecins deviennent compatibles avec ce système.

Mais la confidentialité, même partagée de cette façon, peut-elle être garantie à cent pour cent ? Peut-on être absolument sûr qu’il n’y aura jamais d’erreur d’enregistrement, de vol d’un ordinateur ou d’un disque dur ? Comment éviter les virus ou les « spams », hantise de tout utilisateur d’ordinateur ? Autrement dit, le risque zéro peut-il être atteint ? Des groupes d’informaticiens se sont lancés dans des recherches tendant à l’obtenir. Peu à peu, l’idée s’est fait jour que, puisque le danger provient de la présence des hébergeurs, la solution était de proposer une alternative.

Un projet innovant et séduisant

À titre d’exemple, voici le projet qui a été mis au point par l’équipe d’informaticiens de M. Daniel Solaret, ingénieur Supelec. Leur système, proposé comme facultatif et non comme obligatoire, est basé sur l’idée très simple que chacun devient son propre hébergeur. Chaque patient est doté d’un support mobile, carte mémoire ou clé, qui constitue son dossier. La carte mémoire mesure deux centimètres sur un centimètre et un dixième de millimètre d’épaisseur. Elle se place dans un étui de cinq centimètres sur trois centimètres. Cette carte ou la clé peuvent contenir deux milliards de lettres de l’alphabet, chiffre qui peut être porté à trente-deux milliards.

Chez le généraliste ou le spécialiste, le patient fournira sa carte vitale et son dossier en y introduisant un mot de passe qui lui est personnel. De son coté, le praticien aura un progiciel permettant d’exploiter le support qui peut d’adapter sur tout ordinateur ordinaire. Le praticien a, alors, accès sur son ordinateur au dossier du patient, grâce à sa carte de professionnel de santé. Les informations médicales cryptées qui apparaissent ne sont exploitables que par le praticien et le patient, puisqu’il faut la simultanéité de lieu et de temps entre le support, la carte vitale, le code secret du patient et la présence du médecin possédant un progiciel avec ses codes de sécurité.

À aucun moment, les informations médicales traitées ou discutées avec un autre praticien ne partiront sur un circuit Internet pour être stockées chez un hébergeur.

Leur confidentialité est ainsi assurée. La consultation terminée, le patient repart avec son dossier, carte ou clé, le coût de ce support étant de quelques euros. S’il est perdu ou volé, le support contenant les données médicales est inexploitable puisqu’il ne peut pas y avoir la simultanéité de temps et de lieu exigée. En cas d’urgence, si le patient n’est pas en état de fournir son code secret, bien qu’il soit en possession de son support personnel, les services d’urgence pourront, cependant, l’utiliser grâce à une fonction ajoutée à leur progiciel, après accord préalable donné par le patient lors de l’établissement de son dossier médical.

Le projet de D. Solaret, nécessitant la conjonction de plusieurs éléments détenus tant par le patient que par le médecin, diffère donc de tout autre projet qui utiliserait seulement une clé USB comme support et présente, de ce fait, une garantie bien supérieure.

CONCLUSION

Les modalités d’exercice de la médecine moderne ont été profondément modifiées par la conjonction de deux facteurs :

— le développement prodigieux de l’informatique, — la volonté de créer un dossier dématérialisé pour chaque assuré social.

Cependant, après six années écoulées, le dossier médical personnel, devenu dossier médical partagé, n’est toujours pas opérationnel, témoignant de la différence qui existe, parfois, entre la théorie et la réalité. Certes, l’idée de « soigner mieux à un moindre prix » ne peut qu’emporter l’assentiment.

La preuve paraît pourtant faite que des changements doivent être apportés au projet initial. Il est nécessaire d’obtenir une diminution des dépenses et la certitude que la confidentialité des données médicales est assurée.

Le but de la présente communication était d’exposer que des solutions pratiques et peu coûteuses existent. Si elles sont retenues, la mise en place d’un dossier médical individuel peut être envisagée. Mais il conviendra d’obtenir, également, le concours du corps médical et celui de l’ensemble de la population. Un nouvel effort de persuasion en ce sens pourrait donc être envisagé.

BIBLIOGRAPHIE [1] Loi no 2004-810 du 13 Août 2004 relative à l’assurance maladie.

[2] Fagniez P.L. — Le masquage d’information par le patient dans son DMP. Rapport au Ministre de la santé et des solidarités. 30 Janvier 2007.

[3] Décret no 2006-6 du 4 Janvier 2006 relatif à l’hébergement des données de santé à caractère personnel et modifiant le code de la santé publique (dispositions règlementaires).

[4] Décret no 2007-960 du 15 Mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique (dispositions règlementaires).

[5] Fieschi M.M, Merlière Y. — Les données du patient partagées : proposition pour l’expérimentation. Note d’orientation au Ministre de la santé, de la famille et des personnes handicapées. Mai 2003.

[6] Coulomb A. — ANAES. Amélioration de la qualité de la teneur et du contenu du dossier du patient. Collection évaluation en établissement de santé. Juin 2003.

[7] Inspection générale des finances, inspection générale des affaires sociales, conseil général des technologies de l’information. Rapport sur le dossier médical personnel, Paris, La documentation française. Novembre 2007.

[8] Gagneux M. — Pour un dossier patient virtuel et partagé, et une stratégie des systèmes d’information de santé. Paris. La documentation française. Mai 2008.

[9] Door J.P. — Le dossier médical personnel. Assemblée nationale no 659. 29 Janvier 2008.

[10] Lucas J. — L’informatisation de la santé : Le livre blanc du Conseil National de l’Ordre des Médecins. Mai 2008.

[11] Comité consultatif national d’éthique pour les sciences de la vie et de la santé. Avis No 104. Le dossier médical personnel.

[12] Cour des comptes. Rapport annuel 2009 : La gestion du GIP-DMP « Dossier médical personnel » pages 136-151.

DISCUSSION

M. André VACHERON

Le projet Solaret de carte d’information personnelle contenant le dossier médical du sujet qui devient son propre hébergeur apparaît très séduisant. Comment retrouver les informations en cas de perte de la carte ?

Le patient disposera en même temps que sa carte santé, d un programme très simple installable sur son ordinateur pour sauvegarder lui-même ou un tiers de son choix par un simple « clic » et en peu de temps, l’ensemble du contenu de son dossier médical, bien sûr en mode crypté. En cas de perte, il lui suffira de demander un nouveau support vierge et de recopier tout aussi simplement, le contenu de son dossier médical perdu, qui sera ainsi intégralement reconstitué. Les deux opérations ne demandant aucune compétence informatique autre que de savoir cliquer pour lancer les opérations. Le temps de ces opérations étant de quelques secondes à quelques minutes. Notons cependant que l’antériorité de la carte vitale nous démontre que peu de cartes sont perdues dans la pratique.

M. Pierre VAYRE

Quelle est la manœuvre à faire pour que le médecin inscrive ses constatations et avis sur le dossier ? En cas d’urgence que peut-on faire si le patient ne peut pas s’exprimer ? Notamment en SAMU ou SAV comment garder la confidentialité compte tenu de la multitude des acteurs ? Le risque de contamination par un « virus » de l’ordinateur peut-il être évité ?

Le médecin peut par un simple clic enregistrer sur le dossier toute image s’inscrivant sur l’écran de son ordinateur quelle qu’en soit l’origine (son propre logiciel, le scan d’un texte à partir de son imprimante multifonction ou en allant récupérer un fichier contenu dans son ordinateur). Par ailleurs, il peut saisir un rapport en format Word sur son clavier et ensuite, toujours par un simple clic avec sa souris, le stocker sur le support mobile de son patient. Pour le SAMU un progiciel particulier a été mis au point pour que, ayant le dossier médical mais pas le mot de passe du patient (inanimé), il soit possible avec ce progiciel spécifique et réservé au SAMU de réaliser la lecture par décryptage sur un ordinateur du SAMU. Le professionnel pouvant utiliser cette fonction hors norme usuelle, devra disposer d’un code licence spécifique attribué par les instances professionnelles ad hoc et suivant des conditions réglementaires sécuritaires préalablement bien définies. Pour ce qui concerne les virus, l’ordinateur du médecin doit être équipé d’un antivirus régulièrement mis à jour, ceci n’est pas propre à ce produit. A partir du moment où un utilisateur d’un ordinateur va sur le Web pour rechercher des informations et même télétransmettre des informations, alors la présence d’un antivirus est déjà obligatoire.

Pour la confidentialité, le patient fournit aux acteurs de santé de son choix son dossier médical, ceux-ci peuvent décrypter pour lire le dossier médical ou écrire sur le dossier médical en format crypté pendant l’acte médical avec l’accord de leur patient, ensuite le praticien est tenu au secret médical dans les mêmes conditions que avec des dossiers papier. Lorsque le patient repart, il emporte avec lui son dossier médical sur support mobile.

M. André AURENGO

Il y a un juste équilibre à trouver entre la confidentialité, la fiabilité et la disponibilité des données. Le projet présenté ne privilégie-t-il pas l’aspect « confidentialité » ?

La confidentialité certes mais aussi la fiabilité (les cartes mémoires en 2010 sont très fiables) sont assurées par ce système. La disponibilité est liée au libre choix de l’hébergeur et pour nous dans ce système, c’est le patient lui-même qui est son propre hébergeur, ce qui signifie que le patient doit toujours donner son acquiescement pour que ses données de santé soient accessibles. Contrairement à d’autres concepts, nous avons fait le choix, que personne ne puisse disposer des données du patient sans son accord explicite (mot de passe et fourniture au médecin du support), exception faites pour le SAMU que nous avons explicitée plus haut et pour le cas où le patient ne serait plus conscient.

M. Jean-Daniel SRAER

Le problème du DMP est-il donc résolu ?

Pour nous et d’après nos expériences, la réponse est favorable.

M. Claude DREUX

Le dossier pharmaceutique (DP) est ouvert actuellement dans 14 500 officines (les deux tiers des pharmacies) pour 7,6 millions de patients. C’est un outil professionnel qui a vocation à entrer dans le DMP quand il sera opérationnel. Le projet Solaret est séduisant car le patient est son propre hébergeur, mais il diffère du projet officiel ASIP-Santé prévu seulement pour cinq millions de patients. Est-ce seulement une étape préalable ? Le DP conçu par J. Parrot et col. ; Adenot avait été testé d’abord sur six départements avant d’être étendu à tout la France avec l’accord de la CNIL et l’inscription dans la loi. Y aura-t-il une expérimentation des divers systèmes avant l’adoption d’un seul système ?

Le DP (sur serveur externe) est mis à jour par le pharmacien à partir de son logiciel installé sur son propre ordinateur. Les éditeurs de logiciels qui sont peu nombreux dans le domaine des officines de pharmacie pourront aisément adapter leurs programmes pour simultanément, mettre à jour le DP actuel et le dossier médical sur support mobile que le patient apportera avec lui pour la délivrance des médicaments dans une zone médicaments spécifique. Les pharmaciens disposant du progiciel de lecture/écriture avec des droits d’accès correspondants à leur domaine de compétence et résultant des accords entre les médecins et eux-mêmes pour déterminer les limites des actions du pharmacien sur le dossier médical. Les différences avec le projet ASIP actuel ne concernent pas l interopérabilité des données entre les deux solutions et encore moins les normes que définira l ASIP et qui seront strictement respectées dans notre solution. Par contre ce projet tient compte de la diversité et de la pluralité des patients. Certains patients ne souhaitent pas que leurs données de santé passent par Internet et soient stockées sans que ils puissent suivre vraiment ce que l’on fera avec et qui. Pour autant, ils ont le droit de disposer des avantages pour leur santé que peut procurer un dossier médical. Cette solution répond à cette problématique, et comme la loi les y autorise ils peuvent refuser le DMP versus INTERNET. À défaut de pluralité de solutions disponibles (mais cohérentes entre elles) ils n’auraient pas de dossier médical. Avec le dossier médical sur support mobile, ils pourront bénéficier d’un outil simple, léger, peu couteux et facilement opérationnel. Pour cela bien sur les mêmes règles (contrôle de la CNIL, expérimentations dans le cadre de la loi) seront appliquées. L’Assemblée Nationale à déjà votée ce texte, nous attendons que le sénat se prononce et que l’ASIP le mette en œuvre rapidement et accepte le principe de la pluralité dans la cohérence technique. Il n y a aucune raison dans une démocratie, qu’un seul système soit proposé aux Français, et que pour ceux qui n’acceptent pas les concepts Internet et hébergeur centralisé, ils ne puissent disposer de RIEN. Il est sain d’avoir une alternative si on assure l interopérabilité entre les systèmes, techniquement rien ne s y oppose. Toutes les entreprises financières par exemple disposent de leur propre système, pour autant cela ne les empêche nullement d’échanger des données financières (peut être même des fois beaucoup trop rapidement comme la récente crise nous le démontre). Le Ministère prévoit le déploiement du dossier médical partagé sur tout le territoire national en 2012.

M. René MORNEX

Qu’en est-il dans ce système du masquage de certaines données avec ce nouveau système ?

On nous dit que tout système informatique est violable ! Où en est la confidentialité ?

Le demande exprimée de masquage par les patients est générée par le fait que le système actuel prévu sur Internet et un hébergeur échappe au contrôle du patient, et c’est bien le problème. Si le patient est le seul à disposer dans sa poche de son dossier en format crypté, les risques de captation sont extrêmement limités même en cas de perte du support, car le support mobile est passif, il ne contient pas de moyens de décryptage (le décryptage devient alors sinon impossible du moins extrêmement long et hypercomplexe, de plus celui qui trouverait le dossier mobile ne connaitrait probablement pas la personne). C’est le médecin choisi par le patient qui en dispose. La lecture et l’écriture dans le dossier médical se passe pendant la consultation ou l’acte médical. Nous sommes dans le schéma traditionnel où un patient choisit un médecin et ensemble ils décident des actions à entreprendre. Le tout bien sûr dans le climat de confiance qui doit exister entre un soignant et un soigné. Dans ce contexte le masquage perd beaucoup de sa substance et de son intérêt pour le patient, qui n’a plus de raison de se protéger (étant de plus couvert par le secret médical).

M. Emmanuel-Alain CABANIS

Qu’en est-il de l’imagerie annexée au dossier, initialement exclue pour excès de poids ? Où en sommes-nous aujourd’hui, avec le progrès des logiciels et des algorithmes de compression ? Les lourds dossiers d’imagerie diagnostique ou de suivi thérapeutique sont-ils prévus dans les projets GIP puis Solaret ?

Premier point : l’imagerie médicale est effectivement grosse consommatrice de place mémoire, mais, il existe des techniques et outils de compression des données très performants. Il appartient donc de les mettre en œuvre du moment du stockage et bien sûr de disposer du même outil pour faire l’opération inverse au moment de la lecture.

Second point : les normes des outils utilisés pour exploiter les données peuvent différer d’un centre à un autre et des normes de standardisation doivent les faire converger et être appliquées. Dans ces conditions la compression et le stockage des données relatives à une imagerie médicale sont compatibles avec les capacités mémoires des cartes disponibles sur le marché (actuellement de deux milliards d’octets à trente-deux milliards d’octets pour un très faible coût, un peu plus onéreux des disques externes de 1 Tera octets (mille milliards de caractères) existent déjà en format de taille portefeuille, la rapidité de l’évolution de la technologie vont nous les amener sous peu en format et en coût très réduit. Troisième point : pour le médecin traitant, la synthèse sera nécessaire, car le temps moyen d’une consultation ne lui permettra pas de détailler la lecture des images et cette synthèse consomme très peu d’espace disque.

M. Michel HUGUIER

N’a-t-on pas déjà passé beaucoup de temps et consacré beaucoup d’argent à de problèmes informatiques ou éthiques pour une DMP de plus en plus inconsistante ?

Sûrement.

M. Denys PELLERIN

Si l’on doit apprécier le système proposé par Monsieur Solaret pour sa simplicité, étant donné la complexité des projets concernant ce DMP, devons-nous comprendre que c’est abandonner tout espoir de l’utiliser (quel que soit son support) pour le recueil des données pour alimenter la recherche en épidémiologie, dont la carence, a été à plusieurs reprises soulignée par l’Académie nationale de médecine ?

Vouloir répondre par un outil unique à de multiples problèmes (dossier médical d’un patient, gestion macroéconomique des coûts liés aux soins, assurer la maitrise des dépenses de santé, faire un suivi épidémiologique etc.) c’est se confronter à la complexité des outils informatiques et des systèmes d’informations. En général cela débouche, soit sur des usines à gaz inexploitables ou sur des projets qui durent très longtemps et qui coûtent une fortune et à terme que l’on abandonne. A ce titre l’histoire du DMP depuis 2004 est édifiante.

 

M. Claude Henri CHOUARD

Tant que le masquage restera possible, ne sera-t-il pas très difficile d’éviter le nomadisme médical qui est un des buts essentiels du DMP ?

Le but premier du dossier médical est de pouvoir traiter encore plus efficacement un malade. Le masquage est une protection demandée par le patient s’il n est pas en mesure de pouvoir efficacement suivre ce que l’on va faire de ses informations confidentielles.

Dans notre solution, le patient est son propre hébergeur, il confie ses données aux médecins qu’il a choisit, de plus tout se passe en sa présence ou avec son accord, la protection masquage perd alors de son intérêt, voir disparait des demandes du patient.

M. Pierre GODEAU

La possibilité pour le patient de masquage d’informations est un écueil pour la fiabilité du système. Quelles en seront les conséquences en cas de conflit juridique ?

La même réponse que pour la question précédente.

 

<p>* Membre correspondant de l’Académie nationale de médecine, e-mail : aline.marcelli.75@gmail.com ** Ingénieur Supelec — DEA de physique nucléaire — Ancien Directeur des études informatiques de la Caisse Régionale d’Assurance Maladie d’Ile de France. Tirés à part : Professeur Aline Marcelli, même adresse Article reçu le 25 janvier 2010, accepté le 15 mars 2010</p>

Bull. Acad. Natle Méd., 2010, 194, nos 4 et 5, 767-778, séance du 27 avril 2010