Les points noirs de l’arrêté “confidentialité”
Imprimer la pageSa rédaction finale reste au point mort depuis la version 1.0 du 1er juillet 2008.
En France dans les décombres du chantier du “Dossier Médical Personnel”, fleurissent des plates-formes de télésanté régionales ou des dossiers réseaux. La nature ayant horreur du vide, ces projets axés sur une seule pathologie et dévoreurs d’argent public, prospèrent sur la jachère des systèmes d’informations de santé. Attention, il ne s’agit plus d’un phénomène marginal. La quantité de données médicales mise en en ligne sur internet croit de manière exponentielle alors que les réglementations spécifiques sur les hébergeurs de données de santé restent abandonnées couvertes de poussières sur les étagères du Ministère de la Santé.
Malheureusement après de multiples tergiversations sur le “décret confidentialité” et ses arrêtés d’application, les pouvoirs publics n’ont pas encore rendu obligatoire l’usage de la CPS distribuée en France depuis plus d’une décade aux différentes catégories de professionnels de santé.
Le 26 octobre 2008, dans un peu habituel communiqué commun, les six ordres représentant les différentes professions de santé s’alarmaient sur le fait que dans le projet d’arrêté relatif à l’authentification des utilisateurs et à la transmission des informations médicales sur un réseau ouvert, il apparaissait que l’utilisation de la Carte de Professionnel de Santé (CPS), si elle restait recommandée, devenait facultative.
Rebelote, avec une lettre ouverte datée du 7 novembre 2008 dans laquelle Christian Saout président du Collectif Inter associatif sur la Santé (CISS) et Martial Olivier-Koehret, Président du syndicat de généralistes MG France, interpellaient Roselyne Bachelot-Narquin sur sa politique en terme de confidentialité et de sécurisation des données de santé. Le CISS et MG-France martèlent que « les décideurs publics n’ont guère le souci de la protection des données de santé personnelles informatisées dans la société de l’internet. Les usagers du système de santé et les médecins, premiers intéressés tout de même, ne comprennent pas l’inaction de nos pouvoirs publics … comme si l’on attendait qu’un aléa majeur tue la confiance de l’opinion dans l’informatique de santé ».
En attendant profitant de ce “no man’s land réglementaire” les maitres d’ouvrage de ces plateformes de télésanté font le service syndical minimum sur le plan de la sécurisation des données de santé en ligne.
- Arrêté “confidentialité” v1.0
D’ailleurs la dernière version connue de l’arrêté “confidentialité”, la v1.0 du 1er juillet 2008, présente bien des failles.
L’ambiguïté repose sur le fait que cet “arrêté pris en application de l’article R.1110‐1 du code de la santé publique portant création d’un référentiel relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique”, ne sépare pas les différents supports des informations médicales.
On ne peut raisonnablement imposer à un professionnel de santé utilisant une base de données locale sur son ordinateur personnel, les mêmes contraintes qu’à un réseau hébergeant des centaines de milliers de dossiers médicaux accessibles par internet !
S’ils archivent des données de santé, une clé USB ou un CD-Rom , autres “supports informatiques”, sont-ils soumis aux dispositions de ce même arrêté ?
Autre interrogation, une donnée médicale chiffrée reste-elle une information de santé ou devient-elle une donnée standard ? La réponse impacte directement les possibilités d’archivage en ligne dans des coffre-forts électroniques. Si elle reste une donnée de santé malgré le chiffrage, pour les besoins des médecins il faut développer une offre commerciale spécifique de télé-archivage sur des hébergeurs de données de santé agréés. Mais aucun hébergeur n’est encore agréé aujourd’hui !
Consentement du patient
L’enregistrement du consentement du patient reste facultative, alors que ce consentement est imposé par la Loi Kouchner. Même si la mise en œuvre est problématique pour des systèmes individuels comme les logiciels “métiers,” dans le cadre de dossiers en ligne, il semble important que le professionnel de santé puisse avoir la preuve de ce consentement du patient avant d’ajouter des informations médicales.
D’autant plus qu’en 2.2.3, il est recommandé que le système puisse permettre « d’attribuer à un utilisateur des droits d’accès ne permettant que la consultation des informations, à des fins d’audit, d’enquête ou de contrôle ». Cette disposition doit être portée à la connaissance du patient.
Contrôle de l’accès aux informations médicales et aux ressources critiques
Il semble que c’est uniquement lors des situations d’exception dérogeant aux autorisations d’accès habituelles, comme par exemple la procédure “bris de glace” qu’il est recommandé que « l’intégralité des traitements réalisés (...) doivent alors être enregistrées pour permettre d’éventuels contrôles ultérieurs ». L’historisation des accès ne semble pas imposée.
D’ailleurs le 2.3.1 ne fait que recommander un système permettant « de gérer efficacement les droits d’accès attribués, et notamment de vérifier que les droits d’accès et la manière dont les utilisateurs ont usé de ces droits sont conformes aux politique et procédures de la protection de confidentialité de l’entité ». Cette disposition devrait être obligatoire pour tout dossier accessible par internet.
Authentification des personnes accédant à des informations médicales à caractère personnel
Au chapitre, de l’authentification des utilisateurs autorisés à accéder à des informations médicales à caractère personnel ou à des ressources critiques, le projet d’arrêté fait moins que le service minimum.
« L’authentification a pour but de vérifier l’identité dont une entité (personne ou machine) se réclame. Généralement, l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer une identité préalablement enregistrée, s’authentifier c’est apporter la preuve de cette identité ».
Comme le code PIN d’une carte bancaire ou CPS, un mot de passe est considéré comme un mécanisme de déverrouillage mais pas d’authentification !
3.2. Authentification des utilisateurs
3.2.1 - OBLIGATOIRE : Le système authentifie les utilisateurs avant tout accès à des informations médicales à caractère personnel ou des ressources critiques.
Or, les “règles et recommandations concernant les mécanismes d’authentification de niveau de robustesse standard de la DCSSI” démontrent en particulier que l’authentification par mot de passe simple ne vaut pas tripette.
Une plate-forme de télésanté permettant d’accéder à des dossiers médicaux en ligne, avec authentification par simple mot de passe, comme celle proposée par Planet Santé en Pays de Loire, serait donc parfaitement dans les clous. Or comme les "règles et recommandations concernant les mécanismes d’authentification de niveau de robustesse standard de la DCSSI" ne sont pas obligatoires, il n’y a aucun mécanisme minimum imposé sur les “dispositifs en assurant l’efficacité”. Le 3.2.1 devrait rendre obligatoire un mécanisme 3.2.2 ou 3.2.3 bien entendu pour les seuls dossiers hébergés en ligne.
« ... la simple utilisation à distance d’un mécanisme de déverrouillage ne saurait constituer un dispositif d’authentification de niveau standard...
... Pour réaliser l’authentification de machine entre l’environnement de confiance local et le système d’information distant, on pourrait souhaiter dériver des clés secrètes à partir de mots de passe, ces derniers doivent être suffisamment longs et « non devinables » pour offrir une sécurité compatible avec les règles relatives aux tailles de clé. À titre d’exemple, des mots de passe de 8 caractères alphanumériques (chiffres et lettres majuscules ou minuscules) ne permettent pas de générer des clés de plus de 47 bits, et encore, sous l’hypothèse très optimiste que ces mots de passe sont choisis aléatoirement… De tels mots de passe ne permettent donc pas d’atteindre un niveau standard. Même en allongeant la taille des mots de passe, ce type de procédé resterait vulnérable aux attaques en hameçonnage. Il est donc encore préférable que l’authentification réalisée exploite aussi l’identité de l’environnement de confiance local employé.... »
