Médecins et citoyens à l'âge de l'information

Le dossier de santé informatisé à l'heure de la déontique
(TEXTE DE TRAVAIL A DEBATTRE)

5-6 pages

jp quignaux, chargé de mission réseaux de soins à l'ap-hp le 15-12-97

Date: Mon, 15 Dec 1997 21:16
From: jean-francois.penciolelli@sap.ap-hop-paris.fr (penciolelli jean-francois)
To: abedel@admiroutes.asso.fr
Subject: réseaux de soins

à propos des réseaux de soins, du réseau santé social et autre internet ce texte rédigé par jp quignaux, chargé de mission réseaux de soins à l'ap-hp est le fruit de réflexions et débats menés à l'ap-hp avec diverses administrations et utilisateurs de ces administrations...

on en parle quand vous voulez, votre chapître santé s'enrichiera d'autant.

cordialement
jean-francois.penciolelli


Les sociétés attendent généralement que la Médecine sache être une Science, un Art, mais aussi et surtout une Morale. L'ignorer, c'est prendre le risque de fragiliser un élément fondamental du lien social: la confiance qui lie le patient à son médecin. De ce point de vue, les systèmes d'information de santé qui permettront de soigner mieux, plus vite, avec une plus grande sécurité et de façon moins dispendieuse, ne peuvent être conçus sans miser sur une nouvelle dimension du dialogue médecin/patient. L'éthique et la déontologie médicale doivent s'exprimer clairement dans l'utilisation même des systèmes d'information de santé pour déterminer ce que l'on doit partager comme information et non ce que l'on peut ou veut partager.

Une question de propriété...

A l'évidence, il est inconcevable de confier à n'importe qui le stockage, la maintenance et la circulation des informations nominatives de santé, que n'importe qui puissent y avoir accès, et qu'elles puissent circuler sans un strict contrôle dans les systèmes d'information. Ces informations sont trop personnelles, trop sensibles pour faire l'objet d'une exploitation non consentie par les patients, pour que des systèmes d'information pilotés par des organismes publics ou privés d'assurance-maladie ou encore par des intérêts privés, au travers de regroupements de médecins, les utilisent à leurs propres fins. A l'exception de circonstances bien spécifiées par la Loi, comme les urgences où la vie du patient est en jeu, le besoin de "savoir pour mieux gérer" ne confère en effet aucun droit de porter atteinte aux libertés fondamentales du patient.

Les données de santé appartiennent à la personne-malade c'est à dire au citoyen. Par leur expérience, les médecins transforment les données du citoyen-patient en informations médicales sous forme d'actes, de diagnostics, de prescriptions, etc. Par accumulation, ces informations médicales se transforment en éléments constituant son dossier de santé et en informations de santé lorsque ces éléments sont anonymisées. Toutes ces informations ont pour origine la confiance accordée par le patient au médecin. Fruit du secret médical et professionnel, copropriété de fait du médecin et du patient, elles ne peuvent être exploitées ou détournées pour des usages autres que ceux qui font l'objet d'un consentement mutuel de l'un et de l'autre.

... et de droits

Les réseaux d'information de santé de demain doivent permettre aux lois existantes - notamment celles concernant la confidentialité, l'intégrité, la disponibilité des informations médicales, les droits d'opposition, d'accès, de rectification et d'oubli, accordées au patient - d'être réaffirmées, promues, effectivement, applicables, appliquées et non bafouables. Cette problématique est loin d'être simple. Elle suppose que la question du partage du secret médical et professionnel dans les réseaux de soins et de santé soit résolue.

Gérer le secret...

Un secret se conserve tout aussi bien, si ce n'est mieux, lorsqu'il est fractionné, crypté et "à tiroirs" que lorsqu'il est sanctuarisé intégralement dans un lieu unique (ou dans un seul ordinateur). Il apparaît donc essentiel que chaque médecin, chaque service hospitalier, chaque établissement de santé fasse valoir demain sa responsabilité sur la part de secret du patient-citoyen qu'il détient en le signalant dans un système d'information plutôt que d'imaginer que chacun puisse avoir accès, selon son accréditation et ses besoins, à un futur dossier informatisé de santé, intégral, réputé inviolable, stocké et consolidé en permanence dans un lieu ou dans un système unique.

La Médecine de demain, hospitalière et ambulatoire, si elle veut conserver la confiance des patients, a tout intérêt à leur garantir qu'aucune interconnection ou communication des différentes informations de santé les concernant dans le système de soins n'est possible sans que leurs libertés fondamentales - quand bien même ils les ignoreraient- soient respectées.

... par le balisage des informations

Une première trés grande étape dans la mise en oeuvre des réseaux d'information de santé, au niveau régional et national, serait de convaincre les professionnels de santé, hospitaliers et libéraux, non pas de mettre en réseau les éléments d'informations dont ils disposent pour un patient donné mais simplement de "baliser" l'existence de ces éléments sur le réseau. Ce signalement des diagnostics, prescriptions, résultats d'examens, compte-rendus hospitaliers, etc, existant à différents endroits du système d'information, serait largement suffisant pour constituer demain un bon dossier informatisé de santé des citoyens-patients

Ce signalement pourrait prendre la forme d'une "balise" correspondant à chaque élément du dossier existant en l'état distribué entre les professionnels de santé. Sur chaque balise seraient "indexées", sous forme codée, plusieurs données telles que: l'identification du patient, celle du médecin ou du service hospitalier, la nature de l'information disponible, le type et les dates des actes et de leur validation, etc, etc, mais aussi les conditions et autorisations d'accès à cette information établies en fonction du consentement du patient et du statut plus ou moins ouvert que le médecin responsable de l'information souhaite lui donner.

La production de cette "balise" pourrait faire l'objet d'une standardisation rapide et consensuelle. Elle pourraît être en partie automatisée par la conception d'une surcouche logicielle compatible avec les logiciels utilisés par les professionnels de santé, quel qu'ils soient, pour gérer leur cabinet ou leur service. La rédaction de chaque compte-rendu d'actes hospitaliers ou ambulatoires, ou encore de prescription, pourrait ainsi donner lieu, de façon quasi-automatique, à l'émission sur le système d'information d'une balise signalant l'existence de cette information ainsi que les conditions de son accessibilité via un serveur sécurisé.

Le dossier informatisé de santé du citoyen ne serait plus alors qu'un système de balisage électronique localisant et décrivant les éléments et la nature de l'information disponible chez les professionnels de santé sans que leur contenu soit immédiatement accessible pour autant. Le système de santé français serait ainsi doté d'un "système de navigation", dans les éléments du dossier de santé de chaque français sans que leur accès soit totalement automatique.

Cependant, du point de vue de la sécurité et de la confidentialité dues au patient, le problème du dossier informatisé de santé ne serait pas encore complétement résolu. Deux questions fondamentales resteraient en suspens: Celle de l'identifiant permanent du patient et celle de la gestion de la base de données qui contiendrait toutes les balises signalant la localisation dans le système d'information de santé des information existant sur un patient donné.

La question de l'identification

En effet, il faudra bien d'une part qu'un numéro unique serve de façon trés sûre à l'enregistrement et au stockage des signalements -c'est-à-dire que l'on soit certain qu'une balise correspond bien à un patient et pas à un autre- d'autre part qu'il existe des bases de données, totalement sécurisées, susceptibles d'être interrogées par ce numéro pour prendre connaissance des balises signalant l'information médicale concernant ce patient.

Le "rêve" ne date pas d'aujourd'hui qu'à chaque français puisse correspondre un numéro d'identification permanent, invariable de la vie à la mort, qui serait la clef universelle pour accéder à tous les fichiers et pour les croiser à loisirs. Ce rêve avait déjà pris forme en 1974 sous le nom du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus). Il s'agissait de généraliser l'emploi du fameux Numéro de Sécurité Sociale - aujourd'hui le Numéro d'Inscription au Répertoire (NIR)- à tous les fichiers administratifs de façon à les interconnecter sans difficulté. On prévoyait à l'époque l'utilisation de ce même numéro pour 400 gros fichiers concernant les français. Big Brother était là. Ce fut un tollé général alors que les moyens informatiques n'étaient qu'à leur balbutiement. Nous devons à ce sursaut citoyen la "Loi Informatique et Libertés" de 1978 et la création de la CNIL. Depuis cette date, il est interdit de ficher des données sensibles concernant la vie privée des individus sauf dérogations données par la CNIL et par le Conseil d'Etat.

Vingt ans plus tard, le risque existe toujours. Le NIR est utilisé pour la gestion administrative du remboursement des soins par les assurances-maladies publiques et/ou privés. Toujours nombreux sont ceux qui "rêvent " de pouvoir l'utiliser comme numéro d'identification permanent pour le dossier de santé informatisé du patient.

S'orienter vers de telles solutions, serait accepter d'ouvrir en grand les portes au rationnement comptable des soins, voire dans le futur à des formes d'eugénisme larvé ou affiché. Le principe de précaution doit donc s'appliquer. Plus qu'aucun autre, les systèmes de traitement d'informations de santé nominatives doivent être sécurisés pour éviter demain la discrimination automatisée des individus en fonction de critères économiques, sociaux, politiques, raciaux, religieux, génétiques, psychologiques, etc.

Une des solutions actuellement étudiées pour concilier ces exigences de sécurité et la nécessité pour les médecins de disposer d'accès aux éléments d'information composant le dossier informatisé de santé de chaque français, consiste en la création, au niveau local, d'un numéro d'identifiant du malade dérivé par un calcul crypté du numéro de sécurité sociale. Seuls des "tiers-de-confiance", c'est-à-dire des personnes ou des organismes assermentés, disposeraient des clefs de cryptage permettant de rapprocher -dans des conditions légales bien spécifiques et pour des cas réglementaires bien définis- les fichiers de santé accessibles par le numéro d'identifiant permanent du patient de ceux accessibles par le numéro de sécurité sociale. Beaucoup de travail reste à faire pour concevoir un tel système sécurisé d'identification. Cependant, sur un point fondamental, cette problématique rejoint celle de la sécurité des bases de données où seront stockés les signalements de ces informations. Il s'agit de la question du "tiers-de-confiance".

La question de confiance

Imaginons que, demain, tous les services hospitaliers, les médecins de ville, les professions paramédicales et les services sociaux d'une zone sanitaire donnée, s'engagent à signaler, au moyen d'une balise d'index normalisés, dans un réseau local d'information, le fait qu'il possède une information médicale ou médico-sociale sur un patient identifié grâce à un numéro local unique dérivé du NIR. Le dossier informatisé de santé de chaque français serait alors une suite datée d'indications de consultations, de prescriptions, d'intervention, de prise en charge, de suivi, etc (et non les contenus de ces actes) stockée sur un serveur local.

Chaque indication serait accompagnée du numéro de la carte professionnelle de leur auteur qui signifierait ainsi à ses collègues qu'il met totalement, partiellement ou même pas-du-tout, à leur disposition l'information dont il dispose en fonction du consentement du patient et de sa propre appréciation. Pour chaque français, localement, existerait alors une trace de son parcours dans le système de santé. Pour chaque professionnel de santé existerait la possiblilité de consulter directement un élément du dossier d'un patient chez un collègue via le serveur local ou d'entrer en contact avec lui par courrier électronique.

Chaque consultation à partir des balises d'index pourrait elle-même faire l'objet d'un enregistrement du type: le "t", le docteur "x" a consulté le compte-rendu hospitalier du docteur "y" concernant le patient "a" au moyen de la balise d'index "1", ou encore: le "t", le docteur "x" a demandé une information complémentaire au docteur "y" concernant le patient "b" au moyen de la balise d'index "2" qui n'autorisait pas une consultation directe.

Il va sans dire que la base de données jouant le rôle de serveur local de balises d'index, donnant ou non accès aux éléments d'informations existant chez les professionnels de santé travaillant en réseau, devra être considérée elle-même comme ultra-sensible. Par exemple, il serait inconcevable que même un professionnel de santé, quel qu'il soit, puisse consolider sans contrôle, des informations sur un patient par le biais des balises d'index. Sur le plan de l'éthique et de la sécurité, encore une fois, il apparaît incontournable que ces serveurs soient placés sous la responsabilité et l'autorité de "tiers-de-confiance" totalement indépendants, assermentés et spécialisés dans le traitement de l'information de santé.

Un nouveau métier...

Ces "tiers-de-confiance" ne peuvent pas être n'importe qui. Garants du bon usage, justifié et légitime, des clefs (les balises) donnant accès aux informations de santé des citoyens, à la fois témoins et surveillants de l'exploitation régulière et logique de celles-çi, il apparaît nécessaire que leur formation de base soit médicale. Leur rôle dans les réseaux d'information de santé de demain serait en effet principalement :

- d'assurer à chacun la confidentalité, l'intégrité, la disponibilité des informations constituant leur dossier de santé, où qu'elles soient, mais aussi la notarisation de tous les signalements d'information le constituant et de toutes leurs utilisations;

- de faire respecter les droits d'opposition, d'accès, de rectification et d'oubli du patient sur l'information de santé et de faire valoir, de façon identique, les spécificités du consentement de ses soignants qu'ils soient médecins ou professionnels paramédicaux ou médico-sociaux;

- d'actualiser sur les "cartes à puces de santé" des patients, en concertation étroite avec eux, les informations et les balises-index d'urgence autorisant un accès direct et prioritaire aux divers éléments d'information importants que les médecins traitants et les patients auront souhaité y ajouter;

- de détenir les clefs de cryptage permettant de rapprocher le numéro de sécurité sociale des numéros locaux d'identification des patients;

- de contribuer, toujours avec le consentement des citoyens-patients et des professionels de santé, grâce à des procédures d'anonymisation des données qu'ils garantissent, à des études épidémiologiques et médico-économiques dans le cadre d'une mission de santé publique.;

Il est illusoire et dangereux de penser que ces tâches puissent être entièrement automatisées. Elles ne seront utiles au patient, aux médecins traitants travaillant en réseau, à des objectifs de santé publique, et, in fine à une meilleure maîtrise locale médicalisée des dépenses de santé, que si elles sont placées sous la responsabilité de médecins exerçant un nouveau métier, en toute indépendance, au bénéfice de chacun et de la collectivité, dans un cadre éthique, déontologique et légal, trés strict et trés clair. De ce point de vue, il ne saurait y avoir de maîtrise médicalisée des dépenses de santé sans maîtrise médicale et citoyenne de l'information de santé.

... dont la voie est déjà tracée.

En fait, l'horizon se dessine au fur et à mesure que nous commençons à nous approprier les nouveaux outils d'information et de communication et à comprendre, chemin faisant, qu'à l'âge de l'information correspondent des formes d'organisation et d'intelligence, plus collectives et plus distribuées qu'autrefois. Leur caractéristique est de reposer sur des systèmes de plus en plus fins et précis de balisage, d'indexation et d'interconnection des sources d'informations, de connaissances et de compétences. Internet joue ici un rôle symbolique, pédagogique et didactique exemplaire. Déjà 20% des services sur Internet sont dédiés à la Santé. On comptait fin juin 1997, 15000 sites internet de santé et une augmentation de 100 nouveaux sites par semaine. Les dernières estimations fixent entre 600 millions et 1 milliard le nombre des utilisateurs mondiaux du "Réseau des Réseaux" pour l'année 2000, alors qu'il y a un an, on estimait ce nombre à 200-250 millions.

Le dossier informatisé de santé du citoyen du prochain siècle risque fort d'être donc, lui aussi, presque entièrement distribué. Il ressemblera sans doute à une page HTML où chaque ligne signalera la connaissance acquise par un soignant sur un soigné. Un "clic" sur certaines lignes permettra à tout médecin ayant décliné son identité d'accéder à cette connaissance. D'autres lignes ne pourront être consultées que par des spécialistes. D'autre encore resteront muettes et obligeront le médecin à justifier sa demande auprès de l'émetteur de l'information ou encore auprés du médecin chargé de la sécurité, de la cohérence et du fonctionnement éthique et déontologique du réseau d'information de santé reliant localement tous les professionnels de santé. La connaissance mondiale tend à se discipliner sur ce modèle distribué et indexé quasi-neuronal. Le dossier de santé informatisé de demain ne pourra donc pas s'éloigner de cette nouvelle forme de structuration.

Par ailleurs, sur le "Réseau des Réseaux" apparaissent, dans tous les domaines d'activité, des nouveaux métiers liés aux fonctions de sécurité, de notarisation et de régulation éthique et déontologique des services et de leurs usages. "La déontique" est en train d'émerger en tant que nouvelle dimension de l'âge de l'information. Les réseaux d'information de santé n'échapperont donc pas à ce mouvement général. Des "tiers-de-confiance" en réseaux, missionnés par les utilisateurs, devront demain, d'une façon ou d'une autre assurer la sécurité, la légalité, la cohérence, le contrôle, l'évaluation et la citoyenneté du traitement des informations de santé individuelles et collectives. L'heure est sans doute venue pour la Médecine d'inventer une nouvelle discipline: "la déontique médicale"...

jp quignaux,
chargé de mission réseaux de soins à l'ap-hp