Les Ordres face au projet d’arrêté confidentialité/référentiel

Les Ordres des pro­fes­sions de santé ont été saisis pour avis d’un projet d’arrêté pris en appli­ca­tion du décret n° 2007-960 du 15 mai 2007 rela­tif à la confi­den­tia­lité des infor­ma­tions médi­ca­les conser­vées sur sup­port infor­ma­ti­que ou trans­mi­ses par voie électronique (arti­cles R. 1110-1 à R. 1110-3 du code de la santé publi­que).

L’arti­cle R. 1110-1 pré­voit que la conser­va­tion et la trans­mis­sion par voie électronique d’infor­ma­tions médi­ca­les soient sou­mi­ses au res­pect de réfé­ren­tiels afin d’en garan­tir la confi­den­tia­lité.

Ce pre­mier réfé­ren­tiel, appli­ca­ble aux pro­fes­sion­nels de santé ou orga­nis­mes déli­vrant des pres­ta­tions médi­ca­les, dresse la liste des exi­gen­ces fonc­tion­nel­les de sécu­rité rela­ti­ves au sys­tème infor­ma­ti­que, clas­sées selon trois niveaux de pré­co­ni­sa­tion : obli­ga­toire, recom­mandé, conseillé.

A la lec­ture des cha­pi­tres 3 et 5 de l’annexe du projet d’arrêté rela­tifs, res­pec­ti­ve­ment, à l’authen­ti­fi­ca­tion des uti­li­sa­teurs et à la trans­mis­sion des infor­ma­tions médi­ca­les sur un réseau ouvert, il appa­raît que l’uti­li­sa­tion de la Carte de Professionnel de Santé (CPS), si elle reste recom­man­dée, n’est pas obli­ga­toire.
Le § 5.2.2 de cette annexe, en par­ti­cu­lier, pré­cise que, dans l’hypo­thèse où le sys­tème échange des infor­ma­tions médi­ca­les à carac­tère per­son­nel sur Internet, celui-ci doit recou­rir aux cer­ti­fi­cats déli­vrés par le GIP CPS.

Dès lors, la léga­lité de l’arrêté et de son annexe appa­rais­sent for­te­ment contes­ta­bles, l’arti­cle R. 1111-3 impo­sant l’uti­li­sa­tion de la CPS en cas d’accès des pro­fes­sion­nels de santé aux infor­ma­tions médi­ca­les à carac­tère per­son­nel conser­vées sur sup­port infor­ma­ti­que ou de leur trans­mis­sion par voie électronique.

Les Conseils natio­naux des Ordres des pro­fes­sions de santé, co-signa­tai­res du pré­sent docu­ment, s’inter­ro­gent en outre sur la per­ti­nence d’un tel choix alors que la CPS qui regroupe sur un même sup­port l’ensem­ble des clés et cer­ti­fi­cats électroniques per­met­tant d’assu­rer les fonc­tion­na­li­tés d’authen­ti­fi­ca­tion, de signa­ture des don­nées et de chif­fre­ment des échanges cons­ti­tue à l’évidence l’outil le plus adapté pour garan­tir les prin­ci­pes de sécu­rité impo­sés et des prin­ci­pes d’inte­ro­pé­ra­bi­lité. L’asso­cia­tion avec des usages sans contact pou­vant être incluse dans l’évolution de l’uti­li­sa­tion de cet outil.

La CPS offre aujourd’hui toutes les garan­ties pour s’assu­rer que les pro­fes­sion­nels de santé qui consul­tent les don­nées médi­ca­les per­son­nel­les rem­plis­sent effec­ti­ve­ment les condi­tions d’accès à ces infor­ma­tions, notam­ment au regard de la régu­la­rité de leur exer­cice pro­fes­sion­nel. Ainsi que le pré­voit le décret du 15 mai 2007 sus­visé, l’uti­li­sa­tion de la CPS doit donc cons­ti­tuer la norme pour les pro­fes­sion­nels de santé dans le domaine de l’accès aux infor­ma­tions médi­ca­les à carac­tère per­son­nel conser­vées sur sup­port infor­ma­ti­que ou de leur trans­mis­sion par voie électronique.

C’est dans cet esprit que les Conseils natio­naux des Ordres des pro­fes­sions de santé sou­tien­nent la conver­gence de cette CPS avec la Carte Ordinale à la condi­tion que la « carte conver­gée » devienne un outil ubi­qui­taire d’authen­ti­fi­ca­tion et d’iden­ti­fi­ca­tion des pro­fes­sion­nels dans de bien d’autres appli­ca­tions et usages pro­fes­sion­nels, que la seule télé­trans­mis­sion des feuilles de soins. Faute de quoi cette conver­gence des cartes ver­rait son sens et son inté­rêt remis en ques­tion.

Les Conseils natio­naux s’étonnent, à cet égard, que le pro­ces­sus de concer­ta­tion seg­mente celle-ci selon les sec­teurs de soins, dès lors qu’en ce qui les concerne les Ordres enten­dent s’expri­mer pour tous les pro­fes­sion­nels ins­crits à leurs Tableaux, qu’ils soient libé­raux, sala­riés ou hos­pi­ta­liers.

Les Conseils natio­naux s’étonnent aussi des cri­tè­res qui ont pré­sidé au clas­se­ment par niveau d’exi­gence des règles énumérées dans l’annexe. A titre d’exem­ple, les dis­po­si­tions rela­ti­ves à la tra­ça­bi­lité ne sont que conseillées, au mieux recom­man­dées, ce qui natu­rel­le­ment peut sus­ci­ter quel­ques inter­ro­ga­tions sur le niveau de sécu­rité des sys­tè­mes mis en place et, par la même, sur les garan­ties indis­pen­sa­bles à la sécu­ri­sa­tion des don­nées médi­ca­les.

Soucieux que les liber­tés indi­vi­duel­les et les droits des patients soient res­pec­tés en toutes cir­cons­tan­ces, les Ordres veille­ront à ce que des garan­ties soient prises pour que les pro­fes­sion­nels de santé puis­sent dis­po­ser des dis­po­si­tifs leur per­met­tant d’assu­mer leurs obli­ga­tions, notam­ment en matière de secret pro­fes­sion­nel et esti­ment qu’il appar­tient à la CNIL,dont la com­pé­tence doit être sol­li­ci­tée, de se pro­non­cer sur le fait de savoir si les dis­po­si­tions de l’arrêté assu­rent au regard de la pro­tec­tion des liber­tés des garan­ties suf­fi­san­tes.

Ordre natio­nal des méde­cins
Ordre natio­nal des phar­ma­ciens
Ordre natio­nal des chiur­giens-den­tis­tes
Ordre natio­nal des sages-femmes
Ordre natio­nal des pédi­cu­res-podo­lo­gues
Ordre natio­nal des mas­seurs-kiné­si­thé­ra­peu­tes

********************************************************

Décret n° 2007-960 du 15 mai 2007 rela­tif à la confi­den­tia­lité des infor­ma­tions médi­ca­les conser­vées sur sup­port infor­ma­ti­que ou trans­mi­ses par voie électronique et modi­fiant le code de la santé publi­que (dis­po­si­tions régle­men­tai­res) (NOR : SANP0721653D)

Article 1

Le cha­pi­tre pré­li­mi­naire du titre Ier du livre Ier de la pre­mière partie du code de la santé publi­que (dis­po­si­tions régle­men­tai­res) est ainsi modi­fié :
I. - La sec­tion unique devient la sec­tion 2, inti­tu­lée « Section 2 : Associations de béné­vo­les », et son arti­cle R. 1110-1 devient l’arti­cle R. 1110-4.
II. - Avant la sec­tion 2, il est inséré une sec­tion 1 ainsi rédi­gée :

« Section 1 : Confidentialité des infor­ma­tions médi­ca­les conser­vées sur sup­port infor­ma­ti­que ou trans­mi­ses par voie électronique

« Art. R. 1110-1. - La conser­va­tion sur sup­port infor­ma­ti­que des infor­ma­tions médi­ca­les men­tion­nées aux trois pre­miers ali­néas de l’arti­cle L. 1110-4 par tout pro­fes­sion­nel, tout établissements et tout réseau de santé ou tout autre orga­nisme inter­ve­nant dans le sys­tème de santé est sou­mise au res­pect de réfé­ren­tiels défi­nis par arrê­tés du minis­tre chargé de la santé, pris après avis de la Commission natio­nale de l’infor­ma­ti­que et des liber­tés. Ces réfé­ren­tiels s’impo­sent également à la trans­mis­sion de ces infor­ma­tions par voie électronique entre pro­fes­sion­nels.

« Les réfé­ren­tiels déter­mi­nent les fonc­tions de sécu­rité néces­sai­res à la conser­va­tion ou à la trans­mis­sion des infor­ma­tions médi­ca­les en cause et fixant le niveau de sécu­rité requis pour ces fonc­tions.
« Ils décri­vent notam­ment :
– 1° Les mesu­res de sécu­ri­sa­tion phy­si­que des maté­riels et des locaux ainsi que les dis­po­si­tions prises pour la sau­ve­garde des fichiers ;
– 2° Les moda­li­tés d’accès aux trai­te­ments, dont les mesu­res d’iden­ti­fi­ca­tion et de véri­fi­ca­tion de la qua­lité des uti­li­sa­teurs, et de recours à des dis­po­si­tifs d’accès sécu­ri­sés ;
– 3° Les dis­po­si­tifs de contrôle des iden­ti­fi­ca­tions et habi­li­ta­tions et les pro­cé­du­res de tra­ça­bi­lité des accès aux infor­ma­tions médi­ca­les, ainsi que l’his­toire des connexions ;
– 4° En cas de trans­mis­sion par voie électronique entre pro­fes­sion­nels, les mesu­res mises en oeuvre pour garan­tir la confi­den­tia­lité des infor­ma­tions échangées, le cas échéant, par le recours à un chif­fre­ment en tout ou partie de ces infor­ma­tions.

« Art. R. 1110-2. - Pour chaque trai­te­ment mis en oeuvre par les per­son­nes et les orga­nis­mes men­tion­nés à l’arti­cle R. 1110-1 et com­por­tant des infor­ma­tions médi­ca­les à carac­tère per­son­nel, le dos­sier de décla­ra­tion ou de demande d’auto­ri­sa­tion auprès de la Commission natio­nale de l’infor­ma­ti­que et des liber­tés décrit les moyens rete­nus afin d’assu­rer la mise en confor­mité de ce trai­te­ment avec le réfé­ren­tiel le concer­nant.

« Le res­pon­sa­ble du trai­te­ment, au sens de l’arti­cle 3 de la loi n° 78-17 du 6 jan­vier 1978 modi­fiée rela­tive à l’infor­ma­ti­que, aux fichiers et aux liber­tés, est chargé de veiller au res­pect du réfé­ren­tiel. Il lui appar­tient notam­ment de :
– 1° Gérer la liste nomi­na­tive des pro­fes­sion­nels habi­li­tés à accé­der aux infor­ma­tions médi­ca­les rele­vant de ce trai­te­ment et la tenir à la dis­po­si­tion des per­son­nes concer­nées par ces infor­ma­tions ;
– 2° Mettre en oeuvre les pro­cé­dés assu­rant l’iden­ti­fi­ca­tion et la véri­fi­ca­tion de la qua­lité des pro­fes­sion­nels de santé dans les condi­tions garan­tis­sant la cohé­rence entre les don­nées d’iden­ti­fi­ca­tion gérées loca­le­ment et celles recen­sées par le grou­pe­ment d’inté­rêt public men­tionné à l’arti­cle R. 161-54 du code de la sécu­rité sociale ;
– 3° Porter à la connais­sance de toute per­sonne concer­née par les infor­ma­tions médi­ca­les rele­vant du trai­te­ment les prin­ci­pa­les dis­po­si­tions prises pour garan­tir la confor­mité au réfé­ren­tiel cor­res­pon­dant.

« Art. R. 1110-3. - En cas d’accès par des pro­fes­sion­nels de santé aux infor­ma­tions médi­ca­les à carac­tère per­son­nel conser­vées sur sup­port infor­ma­ti­que ou de leur trans­mis­sion par voie électronique, l’uti­li­sa­tion de la carte de pro­fes­sion­nel de santé men­tion­née au der­nier alinéa de l’arti­cle L. 161-33 du code de la sécu­rité sociale est obli­ga­toire. »

Article 2

A comp­ter de la date de publi­ca­tion des arrê­tés men­tion­nés à l’arti­cle R. 1110-1 du code de la santé publi­que, dans sa rédac­tion issue du pré­sent décret, les pro­fes­sion­nels de santé, établissements, réseaux ou orga­nis­mes men­tion­nés à cet arti­cle dis­po­sent d’un délai d’un an pour se mettre en confor­mité avec les dis­po­si­tions des arti­cles R. 1110-1 à R. 1110-2 du même code.
Les dis­po­si­tions de l’arti­cle R. 1110-3 du code de la santé publi­que ne sont appli­ca­bles aux établissements de santé que dans un délai de trois ans à comp­ter de la publi­ca­tion du pré­sent décret.

Article 3

Le minis­tre de la santé et des soli­da­ri­tés est chargé de l’exé­cu­tion du pré­sent décret, qui sera publié au Journal offi­ciel de la République fran­çaise.

Fait à Paris, le 15 mai 2007.

Dominique de Villepin