Les Ordres face au projet d’arrêté confidentialité/référentiel
8 novembre 2008
Position commune des Ordres nationaux des professionnels de santé sur le projet d’arrêté confidentialité/référentiel (29 oct 2008)
Les Ordres des professions de santé ont été saisis pour avis d’un projet d’arrêté pris en application du décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique (articles R. 1110-1 à R. 1110-3 du code de la santé publique).
L’article R. 1110-1 prévoit que la conservation et la transmission par voie électronique d’informations médicales soient soumises au respect de référentiels afin d’en garantir la confidentialité.
Ce premier référentiel, applicable aux professionnels de santé ou organismes délivrant des prestations médicales, dresse la liste des exigences fonctionnelles de sécurité relatives au système informatique, classées selon trois niveaux de préconisation : obligatoire, recommandé, conseillé.
A la lecture des chapitres 3 et 5 de l’annexe du projet d’arrêté relatifs, respectivement, à l’authentification des utilisateurs et à la transmission des informations médicales sur un réseau ouvert, il apparaît que l’utilisation de la Carte de Professionnel de Santé (CPS), si elle reste recommandée, n’est pas obligatoire.
Le § 5.2.2 de cette annexe, en particulier, précise que, dans l’hypothèse où le système échange des informations médicales à caractère personnel sur Internet, celui-ci doit recourir aux certificats délivrés par le GIP CPS.
Dès lors, la légalité de l’arrêté et de son annexe apparaissent fortement contestables, l’article R. 1111-3 imposant l’utilisation de la CPS en cas d’accès des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique.
Les Conseils nationaux des Ordres des professions de santé, co-signataires du présent document, s’interrogent en outre sur la pertinence d’un tel choix alors que la CPS qui regroupe sur un même support l’ensemble des clés et certificats électroniques permettant d’assurer les fonctionnalités d’authentification, de signature des données et de chiffrement des échanges constitue à l’évidence l’outil le plus adapté pour garantir les principes de sécurité imposés et des principes d’interopérabilité. L’association avec des usages sans contact pouvant être incluse dans l’évolution de l’utilisation de cet outil.
La CPS offre aujourd’hui toutes les garanties pour s’assurer que les professionnels de santé qui consultent les données médicales personnelles remplissent effectivement les conditions d’accès à ces informations, notamment au regard de la régularité de leur exercice professionnel. Ainsi que le prévoit le décret du 15 mai 2007 susvisé, l’utilisation de la CPS doit donc constituer la norme pour les professionnels de santé dans le domaine de l’accès aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique.
C’est dans cet esprit que les Conseils nationaux des Ordres des professions de santé soutiennent la convergence de cette CPS avec la Carte Ordinale à la condition que la « carte convergée » devienne un outil ubiquitaire d’authentification et d’identification des professionnels dans de bien d’autres applications et usages professionnels, que la seule télétransmission des feuilles de soins. Faute de quoi cette convergence des cartes verrait son sens et son intérêt remis en question.
Les Conseils nationaux s’étonnent, à cet égard, que le processus de concertation segmente celle-ci selon les secteurs de soins, dès lors qu’en ce qui les concerne les Ordres entendent s’exprimer pour tous les professionnels inscrits à leurs Tableaux, qu’ils soient libéraux, salariés ou hospitaliers.
Les Conseils nationaux s’étonnent aussi des critères qui ont présidé au classement par niveau d’exigence des règles énumérées dans l’annexe. A titre d’exemple, les dispositions relatives à la traçabilité ne sont que conseillées, au mieux recommandées, ce qui naturellement peut susciter quelques interrogations sur le niveau de sécurité des systèmes mis en place et, par la même, sur les garanties indispensables à la sécurisation des données médicales.
Soucieux que les libertés individuelles et les droits des patients soient respectés en toutes circonstances, les Ordres veilleront à ce que des garanties soient prises pour que les professionnels de santé puissent disposer des dispositifs leur permettant d’assumer leurs obligations, notamment en matière de secret professionnel et estiment qu’il appartient à la CNIL,dont la compétence doit être sollicitée, de se prononcer sur le fait de savoir si les dispositions de l’arrêté assurent au regard de la protection des libertés des garanties suffisantes.
Ordre national des médecins
Ordre national des pharmaciens
Ordre national des chiurgiens-dentistes
Ordre national des sages-femmes
Ordre national des pédicures-podologues
Ordre national des masseurs-kinésithérapeutes
********************************************************
Décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique (dispositions réglementaires) (NOR : SANP0721653D)
Article 1
Le chapitre préliminaire du titre Ier du livre Ier de la première partie du code de la santé publique (dispositions réglementaires) est ainsi modifié :
I. - La section unique devient la section 2, intitulée « Section 2 : Associations de bénévoles », et son article R. 1110-1 devient l’article R. 1110-4.
II. - Avant la section 2, il est inséré une section 1 ainsi rédigée :
« Section 1 : Confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique
« Art. R. 1110-1. - La conservation sur support informatique des informations médicales mentionnées aux trois premiers alinéas de l’article L. 1110-4 par tout professionnel, tout établissements et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. Ces référentiels s’imposent également à la transmission de ces informations par voie électronique entre professionnels.
« Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixant le niveau de sécurité requis pour ces fonctions.
« Ils décrivent notamment :
1° Les mesures de sécurisation physique des matériels et des locaux ainsi que les dispositions prises pour la sauvegarde des fichiers ;
2° Les modalités d’accès aux traitements, dont les mesures d’identification et de vérification de la qualité des utilisateurs, et de recours à des dispositifs d’accès sécurisés ;
3° Les dispositifs de contrôle des identifications et habilitations et les procédures de traçabilité des accès aux informations médicales, ainsi que l’histoire des connexions ;
4° En cas de transmission par voie électronique entre professionnels, les mesures mises en oeuvre pour garantir la confidentialité des informations échangées, le cas échéant, par le recours à un chiffrement en tout ou partie de ces informations.
« Art. R. 1110-2. - Pour chaque traitement mis en oeuvre par les personnes et les organismes mentionnés à l’article R. 1110-1 et comportant des informations médicales à caractère personnel, le dossier de déclaration ou de demande d’autorisation auprès de la Commission nationale de l’informatique et des libertés décrit les moyens retenus afin d’assurer la mise en conformité de ce traitement avec le référentiel le concernant.
« Le responsable du traitement, au sens de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, est chargé de veiller au respect du référentiel. Il lui appartient notamment de :
1° Gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations ;
2° Mettre en oeuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé dans les conditions garantissant la cohérence entre les données d’identification gérées localement et celles recensées par le groupement d’intérêt public mentionné à l’article R. 161-54 du code de la sécurité sociale ;
3° Porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement les principales dispositions prises pour garantir la conformité au référentiel correspondant.
« Art. R. 1110-3. - En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire. »
Article 2
A compter de la date de publication des arrêtés mentionnés à l’article R. 1110-1 du code de la santé publique, dans sa rédaction issue du présent décret, les professionnels de santé, établissements, réseaux ou organismes mentionnés à cet article disposent d’un délai d’un an pour se mettre en conformité avec les dispositions des articles R. 1110-1 à R. 1110-2 du même code.
Les dispositions de l’article R. 1110-3 du code de la santé publique ne sont applicables aux établissements de santé que dans un délai de trois ans à compter de la publication du présent décret.
Article 3
Le ministre de la santé et des solidarités est chargé de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Fait à Paris, le 15 mai 2007.
Dominique de Villepin