Concertation #7 – Au delà de la norme, l’intelligence

Article paru dans Décision Santé le 29 octobre 2015

La complainte ultra-libérale souvent entonnée ces dernières années fait de l’hébergeur de données de santé à caractère personnel le croquemitaine d’initiatives généreuses d’amélioration de la santé publique et individuelle au travers des technologies de l’information et de la communication. En verrouillant à l’excès l’accès aux données, il représenterait une perte de chance pour les personnes concernées.

Le quotidien des hébergeurs est plutôt à rebours de cette vision. A la jointure de trois blocs d’exigences, leur savoir-faire est de construire les compromis acceptables dans l’intérêt du patient.

Le premier bloc est celui des attentes du demandeur du traitement hébergé. Il peut s’agir d’établissements ou de professionnels de santé ou médico-sociaux, d’éditeurs travaillant pour eux, mais également de structures de coordination, d’organismes de recherche, de fabricants de dispositifs connectés, d’opérateurs de plateformes grand public,  d’assureurs, etc.

Le second bloc est celui des mesures techniques et opérationnelles visant à assurer la sécurité : dispositifs d’authentification, traçabilité des accès et des usages, chiffrement des liens, règles d’intervention sur les systèmes hébergés.

Le troisième est le corpus législatif et réglementaire encadrant les systèmes d’information de santé.  Au-delà de la réglementation sur l’hébergement de données de santé, on y trouvera toutes les dispositions générales et spécifiques, plus ou moins cohérentes, accumulées au fil des ans et des textes.

La plupart des acteurs ont une connaissance en profondeur de l’un des trois domaines, et sur les deux autres une vision très limitative. Cela va de la vague appréhension à une recette de cuisine, composée d’une collection d’injonctions d’autant plus péremptoires qu’elles sont sorties de tout contexte. Parmi les exemples les plus fréquemment entendus pour chaque rubrique :

  • L’authentification forte est inacceptable pour les utilisateurs en établissement de santé, qui doivent pouvoir en tout temps intervenir en urgence, y compris pour des utilisateurs non répertoriés.
  • Le chiffrement des liens suffit à sécuriser les données.
  • Le remplacement des identités par des pseudonymes permet de réutiliser librement les données.

Ces légendes peuvent pêcher comme ici par faiblesse, mais aussi par excès de contrainte. C’est là qu’intervient l’hébergeur de données de santé. Au vu de la complexité et de la variabilité des domaines d’application, aucun des trois corpus n’est absolu ni intangible. On est dans le domaine du comportemental, des bonnes pratiques, du droit souple. C’est l’hébergeur qui va confronter et pondérer les attentes pour construire un compromis qui puisse fonctionner. Il s’appuie pour cela sur sa connaissance du secteur, des précédents, des tendances. Il ne s’agit pour autant pas de casuistique ou d’un relativisme absolu. Comme l’autre croquemitaine qu’est la CNIL, l’hébergeur doit être guidé en premier lieu par l’intérêt de la personne concernée par les données dont il a la garde.

Pour que cette éthique soit opérante, l’indépendance de l’hébergeur doit être garantie. Pour contrebalancer la relation commerciale qu’il a avec ses clients, le risque encouru en cas de laxisme doit être significatif. C’est l’objet même de l’agrément – ou demain, de la certification – de confronter les arbitrages de l’hébergeur avec un corpus de bonnes pratiques, dont la première matérialisation sont les guides et référentiels de la PGSSI-S.

C’est dans ce sens qu’il faut comprendre l’opposabilité de la PGSSI-S : non comme un blanc-seing qui serait attribué à toute structure qui se conformerait aveuglément à ses règles, mais comme une référence d’état de l’art utilisable pour inspirer et valider les décisions de l’hébergeur.