L’hébergement de données de santé à caractère personnel, on le sait, est soumis en France à un agrément du Ministère de la Santé depuis la loi du 4 mars 2002.
Compte tenu des compétences et des ressources requises par cet agrément, et en raison du caractère particulier des données de santé, chaque hébergeur agréé de données de santé (HADS) doit nécessairement s’attacher les services d’un médecin en qualité de garant du secret médical.
Mais quel est donc le rôle exact de ce médecin au sein des équipes d’un hébergeur de données informatiques, dont les compétences et les tâches quotidiennes sont largement éloignées de l’activité habituelle d’un docteur en médecine ?
Comme l’indique plus bas notre médecin hébergeur, le Dr Mazereeuw, il est tout sauf anodin, et contribue fortement à la valeur qu’apporte un hébergeur HADS.
Il intervient à toutes les étapes de la procédure d’agrément.
« Dès le démarrage de la procédure, » note le Dr Mazereeuw, « j’ai conseillé et guidé les techniciens de Coreye dans l’adaptation de leurs méthodes et process afin que le secret médical soit garanti à toutes les étapes du traitement des données, lors du recueil, du stockage, de l’archivage et de l’accès aux informations. Je me suis aussi assuré qu’une parfaite traçabilité des données soit garantie (qui a accès aux informations et quand). »
Il suit et contrôle chaque nouveau dossier d’hébergement.
« Chaque nouveau dossier a ses particularités, » indique F. Mazereeuw, « je dois donc veiller à ce que les procédures d’hébergement soient bien respectées et adaptées à chaque cas particulier. Par exemple, lorsque le dossier concerne l’hébergement d’un applicatif de santé, j’ai un véritable rôle de conseil auprès de l’éditeur afin de l’amener à adopter les bonnes pratiques en matière de sécurité. Je contrôle également que mes préconisations ont bien été suivies. »
Son rôle est déterminant lorsque les données de santé sont menacées.
« Mais mon rôle ne se limite pas à prévenir les risques et à insuffler les bonnes pratiques, j’interviens également directement dans la résolution de tous les problèmes liés à la protection des données de santé, » souligne F. Mazereeuw. « Par exemple, prenons le cas d’un problème qui survient sur une application hébergée, induisant un risque de rupture d’activité – cas concret que nous avons déjà rencontré chez COREYE.
Dès que les équipes techniques COREYE ont été informées par l’éditeur, j’ai été prévenu. Dans l’heure, j’ai contacté directement plusieurs praticiens de santé impactés par le problème afin de déterminer le niveau exact de l’impact métier, en liaison avec les techniciens informatiques. C’est également moi qui ai supervisé les tests avec les praticiens dans l’après-midi et suivi le sujet afin d’aider à trouver la solution. Sans une excellente réactivité du médecin hébergeur, et son implication directe en sa qualité d’interface obligée entre les équipes de l’éditeur, de l’hébergeur et des praticiens utilisateurs, le problème ne peut être efficacement résolu.
Deuxième exemple, supposons qu’une faille de sécurité soit détectée dans une application de santé, avec un risque d’accès frauduleux aux données, un cas qui peut malheureusement se produire. Là encore, j’interviens directement, car c’est à moi de déterminer le niveau de risque médico judiciaire, en liaison avec l’éditeur de l’application et les techniciens de l’hébergeur. Je suis donc partie prenante dans la détermination de l’impact et du risque, et dans l’inventaire des dommages éventuellement provoqués : nature des données corrompues ou volées, historique des accès. Je peux donc conseiller au mieux nos clients sur la marche à suivre». Un bon exemple de l’implication du médecin hébergeur pour accompagner les clients de l’hébergeur pour minimiser les risques car le risque zéro n’existe pas malheureusement.
Il est la seule personne habilitée à accéder aux données de santé stockées chez l’hébergeur.
« Dans le cas d’une demande de suppression d’un compte patient dans une application par exemple, » confirme F. Mazereeuw, » c’est moi qui reçois et traite la demande adressée par le patient. Ma mission est de contacter l’éditeur et de m’assurer que le compte est bien supprimé de son côté. Je m’assure également que le compte est bien supprimé chez l’hébergeur, et je confirme ensuite au patient que sa demande a bien été satisfaite. »
On le voit, héberger des données de santé n’est pas seulement une prestation technique, c’est aussi un domaine où la médecine a et doit avoir son mot à dire.