Comme M. Jourdain fait de la prose sans le savoir, les IDE créent des données de santé… sans s’en rendre compte. Une situation riche d’opportunités mais qui implique aussi des responsabilités. Voyage dans le nouveau monde de la data.
Quand on remplit le dossier du patient à l’accueil des urgences. Quand on prépare une sortie d’hospitalisation. Quand on note les médicaments administrés. À tout instant, l’infirmière produit des données de santé. Avant l’informatisation, tous ces renseignements se trouvaient dans des classeurs : ils n’étaient pas forcément très sécurisés mais le risque de les voir tomber dans des mains malintentionnées était relativement faible. Maintenant que la numérisation de la santé est en marche, c’est une autre histoire.
Pour comprendre à quel point l’arrivée d’Internet impose de nouvelles précautions aux soignants, le mieux est encore de se rapporter à cet exemple, raconté par Nesrine Benyahia, co-fondatrice de la start up DrData, qui aide les soignants à se mettre en conformité avec leurs obligations en matière de données. « L’an dernier, à Marseille, une pédiatre qui exerçait en établissement a voulu créer un fichier pour faire des études sur sa patientèle, raconte cette juriste. Elle a hébergé le tout sur un outil en ligne de type Google Doc. Mais une maman a tapé le prénom et le nom de son fils sur Internet et est tombée sur le dossier de l’enfant : l’affaire est allée en justice. » On ne le répétera jamais assez : les données* de santé sont à manipuler avec d’infinies précautions. « Il est extrêmement important de respecter les consignes de sécurité en matière de données », insiste Claire Lenain, directrice de l’offre de services et de la communication à l’Agence des systèmes d’information partagés (Asip Santé), le bras numérique du ministère de la Santé. Celle-ci cite notamment les mots de passe longs, bardés de chiffres et de caractères spéciaux, « à ne surtout pas inscrire sur un post-it qui traîne ». Et dans certains cas, de nouveaux réflexes professionnels sont à acquérir.
« Situation typique : dans un couloir, l’IDE pousse le chariot sur lequel se trouve l’ordinateur avec le dossier patient informatisé quand, tout à coup, elle reçoit un appel, imagine Claire Lenain. Il faut alors penser à verrouiller sa session, faute de quoi n’importe qui pourra voir le dossier. » Bien sûr, dans la vraie vie, avec les conditions de travail que l’on connaît, ces préceptes ne sont pas faciles à mettre en œuvre. « Certains voient ces règles comme une énième obligation qu’on met sur leur dos, remarque Nesrine Benyahia. Mais le rôle du soignant, en plus de protéger les patients de la maladie, est de les protéger du point de vue des données : la donnée personnelle, c’est le prolongement de la dignité humaine. » La juriste n’hésite pas à parler d’une « nouvelle culture » à acquérir. Voilà qui pourrait sonner comme une mauvaise nouvelle. Heureusement, en ville comme à l’hôpital, des outils sont déjà en place pour aider les professionnels de santé. On peut même dire qu’ils se multiplient.
Les plateformes territoriales d’appui (PTA) sont un bon exemple. Ces structures, créées par la loi Santé de 2016 pour fluidifier les parcours de soins des patients polypathologiques, qui fleurissent actuellement dans les régions, reposent sur l’échange de données de santé. Leur principe : orienter les professionnels prenant en charge des cas complexes en leur permettant de se coordonner. On peut en dire autant des autres équipes visant à une amélioration des parcours des soins, comme celles des Maia(1).
Les structures de coordination s’appuient d’ailleurs sur des services de messagerie spécifiques. « Dès que vous échangez des données de santé, vous ne devez pas utiliser une messagerie standard de type Gmail ou autre », rappelle Claire Lenain à toutes fins utiles. Deux principaux services sont disponibles actuellement en France : MS Santé, soutenu par les autorités publiques, et Apicrypt, outil indépendant développé par des professionnels de santé. Et, côté dossier informatisé, on attend bien entendu la généralisation du célèbre dossier médical partagé (DMP), que l’Assurance maladie teste depuis 2017 dans neuf départements pilotes (Bas-Rhin, Pyrénées-Atlantiques, Côtes-d’Armor, Doubs, Haute- Garonne, Indre-et-Loire, Puy-de-Dôme, Somme et Val-de-Marne). Dans son rapport charges et produits, publié cet été, la Sécurité sociale rappelait d’ailleurs son engagement de généraliser le DMP dès cette année.
En attendant, d’autres dossiers patients informatisés et sécurisés ont vu le jour, parfois créés par les professionnels eux-mêmes. C’est ainsi que Giovanni Silverii, Idel dans le Sud-Ouest, a décidé, en 2014, de « casser sa tirelire », comme il le dit, pour mettre au point un outil capable de répondre aux besoins des IDE. « J’avais créé un dossier de soins infirmiers sur papier, raconte-t-il. Mais ce n’était pas pratique : il fallait refaire de nouvelles pages quand elles étaient remplies, faire attention à tout noter le jour même pour éviter les oublis…
Les médecins ne le regardaient pas assez souvent, c’était difficile à stocker, et une fois stockées, les données étaient inexploitables. »
Aujourd’hui, l’Idel est à la tête de TabSanté, société qui a créé le dossier de soins infirmiers informatisé (DSII). Installé « dans une vingtaine de cabinets » selon son créateur, l’outil se présente en deux parties : une application tablette “au lit du patient” d’une part, qui permet à l’infirmier de connaître les soins qu’il a à faire, d’entrer les informations pertinentes ainsi que de tracer les soins et les matériels ; une application web d’autre part, grâce à laquelle tout soignant impliqué dans la prise en charge (équipe mobile de gériatrie, médecin traitant, service hospitalier, etc.) peut se connecter pour connaître les soins qui ont été faits. « Cela permet d’améliorer la prise en charge et de diminuer les coûts en évitant des examens redondants », assure Giovanni Silverii. Le tout, bien sûr, en utilisant des outils sécurisés pour l’hébergement et la transmission des données.
Mais ce n’est pas tout. Car le DSII n’est pas uniquement conçu pour permettre une utilisation clinique. « Avec les données que nous avons, nous pouvons faire de la recherche infirmière ou pharmaceutique sur les dispositifs médicaux », indique Giovanni Silverii. De manière générale, il estime que le potentiel des informations recueillies par les paramédicaux est très important. « Les infirmiers récoltent d’énormes quantités de données inexploitées et inexploitables », se désole-t-il.
Mais le DSII le prouve : les données ne sont plus le domaine exclusif des chercheurs en informatique de la santé, et elles attendent que d’autres acteurs les utilisent pour modifier les prises en charge. Les soignants ne sont d’ailleurs pas les seuls à vouloir s’en saisir : les patients sont aussi sur les rangs. Des outils sont d’ores et déjà à leur disposition pour prendre la main sur leurs données de santé. On citera, parmi les nombreux exemples de carnets de santé électroniques disponibles sur le marché, celui développé par la start up française Aviitam, qui s’adresse directement au malade en lui proposant de « centraliser, protéger et partager ses données médicales avec ses médecins ».
L’implication des patients dans la gestion des données de santé se fait aussi au niveau institutionnel. France assos santé, fédération d’associations défendant les droits des malades, siège ainsi à l’Institut des données de santé (INDS), structure chargée d’autoriser et faciliter la mise à disposition pour les chercheurs et les industriels des énormes bases de données dont dispose le pays (celles des hôpitaux ainsi que celles de l’Assurance maladie). Et qui dirige l’INDS ? Yvanie Caillé, fondatrice dans une vie antérieure de Renaloo, une association destinée aux patients atteints de maladies rénales. Voilà qui est éloquent quant à l’importance que revêt la problématique des données pour les patients.
1 - Méthodes d’action pour l’intégration des services d’aide et de soins dans le champ de l’autonomie.
1 - Commission nationale informatique et liberté.
Le Règlement européen sur la protection des données personnelles (plus connu sous son sigle anglais, RGPD), entré en vigueur en mai 2018, les définit comme celles « qui révèlent des informations sur l’état de santé » d’une personne.
Le texte indique qu’elles peuvent avoir trait à la santé « physique ou mentale », et ajoute expressément que les informations relatives aux soins de santé en font partie. Sont ainsi concernés tous les éléments qui permettent de savoir ou de deviner qu’une personne souffre d’une maladie, est à risque d’en développer une, ainsi que ses antécédents médicaux.
C’est donc le contexte qui permet de déterminer si une information doit être traitée ou non comme une donnée de santé, préciset- on du côté de la Cnil(1). Le nombre de pas effectués par une personne par jour ne relève, par exemple, pas de cette catégorie. Mais il y tombe si l’on croise cette information avec d’autres (par exemple, des données permettant de savoir que la personne est suivie par un cardiologue).
L’ex-IDE Florence Herry a fondé Libhéros, start up de prise de rendez-vous en ligne avec des professionnels paramédicaux. Et pour elle, la donnée, c’est sacré !
Quelles données de santé sensibles manipule Libheros ?
Les patients qui vont sur notre site prennent rendez-vous avec des infirmiers, des kinés, des sages-femmes, etc., pour des soins à domicile. En plus de leurs coordonnées, la donnée la plus sensible est donc la dénomination du soin qu’ils sélectionnent, et qui reflète leur état de santé.
Comment protégez-vous ces données sensibles ?
Depuis le début, elles sont toutes chez un « hébergeur agréé données de santé ». Cela signifie que tout est crypté, et que nous-mêmes n’avons pas accès à ces informations, sauf en cas de souci ou si un patient nous demande expressément de prendre rendez-vous pour son compte.
L’hébergement coûte-t-il cher ?
Oui, bien sûr. Mais c’est un choix. C’est en outre très important pour les professionnels qui s’inscrivent chez nous. D’ailleurs, quand on leur explique notre politique de sécurité, ils nous répondent qu’ils trouvent cela très bien, mais que cela va de soi. Si je voyais quelqu’un arriver dans la e-santé sans hébergeur agréé, je trouverais cela louche.
Y a-t-il un risque de piratage ?
Nous n’avons jamais eu de souci. Dès que, d’une part, toutes les données sont chez un hébergeur qui s’engage contractuellement à faire tout ce qu’il faut pour éviter toute intrusion et, d’autre part, que le lien avec cet hébergeur est fiable, il n’y a pas de raison pour qu’un hacker parvienne à s’emparer de quoi que ce soit.