Messageries sécurisées : l’enjeu de la confidentialité

Après trois ans et demi de concertations et d’expérimentations, l’Asip santé lance le déploiement à grande échelle de messageries sécurisées de santé, MMsanté, sous son égide. Elle espère pouvoir intégrer prochainement dans son espace d’interopérabilité la messagerie associative Apicrypt, utilisée depuis vingt ans par des dizaines de milliers de médecins libéraux. Et très populaire.

En décembre, le géant mondial des messageries, Yahoo, avouait avoir fait l’objet d’un gigantesque piratage qui aurait touché plus d’un milliard de comptes mail en 2013. Y avait-il des médecins français parmi eux ? Sans doute. Certains se servent-ils de leur messagerie Yahoo pour leurs échanges professionnels avec leurs correspondants ? Ce n’est pas complètement à exclure… Une légèreté qui pourrait un jour se retourner contre eux car un patient serait tout à fait fondé à porter plainte en cas de fuite dans la nature de ses données médicales.

Le cas de figure juridique ne s’est pas encore produit. Déjà en France en avril 2015, le laboratoire de biologie médicale Labio avait subi une tentative d’extorsion après que ses serveurs ont été piratés. Le laboratoire a réussi, in extremis, à désactiver ses serveurs. Ces deux histoires viennent rappeler la nécessité de bien protéger ses échanges de données médicales.

“L’utilisation d’une messagerie sécurisée est théoriquement obligatoire dans le cadre du respect de la confidentialité de la transmission des données, rappelle le Dr Jean-Paul Ortiz, président de la Csmf. Mais je ne suis pas sûr qu’il n’y ait pas de temps en temps un courrier qui soit envoyé par simple e-mail entre médecins. Cela traduit le fait que le courrier électronique est aujourd’hui complètement entré dans les moeurs mais aussi qu’il est indispensable que les médecins puissent l’utiliser de façon simple et sécurisée.”

Beaucoup de généralistes avouent le « bricolage » comme celui qui consiste à imprimer, signer, scanner et envoyer par mail une ordonnance à la pharmacie pour dépanner un patient en urgence. Pourtant, en décembre 2015, la Commission nationale de l’informatique et des libertés (Cnil) rappelait que la messagerie électronique et même l’antique fax ne “constituent pas a priori un moyen de communication sûr pourtransmettre des données médicales nominatives”. D’où l’impérative nécessité de faire appel à une messagerie sécurisée, comme le rappelle d’ailleurs le code de santé publique. Une messagerie sécurisée dont les principes et les caractéristiques techniques ont été définis par une délibération de la Cnil en juin 2014.

L’une des principales préoccupations concerne la sécurité du message et de ses pièces jointes pendant le transfert. “À cette fin, le recours à des moyens de chiffrement conformes à l’état de l’art pour protéger le transfert est obligatoire”, a précisé la Cnil. Une contrainte technique à laquelle savent aujourd’hui se plier les éditeurs de messageries de santé.

Interopérabilité

Une autre obligation est tout aussi essentielle pour la confidentialité des données mais pose davantage de problèmes pratiques. Il faut que l’expéditeur et le destinataire du mail soient identifiables et authentifiés. C’est pourquoi il est toujours nécessaire d’utiliser sa carte CPS pour accéder à une messagerie sécurisée. Mais du coup cela complique aussi les échanges entre professionnels, car toutes les messageries ne sont pas encore interopérables, autrement dit elles ne se reconnaissent pas encore entre elles. Alors que dans la vie quotidienne un utilisateur d’une messagerie classique, Yahoo par exemple, peut évidemment envoyer des mails à un correspondant Orange ou Gmail sans difficulté, un médecin qui utilise Apicrypt, par exemple, ne peut pas encore pour l’instant envoyer de message à un correspond utilisateur d’une messagerie qui fait partie du système MSSanté mis en place par l’Asip, l’agence française de santé numérique, faute d’être encore interopérable. Et c’est là un des freins actuels à la généralisation de l’utilisation des messageries sécurisées. D’autant qu’Apicrypt est la principale messagerie utilisée par les médecins libéraux.

Le Dr Mathieu, généraliste en région parisienne, est l’un de ses 39 200 libéraux utilisateurs. “Parmi mes correspondants, le nombre d’utilisateurs de MSSanté se compte pour l’instant encore sur les doigts de la main, témoigne-t-il. Dans le même temps, je ne peux pas communiquer directement avec eux par ma messagerie Apicrypt. Mais de toute manière l’usage des messageries est encore loin d’être généralisé. J’ai un correspondant spécialiste qui m’envoie ses comptes rendus par sa boîte Gmail, et l’hôpital en est toujours aux courriers postaux !”

Quant au Dr Jean-Jacques Fraslin, véritable “geek” de la médecine générale, il déplore pour sa part les trop nombreux bugs qui alourdissent – autant du côté d’Apicrypt que des messageries MSSanté d’ailleurs – les messageries qu’il utilise via son logiciel médical : rechargement intempestif de fichiers pourtant supprimés, impossibilité d’émettre des messages, copier-coller de comptes rendus, qui deviennent illisibles à la réception, messages écrits sous Mac qui apparaissent avec des signes cabalistiques sous PC… Autant de freins largement constatés sur le terrain qui découragent les meilleures volontés.

Faible contenu médical

“C’est vraiment préoccupant pour l’avenir des messageries sécurisées, déplore ce généraliste de la région de Nantes. On a vraiment l’impression qu’il n’y a pas de volonté ni des éditeurs ni des pouvoirs publics d’avancer.” D’autant que l’acculturation de l’hôpital à la transmission électronique des données est aussi lente. “Parmi les hôpitaux de la région nantaise, seul le Samu nous envoie des comptes rendus via Apicrypt, ajoute le Dr Fraslin. Mais il y a très peu de contenu médical, c’est tout juste une notification de l’intervention. Quant aux autres services hospitaliers, leurs comptes rendus nous parviennent par courrier postal, avec des délais très variables.”

D’autres établissements ont néanmoins meilleure presse, comme les Hospices civils de Lyon (HCL). Grâce à l’outil “Zéro papier en Rhône-Alpes” (Zepra) mis en place par un groupement de coopération sanitaire en 2010, les HCL ont pu mettre à disposition d’un millier de médecins libéraux correspondants 27 000 comptes rendus d’hospitalisation dès 2012 et de manière sécurisée. Le CHU de Toulouse envoie également déjà 25 000 mails par an à 2 000 médecins libéraux.

C’est ce type de stratégie de la “tache d’huile” que développe actuellement l’Asip santé pour gagner le coeur des médecins libéraux. “Nous avons travaillé avec la Direction générale de l’offre de soins [Dgos] pour accompagner les établissements de santé afin qu’ils puissent transmettre leurs comptes rendus aux médecins de ville, explique Michel Gagneux, directeur de l’Asip. Nous nous sommes également rapprochés des éditeurs de logiciels pour qu’ils soient capables d’équiper leurs clients avec des messageries compatibles avec MSSanté.”

Actuellement, cent vingt opérateurs de messageries privées et publiques et quinze logiciels professionnels font partie de “l’espace de confiance MSSanté”. Ce qui signifie que ces messageries, respectant des référentiels de sécurité communs, peuvent communiquer entre elles. Tous les utilisateurs sont identifiés, et leur adresse est accessible sur l’annuaire en ligne www.mssante.fr. Quant aux établissements de santé, “au cours de cette année, 2 000 d’entre eux devraient pouvoir transmettre leurs comptes rendus aux médecins par ce biais”, ajoute Michel Gagneux.

Stratégie du Y

Les éditeurs de logiciels se mettent actuellement au diapason. Déjà 72 % desmédecins sont équipés de logiciels intégrant MSSanté, dont Crossway, Mediclick et MLM de CLM ainsi que AxiSanté 4 et 5 et HelloDoc de CGM et Acteur FSE d’Atlantide. “Nos clients souhaitent que tous les outils dont ils ont besoin, que ce soit les téléservices de l’assurance maladie ou les messageries sécurisée, soient intégrés dans leurs logiciels métier, constate Francis Mambrini, vice-président de Cegedim Healthcare Software et président de la Feima, la fédération des éditeurs de logiciels. Nous voyons dans la messagerie sécurisée telle qu’elle se développe aujourd’hui un moyen de décloisonner la ville et l’hôpital. Un canal comme celui-ci va enfin permettre au médecin traitant de recevoir les comptes rendus d’hospitalisation de ses patients et de transmettre en amont d’un séjour programmé des données à l’équipe hospitalière.”

Prochaine étape, la facilitation de l’envoi sécurisé des comptes rendus d’analyse de biologie médicale par le même canal. “Nous espérons que ces outils vont pouvoir transformer les usages en profondeur, imagine Michel Gagneux. C’est la stratégie du Y : ces informations qui viennent par des canaux de messageries sécurisées doivent ensuite pouvoir alimenter en quelques clics le dossier médical partagé [DMP] et/ou les dossiers médicaux des médecins traitants.” Pour y parvenir, il va falloir notamment convaincre les laboratoires de transmettre leurs résultats selon la même structuration. “Les enjeux en termes de qualité des soins sont très importants car les médecins ont de plus en plus d’informations à traiter, souligne encore Michel Gagneux. Les outils d’alerte dans les logiciels des médecins en cas de réception de résultats anormaux leur permettront de réagir plus rapidement.”

Des perspectives évidemment prometteuses mais qui impliquent que tout le monde joue le jeu. L’Asip espère que le basculement progressif des établissements de santé dans le dispositif va permettre de faire démarrer la machine. Sur le terrain, ce sont les ARS et les Cpam avec leurs conseillers informatique service (CIS) qui vont faire le travail d’évangélisation auprès des médecins. Une démarche qui vient de débuter dans le Bas-Rhin, la Somme et l’Indre-et-Loire en fin d’année dernière.

Source :
www.egora.fr
Auteur : Fanny Napolier

Partagez cet article !

Articles similaires

EGORA AUDIO – Familles de médecins. Episode 1 : Les jumelles

EGORA – Les pays du Golfe, nouvel oasis ou mirage pour les médecins français ?

EGORA – Un algorithme capable de prédire les étapes de la vie jusqu’à la mort

EGORA – Négociation conventionnelle : “Le gouvernement est l’unique responsable de là où nous en sommes”

EGORA – Fake médecine : “Quand les patients dérapent, les médecins ont le droit de se fâcher”