Accès au dossier médical partagé, sécurité : ce que vous devez savoir

Le référentiel de sécurité et d’interopérabilité relatif à l’accès des professionnels et établissements de santé au dossier médical partagé (DMP) vient d'être publié au « Journal officiel ». Ce document d'une vingtaine de pages détaille les exigences « visant à garantir l’échange, le partage, la sécurité et la confidentialité des données de santé à caractère personnel traitées dans le cadre du DMP ». Il est approuvé par arrêté du ministre de la Santé ce qui le rend opposable.

Fruit d'échanges de plusieurs mois avec les médecins, les représentants d'établissements et les éditeurs de logiciels, cette première version du référentiel entend répondre aux principales « attentes » des acteurs concernés, sans créer une usine à gaz. L'avis des usagers a été recueilli à la suite d'une concertation publique, contextualise le ministère. Ce guide s'adresse ainsi à tous les soignants, établissements de santé et services des secteurs social et médico-social qui souhaitent alimenter, consulter ou télécharger des documents issus du DMP. Au total, une trentaine d'exigences sont édictées. Tour d'horizon.

Consentement, messages lisibles 

Le premier bloc de ce touffu mode d'emploi rappelle, sans surprise, la nécessité de respecter les droits des patients. Ces derniers doivent systématiquement être informés par les professionnels, de manière écrite (support papier ou numérique, NDLR) lorsque des actions sont effectuées sur leur DMP (alimentation, téléchargement de documents, etc.). Une mention explicite doit apparaître au travers des documents de santé qui leur sont destinés, qu'il s'agisse de convocation ou de compte rendu. Cette notation « peut également être effectuée par le professionnel ou l'établissement dans le cadre des démarches en ligne effectuées par le patient en amont de sa prise en charge, en attachant une attention toute particulière à la lisibilité des messages », précise le texte.

Dans le cas où un patient s'oppose à ce qu'un professionnel de santé accède ou alimente cet espace, ce dernier doit veiller à ce que cette information soit bien prise en compte et tracée dans les champs prévus. Le motif d'opposition évoqué par le patient ne doit en aucun cas être renseigné. L'accès au DMP d'un usager par un professionnel de santé, en dehors d'une situation de prise en charge, est interdit.

Tout professionnel qui consulterait un DMP sans en informer l'usager (hors situation d'urgence), sans prendre en compte son opposition ou sans respecter les règles d'accès édictées, s'expose à une peine allant d’un an de prison et 15 000 euros d'amende (violation du cercle de confiance) à 5 ans de prison et 150 000 euros d'amende (accès frauduleux au DMP). « Si le professionnel divulgue des données issues d’un DMP, il risque en outre un an de prison et 15 000 euros d’amende (violation du secret médical). En complément, des sanctions disciplinaires sont possibles », avertit l'arrêté. 

Rappelons que trois modalités d'accès au DMP sont prévues : l'accès web direct depuis un navigateur (le web PS DMP) ; l'accès depuis le logiciel métier en mode web contextuel ; et l'accès totalement intégré au logiciel métier.

Sécurisation des données

Sauf opposition du patient, le DMP doit être alimenté « systématiquement et automatiquement » par le professionnel de santé – les documents nécessaires à la coordination du parcours de soins du patient devant être renseignés. Il est demandé au praticien de notifier l'ajout de chaque document dans son logiciel ou celui de son établissement.

Autre exigence : seuls les documents relatifs à des patients dont l'identité nationale de santé (INS) a été préalablement qualifiée peuvent être ajoutés à ce carnet de santé dématérialisé. Dans le cas de documents à masquer – par exemple aux titulaires de l’autorité parentale ou au patient lui-même – le praticien doit s'assurer que l'information est prise en compte dans son logiciel et présente le masquage adapté. Il doit aussi veiller à la suppression ou au remplacement d'un document lorsqu'une erreur est constatée. 

Pour préparer la prise en charge, le médecin a la possibilité de précharger, trois jours avant la date de rendez-vous, le contenu du carnet numérique du patient. L'arrêté fixe une limite de 10 documents chargés pour un même patient. Ces documents préchargés sont accessibles trois jours après la consultation. Passé ce délai, ils sont supprimés. Seuls les documents les plus pertinents sont autorisés à être enregistrés de manière durable dans les traitements locaux. Ces documents issus du DMP doivent être conservés avec des garanties de sécurité en termes de contrôle d’accès, de modalités de conservation, d’intégrité et de confidentialité des données, lit-on. 

Les éditeurs de logiciels dans la boucle

Dans le cadre du respect du règlement général sur la protection des données (RGPD), les professionnels de santé sont tenus d'échanger régulièrement avec leurs éditeurs de logiciels à propos de la sécurisation du traitement des données dont ils ont la responsabilité. « Pour les professionnels libéraux, il convient de se référer au référentiel de la CNIL relatif aux traitements de données personnelles pour les cabinets médicaux et paramédicaux », précise le texte. 

Afin de repérer d'éventuels accès frauduleux aux DMP, les praticiens sont tenus de veiller, en lien avec leurs éditeurs, au bon fonctionnement d'un système permettant une extraction des traces d'accès. Ce système doit avoir été testé « au moins une fois depuis trois ans avec succès ». Sans rendre la mesure obligatoire, le ministère recommande aux professionnels et établissements d'implémenter, toujours en lien avec les éditeurs, des processus de supervision des usages et d'effectuer un point régulier avec eux sur les critères d’alertes et sur les incidents passés.

Ce référentiel devra faire l'objet d'une mise à jour au plus tard dans les trois ans à venir. Les modifications devront prendre en compte les retours d'expérience des professionnels concernés.