Note de 2024. Cet article a été rédigé en 2013. Je le garde en ligne, car 11 ans plus tard, nous rencontrons toujours les mêmes difficultés.

Hier, Actusoins a révélé au public ce que les acteurs du monde de la sécurité informatique constatent malheureusement chaque jour. Des milliers d'enregistrements comportant des informations sur la santé de diverses personnes sont publiés sur Internet par des prestataires mal formés aux questions de la sécurité informatique. La rédaction d'Actusoins m'a déjà invité à m'exprimer sur ce sujet mais je souhaite apporter quelques compléments d'information.

L'article précise une phrase évoquant un monopole qui est en fait la concaténation de plusieurs idées. L'hébergement de données de santé n'est premièrement pas un monopole mais un ensemble d'entreprises ayant reçu un agrément du ministère de la santé pour héberger des données de santé. Cette phrase évoque ensuite des coûts qui sont la conséquence logique des mesures de sécurité, de qualité et d'encadrement exigées par l'application du code de la santé publique. L'idée que j'ai cherché à exprimer lors de l'interview est que ce référentiel est aujourd'hui inadapté à la multiplication des petits applicatifs utiles au suivi des soins, qui doivent pouvoir être développés, exploités et protégés pour un coût maîtrisé. En attendant, une solution existe déjà : les éditeurs peuvent solliciter les services d'un hébergeur de données de santé et mutualiser tous ces applicatifs au sein d'une infrastructure unique.

Dans le cadre de mes activités de co-fondateur de 9h37, je suis amené à réaliser, de manière quotidienne, des audits de sécurité informatique spécifiques au monde de la santé chez des éditeurs et prestataires informatiques de toutes tailles.

Les structures capables de s'offrir les services d'experts ne sont pas forcément les pires, ni les meilleures, en terme de sécurité. Mais la démarche d'aller chercher une personne ayant déjà travaillé sur le sujet doit être encouragée. Ces acteurs cherchent ainsi à s'informer de manière précise sur les risques et les mesures de sécurité à mettre en oeuvre pour garantir la protection des données qu'ils gèrent. C'est une première étape vers une bonne protection des données.

Mais attention, si l'on peut s'attendre en toute logique à plus de contrôles de la CNIL, de l'ASIP ou des contrôles internes des différents établissements, il ne faut pas perdre de vue l'intérêt et le rôle qu'ont dans le quotidien des soins beaucoup de ces applicatifs développés par des ingénieurs en CDD ou des stagiaires, disparus depuis longtemps de l'établissement ou du service. Il ne faut pas interdire ni freiner le développement de ces petits outils qui souvent permettent de mieux prendre en charge des pathologies particulières.

Il fau les encadrer et trouver un niveau de sécurité suffisant pour faire en sorte que les informations ne sortent pas de l'établissement et que les services informatiques puissent les surveiller de loin, notamment pour les protéger et en assurer la maintenance au long terme.

Bien sûr, l'authentification des utilisateurs est le point le plus important. En France, nous avons la chance et la malchance de disposer d'un système d'authentification par carte à puce généralisé dans le système de santé. Ce système porte le nom de Carte de Praticien de Santé, ou CPS. Mais il n'est pas accessible sur les périphériques mobiles, les tablettes et autres smartphones dont les utilisateurs raffolent, à juste titre. Il impose également qu'un lecteur soit connecté en permanence à l'ordinateur, pour lire cette carte. Ces contraintes, nécessaires d'un point de vue purement sécuritaire, se mettent en travers des concepteurs, pour qui leur utilisation est trop onéreuse, et des utilisateurs, qui cherchent donc à les contourner.

Ce système doit impérativement évoluer dans les plus brefs délais et l'Etat doit continuer à assurer ce rôle de tiers de confiance en fournissant aux éditeurs, aux établissements et à tous les acteurs des moyens sûrs pour authentifier les utilisateurs de tous ces systèmes d'information de santé.