Plan du site
Technique Sesam-Vitale Logiciels médicaux Fulmédico e-santé e-outils DMP        
09 / 09 / 2010

Accueil >> e-santé >>   La CNIL se prend les pieds dans la norme simpifiée !

TOP 10 :

articles les plus lus :
 
25 février 2005 :
LiveBox et réseau mixte (Ethernet et Wifi)
148593 visites

3 avril 2005 :
LiveBox : Enlever la couche "sécurité" du réseau sans fil
43249 visites

16 juillet 2004 :
Prise RJ45 et câble réseau
41906 visites

29 août 2006 :
Un amuse-gueule, le didacticiel DMP
34775 visites

21 avril 2005 :
LiveBox : Jouer à Warcraft 3 : the frozen throne
30902 visites

1er juin 2005 :
Comment sécuriser le Wifi médical ?
29948 visites

19 février 2005 :
Banc d’essai des lecteurs Sesam-Vitale de bureau 3.0
29185 visites

16 août 2004 :
Amortissement d’un ordinateur ou d’un logiciel
23058 visites

11 mars 2006 :
Faudra-t-il changer de lecteur de cartes ?
19227 visites

5 décembre 2007 :
Après le pifomètre, le GIP DMP publie enfin son premier baromètre.
19187 visites

Le Progrès Partagé monte par l’escalier...

La CNIL se prend les pieds dans la norme simpifiée !

samedi 14 janvier 2006.
 
 

Le 22 novembre 2005, la CNIL (Commission Nationale de l’Informatique et des Libertés) présidée par Alex Türk, a accouché d’une « norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les membres des professions médicales et paramédicales exerçant à titre libéral à des fins de gestion de leur cabinet »
Effectivement la déclaration light obligatoire préalable à la mise en oeuvre d’un logiciel de gestion du cabinet tient dorénavant en quatre pages au lieu de dix-sept !

Encore un effet pervers des 35 heures !

Selon le Quotidien du Médecin du 13 janvier 2006, pour la CNIL, « l’ancienne déclaration n’était plus adaptée à un processus d’informatisation aujourd’hui bien encadré. D’autant qu’il lui fallait ensuite dépouiller lesdits formulaires dont le nombre a plus que doublé en dix ans (3 800 en 2003). »
Même en comptant large, avec 3800 déclarations par an, cela ne doit pas faire plus de 30 000 fichiers médicaux déclarés à la CNIL dans la dernière décade. Rapporté au nombre de professionnels de santé informatisés à marche forcée grâce à Sesam-Vitale, cela fait bien peu.
La CNIL, bonne fille, propose une session de rattrapage pour les étourdis.

Mais, attention, pour bénéficier du régime de faveur de déclaration simplifiée et diminuer le travail de la CNIL, les médecins, les dentistes et les professions paramédicales doivent s’engager à respecter la norme simplifiée n° 50, ce qui semble impossible en l’état de l’art des logiciels médicaux et même tout simplement de la pratique de la médecine au quotidien.

A l’évidence cette norme simplifiée semble avoir été rédigée, vite fait, sur le coin d’un bureau.
Il est vrai qu’à la CNIL il n’existe pas de pôle santé unique et clairement identifié, comme on peut le constater en tentant de décoder la complexité de l’organigramme des services en charge des différentes problématiques liées à la santé.

Une durée de conservation de 5 ans maximum !

« Les informations enregistrées ne peuvent être conservées dans l’application au-delà d’une durée de cinq ans à compter de la dernière intervention sur le dossier du patient. A l’issue de cette période, elles sont archivées sur un support distinct et peuvent être conservées pendant quinze ans dans des conditions de sécurité équivalentes à celles des autres données enregistrées dans l’application.
Les doubles des feuilles de soins électroniques doivent être conservées 90 jours conformément à l’article R 161-47 du code de la sécurité sociale. »

Cette limitation pose un certain nombre de problèmes techniques et pratiques :
-  Il faudrait que le logiciel médical soit doté d’une fonction de recherche permettant de sélectionner et d’archiver les dossiers en sommeil depuis 5 ans.
-  Cinq ans c’est peu, car nous suivons aussi des patients en parfaite santé qui ne consultent que très rarement, par exemple tous les 10 ans pour effectuer un rappel vaccinal. Les spécialistes sont encore plus concernés par cette mesure restrictive. Certains actes de dépistage ne se font qu’avec un périodicité supérieure ou égale à 5 ans. Ainsi un gastroentérologue pratiquant, selon les recommandations de l’ANAES, une coloscopie systématique tous les 5 ans chez un patient avec antécédent familial de cancer colique, devra purger aussi avec la même régularité son logiciel médical !
-  L’export sur un support distinct n’est pas tout. Il faut ensuite pouvoir relire sans dégradation qualitative ou quantitative, ces informations archivées en dehors du logiciel originel, ce qui présuposerait l’existence d’une norme. Il y a bien eu à la fin du XXéme siècle une tentative de normicule NEF à l’initiative de la FEIMA, mais elle repose en paix depuis belle lurette, enterrée par les éditeurs.
Si le patient reconsulte après 5 ans, il faudra aussi arriver à réimporter les données dans l’application métier qui a pu évoluer pendant ce laps de temps. Comme il n’y a pas de norme d’export interopérable, la réintégration des données reste illusoire.

Quant à l’article R 161-47 du Code de la Sécurité Sociale, il précise exactement : « (...) Le professionnel, l’organisme ou l’établissement conserve le double électronique des feuilles de soins transmises, ainsi que leurs accusés de réception pendant quatre-vingt-dix jours au moins. (...) ».
Or la formulation de la CNIL est ambiguëe et laisse entendre que la conservation des FSE serait de 90 jours seulement.

Des mesures de précaution insuffisantes et partielles !

« Des mesures de sécurité physique et logique sont mises en place afin de préserver la confidentialité des informations couvertes par le secret médical et empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. (...) En cas d’utilisation du réseau internet pour transmettre des données personnelles de santé, un système de chiffrement « fort » de la messagerie doit être mis en place. En outre, un antivirus doit être installé et mis à jour régulièrement afin de se prémunir des risques de captation des données. »

La CNIL oublie que la télétransmission des FSE étant obligatoire pour tout professionnel de santé et ne se faisant plus par courrier postal, l’utilisation du réseau internet est aujourd’hui constante.
La CNIL devrait savoir qu’un logiciel antivirus, même mis à jour, est insuffisant et que ce n’est pas les virus qui captent les donnnées !
Il faut au minimum télécharger les patchs correctifs du système d’exploitation et des logiciels, et surtout disposer d’un firewall. Attention aussi aux risques secondaires à l’usage de réseaux Wifi.
Quant au « système de chiffrement « fort » de la messagerie » à « mettre en place », il faudrait encore définir ce qu’est un chiffrement fort !
Faute de décret d’application en attente depuis bientôt 4 ans, la CNIL fait aussi l’impasse sur l’article L1110-4 du Code de la santé publique [1] « (...) Afin de garantir la confidentialité des informations médicales (...), leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d’Etat (...) Ce décret détermine les cas où l’utilisation de la carte professionnelle de santé mentionnée au dernier alinéa de l’ article L 161-33 du code de la sécurité sociale est obligatoire. »

Un personnel aux droits d’accès restreints

« Les personnes affectées à la gestion du secrétariat n’ont accès, dans le respect des dispositions sur le secret professionnel, qu’aux informations relatives à la gestion du cabinet et en particulier à la gestion des rendez-vous. »
Stricto sensu, la "secrétaire" ne pourra même pas ouvrir les enveloppes ou classer dans le logiciel les courriers des spécialistes ou les examens complémentaires. De telles limites ne devraient pas encourager les médecins à embaucher du personnel qui n’offrira pas plus d’aide qu’une plante en pot sur le guichet.

Un petit boulot pour la Carte de Professionnel de Santé !

Oubli surprenant de la part de la CNIL, cette norme simplifié oublie toute référence à l’article L 1110-4 du Code de la Santé Publique qui porte pourtant sur la condidentialité des informations médicales transmises électroniquement et l’usage de la CPS !
Pourtant cet article L 1110-4 n’est pas de la roupie de sansonnet. Il est apparu d’abord dans la Loi du 4 mars 2002 et a été repris quasiment à l’identique dans la Loi du 13 août 2004 !

L’article 7 précise que le « professionnel de santé accède à l’application en utilisant sa carte de professionnel de santé. Les personnels placés sous l’autorité du professionnel de santé doivent également disposer d’une carte d’accès personnelle ou d’un mot de passe personnel »
A défaut d’imposer son usage pour la messagerie médicale, la CNIL offre enfin à la CPS pour l’heure exclusivement dédiée à la signature des FSE, un deuxième emploi à temps partiel.
Alléluia, cette nouvelle ravira certainement les salariés du GIP-CPS qui pouvaient légitimement douter de l’intérêt à maintenir en vie ce coûteux et assez peu utile organisme.
Hélas, rares sont les logiciels médicaux à offrir une ouverture conditionnée à la CPS.
L’article 7 n’indique pas qu’il faut penser aussi à retirer la CPS du bifente où le plus souvent elle reste à demeure. Peut-être que la CNIL envisage aussi de rendre obligatoire l’usage de bifentes mâtinés de grille-pain éjectant automatiquement les cartes à puce inactives ?
Généralement, les logiciels proposent un mode de secours permettant d’accéder à l’application en l’absence de la CPS ou de la panne du lecteur. Or le niveau de sécurité d’un système s’alignant sur le maillon le plus faible, un logiciel médical utilisant la CPS n’est pas plus sûr qu’une application verrouillée par un banal code...

La réception Hprim oubliée !

L’article 2 réglemente limitativement les finalités du traitement à la « gestion des rendez-vous », à « la gestion des dossiers médicaux et l’édition des ordonnances », à « la gestion et la tenue des dossiers individuels de soins », à « l’établissement et la télétransmission des feuilles de soins » à « l’envoi de courriers aux confrères » à « la tenue de la comptabilité » et à « la réalisation d’études statistiques à usage interne » !
Les médecins souhaitant recevoir des bilans de biologie Hprim ne peuvent utiliser cette déclaration simplifiée.
Quant à ceux qui souhaitent revendre leurs données à IMS ou Cegedim, ce n’est pas non plus le bon formulaire. C’est vraiment dommage car Crossway peut être configuré en authentification CPS...

L’article 3 portant sur la nature des informations collectées et traitées n’est pas non plus piqué des hannetons. En effet on peut y lire que les « informations relatives aux habitudes de vie peuvent être collectées avec l’accord du patient et dans la stricte mesure où elles sont nécessaires au diagnostic et aux soins. »
Ainsi avant d’oser écrire dans son dossier que M.Dupont ne crache pas sur le Juliénas et abuse du tabac sans modération, il faut lui demander son autorisation. La CNIL ne précise pas s’il faut disposer d’un accord écrit.

Lire aussi :

-  Utilisation de la CPS, la Loi patine...
-  Simplification des formalités de déclaration à la CNIL des fichier médicaux
-  Comment sécuriser le Wifi médical ? Le wireless, c’est pas bon pour la santé des données médicales....
-  5 OMS S-MIME/CPS homologués ou deux et demi ?
-  Condidentialité des informations médicales transmises électroniquement et usage de la CPS

[1] inséré par Loi du 4 mars 2002 et repris quasiment à l’identique dans la Loi du 13 août 2004

4674 affichages


[

FORUM de l'article :
> LA CNIL se prend les pieds dans la norme simpifiée ! (2006-01-14 14:51:09) -

Encore une fois des personnes pondent des normes, des recommandations ou des lois sans aucune connaissance de la réalité, de la pratique sans demander aux personnes intéressés (éditeurs, utilisateurs..)ce qu’ils en pensent, si c’est faisable, si ce n’entre pas en contradiction avec telle autre loi etc...

du pur délire technocratique

au secours...ils sont devenus fous....

Mirabelle

Répondre à ce message

> LA CNIL se prend les pieds dans la norme simpifiée ! (2006-01-14 11:02:38) - Sepsis
On notera aussi la contradiction entre cette limitation à 5 ans - puis 15 ans sous forme archivée - de la conservation des dossiers médicaux informatiques et le délai de responsabilité en matière médicale qui est, lui, de 30 ans, pouvant même atteindre 48 ans pour les patients mineurs ! Que faut-il faire au delà des 15 ans "autorisés" par la CNIL ? Transférer les dossiers informatiques sur support papier pour les conserver ainsi les 15 années suivantes ? On nage en plein inconséquence administrative :-((
Répondre à ce message



 

 La CNIL se prend les pieds dans la norme simpifiée !

Réseaux

Droit des patients

Textes réglementaires

Dans la même rubrique...
Untitled Document
 
© 2004-2006 MediaMed pour FULMEDICO
Gab - design © 06/2003 - Template Spip sous licence GPL