Vous êtes dans : Accueil > Tribunes libres >

Covid-19 : quand viendra le temps du bilan sur le volet SI

Cédric Cartau, MARDI 12 MAI 2020

Le temps viendra du bilan sur la crise Covid que nous traversons tous : bilan politique, bilan sur le système de santé, bilan sur les organisations, etc. À ce sujet, lire d’ailleurs l’excellente série publiée dans le journal Le Monde sur la stratégie des différentes mandatures entre les années 2005 et 2020. On y apprend entre autres que, fin mars, la France continuait de brûler des millions de masques, en pleine pénurie.

Mais on peut déjà esquisser un bilan sur le volet Système d’information, qui ne laisse pas de poser des questions légitimes sur ce qui aura bien ou mal fonctionné. Nous ne reviendrons pas sur StopCovid, qui a fait l’objet d’un précédent article(1) , et dont tout le monde est à peu près d’accord pour considérer que ce projet n’est pas seulement mort-né, mais qu’il n’aurait même pas dû naître. Par contre, depuis une dizaine de jours, le Landerneau s’agite beaucoup au sujet de SI-DEP, la version professionnelle et toujours centralisée de StopCovid, qui consiste grosso modo à envoyer sur une plateforme sécurisée (HDS, apparemment hébergée par l’AP-HP) tous les cas positifs de détection au virus transmis par les hôpitaux, les laboratoires de biologie, etc. L’objectif est de tracer les infections en remontant aux membres de l’entourage des personnes infectées, pour les mettre en quarantaine au besoin (au domicile ou à l’hôtel), le tout coordonné par des « brigades » chargées de faire des enquêtes de terrain (menées, on suppose, par téléphone).

Un certain nombre de DPO dans la santé semblent très remontés face à ce qui, une fois encore, peut être vu comme une restriction des libertés individuelles : immixtion de l’État dans la sphère privée, flicage des citoyens (y compris ceux qui n’ont pas contracté le virus), base de données aux durées de conservation qui posent question, etc. Pour le coup, autant je ne croyais pas – et ne crois toujours pas – à StopCovid, autant sur ce second sujet il y a débat. Il s’agit en effet de l’éternelle controverse entre la préservation de la vie privée et l’intérêt de l’ensemble des citoyens et, pour ceux qui ne le savent pas, il existe des maladies hautement transmissibles (par exemple la tuberculose) dont la déclaration est obligatoire. Le droit n’est jamais que la confrontation de droits opposés (droit à l’image versus droit d’informer, liberté d’expression versus protection contre les insultes, etc.), et les circonstances exceptionnelles que l’on traverse rendent le cadre « normal » un peu obsolète. SI-DEP pose tout de même plusieurs questions, au-delà du débat évoqué ci-dessus.

D’abord, sur la légitimité au regard du RGPD. Il existe six cas permettant de considérer un traitement comme fondé : le consentement, l’exécution d’un contrat, une obligation légale, la sauvegarde des intérêts vitaux, une mission d’intérêt public ou encore l’intérêt légitime (la case fourre-tout). La « sauvegarde des intérêts vitaux » correspond à la possibilité pour les hôpitaux de mettre en place un DPI sans recueillir le consentement du patient (que d’ailleurs, dans pas mal de cas, on aurait du mal à obtenir), et je m’interroge sur la raison pour laquelle il a fallu légiférer pour autoriser SI-DEP, partant du principe que le même argument aurait pu être utilisé. En fait, la question ne concerne pas tant le traitement des individus infectés que des membres de leur entourage qui, bien qu’étant sains (on leur souhaite), vont se retrouver avec leur nom dans une base de données.

Ensuite, sur la forme. Les instructions et messages en tout genre ont déboulé dans les hôpitaux la semaine dernière pour des connexions à un entrepôt central à mettre en œuvre pour le 11 mai sans faute, alors qu’aucun DPO ni RSSI n’en avaient entendu parler 15 jours auparavant (le Mars – message d’alerte rapide sanitaire – envoyé par le ministère en date du 7 mai). Vous conviendrez que ce ne sont pas des conditions propices à un débat serein autour du traitement, de son étendue, des délais de conservation des données, etc. Dans le jargon des ingénieurs système, on appelle cela une Mepal : Mise en production à l’arrache.

De plus, même motif que pour StopCovid, une évaluation de l’efficacité d’un tel dispositif semble nécessaire : une bonne partie des personnes infectées ne vont pas jusqu’à l’étape de dépistage par un laboratoire. Une étude récente de OpenSafely sur la base de 17 millions de patients du NHS montre que le facteur d’aggravation des risques est essentiellement l’âge des patients (multiplié par 30 pour les plus de 60 ans, par 60 pour les plus des 70 ans et par 180 pour les plus de 80 ans) ; une simulation avec des modèles mathématiques éprouvés que les épidémiologistes maîtrisent depuis des décennies semble en effet indispensable. À ce stade, et seulement à ce stade, j’aurai une opinion sur le caractère légitime du traitement.

Enfin, SI-DEP est l’aveu, la confirmation de l’inutilité du DMP. Si un DMP efficace avait existé – si tant est qu’un DMP efficace puisse d’ailleurs exister –, nul besoin de monter en quatrième vitesse une plateforme de plus (sur laquelle l’exercice des droits des personnes concernées va d’ailleurs être une grande poésie), avec des interfaces en plus, des questions existentielles en plus, etc. Ou, autrement dit, si une plateforme nationale de cette ampleur ne sert pas dans une situation exceptionnelle de santé publique telle que celle du Covid, à quoi sert-elle ? Le DMP a commis le même péché originel que les premiers DPI d’hôpitaux à la fin des années 1990 : ce n’est pas un système qui a été conçu pour soigner, mais pour suivre la facturation des actes, comme le prouve d’ailleurs le fait que c’est la Cnam qui a repris le dossier.

Avant que la Cnam ne le prenne en charge, le DMP avait coûté – selon la Cour des comptes – la bagatelle de 500 millions d’euros au contribuable (sans compter donc ce que la Cnam a dû remettre au pot). Curieusement, il semble plus facile dans ce pays de trouver des sous pour construire l’Enterprise NX-01 (le vaisseau de Star Trek) que pour gérer des trucs beaucoup moins folichons, genre la péremption des élastiques des masques FFP2. Je doute que l’on puisse faire l’économie, une fois la crise derrière nous, d’un état des lieux général de l’informatique de santé. Pas sur le volet hospitalier (il existe déjà, réalisé par l’ANS(2), et très complet du reste), mais sur la foultitude de dossiers régionaux machin, maladie bidule, dont certains sont remaniés trois fois, dix fois, pour terminer dans un tiroir puisqu’ils ne communiquent avec rien, ne s’inscrivent dans aucune stratégie ou font doublon avec des DPI existants.

[1] https://www.dsih.fr/article/3762/stopcovid-cas-d-ecole-de-la-gestion-de-projet-defaillante.html 

[2] Ex Asip Santé

#dmp#dpi#cnam#RGPD#