Vous êtes dans : Accueil > Tribunes libres >

Les habilitations d’accès aux données médicales à l’ère des GHT – la vision RSSI/DPO

Cédric Cartau, MARDI 04 AVRIL 2023

La news a été diffusée par plusieurs médias spécialisés : le dossier patient (DP) de Pierre Palmade à l’AP-HP a été consulté à de multiples reprises par des personnels n’ayant rien à voir avec la prise en charge médicale de l’humoriste… voire travaillant dans l’un des établissements de l’AP-HP où il n’était pas hospitalisé. Il s’agit d’un accès indu au DP (ou de curiosité malsaine en langage courant). C’est illégal et c’est puni par la loi. Cela étant, le sujet est très complexe. Décryptage.

Tout d’abord, petits rappels théoriques. La sécurité des SI se résume à DIC (Disponibilité, intégrité, confidentialité, et pour le cas présent nous allons évacuer le dernier item – la preuve ou traçabilité). Bonne nouvelle, cela a l’air simple.

La première mauvaise nouvelle est qu’en fonction des métiers la hiérarchie des besoins n’est pas la même. Pour un urgentiste, le critère majeur est la disponibilité (il faut absolument accéder au DP pour sauver le patient), alors qu’à l’autre extrême du spectre (par exemple la psychiatrie) certaines données (notamment l’entretien en face à face patient/praticien) sont tellement sensibles (la parole du patient met quelquefois en cause des tiers) que le critère majeur est la confidentialité (je fais la version simple, il y a bien entendu de multiples exceptions). Cela ne veut pas dire que l’urgentiste se fiche du C et le psychiatre du D, mais juste que, s’il devait faire un choix, le premier choisirait généralement d’abandonner le C et le second le D.

La seconde mauvaise nouvelle, et elle est de taille, c’est que le triptyque DIC fonctionne comme des vases communicants : la surpondération de l’un des trois critères, surtout le D et le C, se fait forcément et malheureusement au détriment des deux autres. Surpondérer le D restreint mécaniquement le C : le DP le plus disponible du monde est celui que vous mettez en libre accès dans Google (C réduit à néant). Inversement, le DP le plus confidentiel du monde est celui que vous détruisez (C parfait, D nul). C’est quasi une loi de la physique à laquelle on ne peut rien. L’article 32 du RGPD fait bien mention de ces trois items DIC en précisant à chaque fois le but qui consiste à « garantir un niveau de sécurité adapté au risque ».

Dans ce contexte, on comprend facilement que la conception d’une politique d’habilitation des accès au DPI (on dit aussi « matrice ») est « relativement » simple pour un établissement de santé de petite taille, avec un panel de spécialités médicales réduit et la même hiérarchie des besoins, mais que dès lors que l’établissement est de grande taille et mêle urgences, soins aigus, psychiatrie, médico-social, etc., il va falloir faire des choix, c’est-à-dire privilégier un des besoins par rapport aux autres. Vous pensez qu’il y a des solutions, comme permettre l’accès de chaque médecin à l’ensemble du DP d’un patient à l’exception de son passage en psychiatrie ? Raté : il faut que le cardiologue, l’urgentiste, etc. puissent consulter les prescriptions délivrées en psy pour évaluer les éventuelles interactions médicamenteuses. Masquer la psy, mais ne regarder que les prescriptions ? Encore raté : dans pas mal de cas, certaines prescriptions renseignent sur la pathologie, et dans tous les cas il faudrait une visibilité sur le passage dans les UF (c’est le point d’entrée d’un DPI)… Autant dire que cela revient à révéler quelle pathologie a été diagnostiquée à quel patient.

Le sujet est d’une rare complexité, et je ne peux pas tout développer. Sachez juste qu’il a fait l’objet d’un guide de cyberrésilience sur le site de l’Apssis[1] (opus 3) et qu’en presque 70 pages les contributeurs et moi-même n’avons pas toutes les réponses. Sachez aussi que chaque fois qu’on a tenté de m’expliquer qu’il « suffisait » de mettre en place dans le DPI une politique d’habilitation, je me suis livré à l’exercice suivant : la personne tente de formuler une ou plusieurs règles d’habilitation, et moi je lui trouve un cas médical où l’on finit par tuer le patient si ces règles sont appliquées à la virgule – au final la discussion se termine invariablement par un accès large.

Dans un GHT composé d’établissements multiples sur un territoire (comprenant souvent des activités de MCO et médico-sociales, parfois de psy, etc.) avec des hiérarchies DIC fortement hétérogènes, autant dire que la matrice devient ingérable et qu’il faut « changer de paradigme » pour aller vers une politique d’accès « a posteriori » : techniquement parlant, aucun bridage (tout le monde peut accéder à tout), mais la loi s’applique et surtout les accès sont tracés, les traces analysées et les « contrevenants » punis. Le truc à la mode consiste à mettre un système de bris de glace qui détecte que le professionnel X est en train d’accéder à une donnée qu’il n’est pas, en principe, habilité à consulter et à lui demander d’appuyer sur un bouton pour confirmer.

Le lecteur attentif se dit alors que ce système de brise-glace est LA solution au problème. Que nenni ! Dans un CHU de 10 000 agents, 10 000 déclenchements de bris de glace se produisent en moyenne par jour (vous avez bien lu : par jour). Donc, pour le cas de l’AP-HP, on est entre 50 000 et 80 000 déclenchements journaliers, et je souhaite bien du courage aux équipes chargées de contrôler (quand il y en a) pour repérer les indélicats dans cette masse de données. Il existe d’autres astuces telles que le statut de VIP (qui consiste à donner un nom « temporaire », sorte de pseudonymisation, mais qui a des impacts sur la qualité de la prise en charge et qui doit être suivie par une fusion des données), le taggage de DP sensibles (mais qui revient à leur mettre une cible sur le dos), l’hyperconfidentialité, etc. À ce jour, je n’ai vu aucun logiciel DPI qui permet de traiter convenablement cette problématique à l’échelle d’un CHU, encore moins d’un GHT. Aucun, je persiste et signe.

La suite logique concerne la responsabilité, et là, on a un sérieux problème. Lorsqu’un professionnel de santé consulte par pure curiosité le DP de son voisin de palier, de son collègue, du petit copain de sa fille ou de son mari dans un contexte de divorce tendu (vécu), on aura du mal à m’expliquer que l’on n’est pas dans le cadre d’une faute détachable de service et encore moins que le professionnel en question n’était pas au courant du caractère illégal de ses actes. Le souci est qu’au regard du RGPD il n’y a pas de distinction en termes de responsabilité entre le fait de mettre un serveur troué de CVS sur la DMZ (là, on est clairement dans une faute imputable à l’hôpital en tant que personne morale) et ce qui relève de la faute individuelle détachable de service : dans les deux cas, au regard de la Cnil, c’est l’hôpital qui doit payer la note (même si, dans les faits, on n’a encore jamais vu un établissement de santé devoir s’acquitter de 2 % de son budget annuel pour ce genre de bêtises).

Il existe plusieurs pistes de solutions pour répondre à cette question : mise à pied des agents indélicats (et donc retenue sur salaire), dans les circonstances les plus graves, signalement au titre de l’article 40 du Code pénal, voire licenciement, mais dans tous les cas la jurisprudence aurait tout intérêt à distinguer ce qui est clairement imputable à la personne morale de ce qui relève de la faute individuelle détachable. Certains DPO considèrent d’ailleurs que l’acte indu de consultation d’un DP par un agent qui ne serait pas suivi d’une sanction disciplinaire engage clairement la responsabilité de l’employeur – sous-entendu, si l’agent a été sanctionné, l’employeur est « blanchi » dans une certaine limite.

L’actualité récente a tourné ces dernières semaines autour de scandales bancaires : faillite de la SVB aux États-Unis, quasi-faillite du Crédit Suisse, etc. Et s’il y a un point sur lequel les commentateurs et les experts sont unanimes, c’est le fait que le premier capital d’une banque réside dans la confiance que lui accordent ses clients. Que cette confiance s’évapore, et les clients se ruent vers les guichets pour retirer leurs avoirs (ce qui est une des causes de la chute de la SVB). Les DPI de GHT doivent être vus de la même manière : sans confiance, qui implique sensibilisation, contrôles et sanctions, point de DPI de GHT efficient, et tout le monde est perdant à l’arrivée.

Je ne sais pas pour vous, mais moi je n’ai pas envie d’un système où les procès entre patients et établissements se multiplieront au point que les avocats et les juges seront débordés et qu’il faudra appeler ChatGPT à la rescousse pour régler les différends entre tout ce beau monde.

J’attends impatiemment l’analyse de M^e Brac de La Perrière la semaine prochaine…

[1] https://www.apssis.com/nos-actions/publication/

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.