esanté (55)
Techniquement, implémenter une fonction d'accusé de réception et de lecture ne constitue pas un obstacle insurmontable. Loin de là, même. Malgré cela, le dernier né de l'ASIP, la Message Sécurisé de Santé ou MSS, ne la propose pas.
A priori, la raison de cette carence serait que les professionnels de santé y sont fermement opposés. Et quand on y réfléchit, rien d'étonnant à cette opposition.
Petit cas d'école : le Docteur X, spécialiste, reçoit un mail du Docteur Y, généraliste, qui vient de voir en consultation le patient Z qui présente un état de santé inquiétant. le Docteur Y demande à son confrère X un avis urgent. Le problème est qu'on est vendredi soir, qu'il est 20h15 et que le Docteur X a eu une très longue semaine. Donc il n'ouvre pas le mail (sinon, ce serait vraiment pas bon pour lui) et éteint son ordinateur. Le lendemain, samedi, le patient décède alors que s'il avait été pris en charge dans les temps, tout ce serait bien passé. En cas de contentieux, si un accusé de réception, ou pire de lecture, a été envoyé, le Docteur Y pourrait être tenté de se décharger de tout ou partie de sa responsabilité en indiquant que son confrère X a reçu / lu le mail mais qu'il n'a pas réagi.
Je force volontairement le trait, mais la question d'une perte de chance consécutive à l'absence de lecture d'un mail en temps et en heure existe réellement.
Alors, le meilleur moyen d'éviter ce genre de problème, ce serait de ne pas implémenter ce genre de fonction ou de la désactiver. L'emploi du conditionnel s'impose toutefois, puisque le serveur mail, lui, aura vraisemblablement conserver la trace de ce mail. De sorte que dans ce cas d'école, une expertise technique pourrait aboutir à la conclusion que le Docteur X a bel et bien relevé ses mails avant de quitter son bureau et qu'il a reçu à ce moment là le mail de son confrère Y...
Conclusion: désactiver ou refuser les accusés de réception / lecture n'étant pas une solution satisfaisante, pourquoi ne pas implémenter cette fonction dans la MSS?
Les cyberpharmacies ne peuvent, on le sait, proposer à la vente que des médicaments n'étant pas soumis à prescription obligatoire. Passons outre la question de savoir si le commerce électronique de médicaments peut légalement être réservés aux produits en "en accès direct au public" (art. L5125-34), la réponse relevant désormais de la compétence du Conseil d'Etat.
En revanche, intéressons nous à celle du traitement d'une ordonnance électronique.
Les dispositions législatives et réglementaires relatives à la télémédecine permettent aux médecins d'effectuer des prescriptions lors d'acte de téléconsultation, par exemple.
Mais à ce jour, les textes d'application des dispositions du Code de la Sécurité Sociale relatives à la dématérialisation des ordonnances ne sont toujours pas parus au Journal Officiel.
Le délai de 6 mois au terme duquel le Gouvernement doit publier lesdits texte a pourtant expiré, etce depuis plusieurs mois.
Affaire à suivre, donc.
Alors qu'elle avait admis le principe du « click and mortar » imposant que toute cyberpharmacie s'adosse à une officine de pharmacie (Avis du 13 décembre 2012, n° 12-A-23), l'Autorité de la Concurrence a récemment émis un avis défavorable sur le projet d'arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique par le Ministère de la Santé (Avis du 10 avril 2013, n° 13-A-12).
La raison de cette position, qui met une nouvelle le Gouvernement en difficulté sur le sujet, résulte de plusieurs éléments :
- l'incompétence du Ministre : que ce soit pour fixer par arrêté, sur le fondement de l'article L5121-5, des mesures relatives aux informations minimales devant figurer sur le site, ce domaine exigeant un décret en Conseil d'Etat (art. L5125-41), ou pour adopter les bonnes pratiques visées dans le projet d'arrêté. ;
- la violation de l'article L410-2 du Code de Commerce, qui pose la liberté des prix, et une interprétation des dispositions sur le droit de rétractation en matière de vente en ligne ;
- l'inutilité de restreindre davantage la vente de médicaments en ligne que la vente en officine : l'Autorité considère en effet que l'application du « click & mortar » suffit à garantir la sécurité sanitaire et rappelle que la vente en officine n'est encadrée par aucune règle de bonne pratique ;
- le caractère injustifié de l'interdiction de vendre en simultané des médicaments et les produits (cosmétiques et d'hygiène, notamment) pouvant être vendus en officine et de l'interdiction de diffuser des newsletters ;
- le caractère superflu de l'interdiction de référencement payant du site internet, la publicité des pharmaciens officinaux étant d'ores et déjà réglementée.
Le Ministère n'est naturellement pas tenu de suivre les recommandations émises par l'Autorité, au terme de son avis. Celles formulées le 13 décembre 2012 n'avaient ainsi été que partiellement suivies.
Reste qu'à défaut, l'ordonnance de décembre 2012 et son décret d'application ne pourront vraisemblablement pas s'analyser comme une transposition adéquate du droit communautaire. Les recours risqueraient donc de se multiplier, avec des chances de succès plus importantes qu'à l'accoutumée.
Pierre Desmarais
DMC et télésurveillance : et si on passait de l'inscription sur la LPP à l'inscription sur la CCAM?
Alors que la question du mode de financement de la télémédecine en générale est sur toutes les lèvres, le cas particulier de la télésurveillance semble de plus en plus s'orienter vers une réponse.
Au Journal Officiel du 8 mai 2013 a ainsi été publié un arrêté en date du 2 mai 2013 inscrivant un dispositif de télésurveillance pour défibrillateurs cardiaques sur la Liste des Produits et Prestations Remboursables (LPPR).
Le fait que la télésurveillance repose essentiellement sur l'utilisation de Dispositifs Médicaux Communicants permet ainsi d'envisager une prise en charge.
Mais la réponse reste pourtant imparfaite puisqu'elle ne permet pas de valoriser, et donc de financer, l'activité du praticien recevant les données de télésuivi.
Alors, ne vaudrait-il pas mieux tenter d'inscrire ces DMC sur la Classification Commune des Actes Médicaux (CCAM), afin de rembourser l'acte du médecin et de prendre en charge le dispositif ?
La question reste donc ouverte...
Afin d'assurer la sécurité et la confidentialité des données qu'ils traitent, les responsables de traitement doivent mettre en oeuvre des mesures de sécurité logique, physique et organisationnelle.
Sur ce dernier point, qui serait responsable d'à peu près 80% des failles de sécurité, deux points cruciaux doivent systématiquement être envisagés :
- la rédaction de clause de confidentialité, à décliner selon les contrats (contrats de travail, sous-traitance, consortium, etc.) ;
- l'élaboration d'une Politique de Sécurité du Système d'Information (PSSI).
Ainsi que je l'expliquai dans mon précédent billet, les pouvoirs publics, et principalement l'ASIP Santé et la CNIL, travaillent actuellement sur un projet de Politique Générale de Sécurité des Systèmes d'Information en Santé (PGSSI-S). Celle-ci décrirait les conditions à respecter pour la mise en oeuvre sécurisée de SI en santé. Cette PGSSI-S ne dispensera manifestement pas les responsables de traitement d'élaborer leur propre PSSI. Au mieux, espérons-le en tout cas, elle allègera leur charge de travail.
Bien, en attendant, les responsables de SI en santé doivent élaborer une PSSI. Ce document est exigé par les agents de la CNIL en cas de contrôle, et le défaut de communication donnera très vraisemblablement lieu à la constatation d'un manquement.
La PSSI doit naturellement être élaborée avant la mise en oeuvre d'un traitement.
En tenant compte des besoins, des ressources, des risques et de la sensibilité des données traitées, elle définit les obligations à la charge des DSI/RSI et des utilisateurs, les procédures à mettre en oeuvre en cas d'incidents, l'encadrement nécessaire pour accompagner les tiers technologiques chargés de la maintenance du SI.
L'avocat et le Correspondant Informatique et Libertés ont un rôle majeur dans l'élaboration de la PSSI. Ils permettent au responsable du traitement de définir les contraintes juridiques pesant sur lui, en auditant ses traitements, et de fixer en conséquence les éléments à prendre en compte.
Sur un SI de santé, par exemple, ils vérifieront la politique d'accès aux dossiers patients, les conditions d'extraction de données pour les remettre aux patients, à leurs ayants-droits ou aux autorités judiciaires. Rompu aux techniques contractuelles, l'avocat pourra assister le DSI dans l'élaboration de procédures ad hoc.
La rédaction de la PSSI est une tâche complexe, nécessitant l'intervention d'informaticiens, de juristes ou d'avocats et, le cas échéant, du Correspondant Informatique et Liberté de l'établissement. Naturellement, par pragmatisme, la CME doit également être invitée à y participer, l'encadrement de la pratique supposant d'une part la connaissance de cette pratique, et d'autre part l'appréhension des contraintes pesant sur les utilisateurs du SI.
Desmarais Avocats, spécialisé en droit de la santé et du numérique, Correspondant Informatique et Liberté, assiste les établissements de santé, les établissements médico-sociaux et les structures d'exercice de ces professions dans la rédaction de leur PSSI.
Alors que les cas de manquement à l'obligation de confidentialité des données de santé* se multiplient, la question de la politique de sécurité des systèmes d'information (PSSI) en santé se pose avec une acuité de plus en plus importante.
Le décret Confidentialité (décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique) est largement insuffisant. Non content de n'être que difficilement applicable, au plan technique, et ce malgré tous les efforts d'interopérabilité de agences publiques et des éditeurs, il ne permet pas "d'éduquer" les professionnels de santé à la sécurité informatique. Car la sécurité est aussi bien logicielle, qu'organisationnelle, aspect le plus négligé en pratique comme en témoigne l'absence quasi systématique de PSSI** dans les établissements.
Sur le modèle de la Politique Générale de Sécurité du Système d'Information (PGSSI) du Trésor Public, l'ASIP Santé et la CNIL conduisent donc actuellement une réflexion en vu de l'élaboration d'une PGSSI en santé (PGSSI-S).
On sait pour l'heure assez peu de choses de l'avancée de ces travaux.
L'objectif est d'aller plus loin que les textes actuels sur l'hébergement de données de santé et l'utilisation de la CPS, en posant différents principes déclinés en référentiels sectoriels. Mieux, il semblerait que cette PGSSI-S ait vocation à dépasser le cadre du seul secteur sanitaire : les acteurs publics et privés du secteur médico-social seraient ainsi concernés.
Reste alors à donner un cadre à ces donnés médico-sociales, car elles en sont pour l'heure totalement dépourvues. En effet, en matière sociale, la loi se borne à soumettre à autorisation préalable de la Commission "les traitements automatisés de données comportant des appréciations sur les difficultés sociales des personnes" (art. 25, I, 7°).
Ensuite, le principal problème sera, une fois de plus, de faire assimiler les principes de cette PGSSI-S aux professionnels concernés. Le discours de la Ministre de la Santé lors de la journée internationale de la Télésanté, le 28 mars 2013, prend alors tout son sens : il faut intégrer les acteurs aux réflexions des pouvoirs publics !
* Pour mémoire, on rappellera qu'un tel manquement peut-être qualifié de violation du secret professionnel, délit puni d'un an d'emprisonnement et 15 000 euros d'amende (art. 226-13 du Code Pénal), et de violation de l'article 34 de la loi Informatique et Libertés, délit puni de cinq ans d'emprisonnement et 300 000 euros d'amendes (art. 226-17 du Code Pénal).
** Le document de PSSI est considéré par la CNIL comme étant obligatoire. Sa communication est notamment demandée en cas de contrôle par les agents de la Commission, et son absence est souvent considérée comme un manquement, dans le rapport de contrôle. Le Cabinet se tient naturellement à la disposition de tout établissement souhaitant une assistance dans l'élaboration de sa PSSI.
Premier Cercle organise le 16 mai 2013 un colloque dédié à la mhealth intitulé : "m-santé : Quel modèle économique? Investissement, organisation, rentabilité ".
Après une introduction par la Ministre de la Santé, trois tables rondes prévues:
- Table ronde n°1 : Quelles stratégies adopter pour la m-santé ?
- Table ronde n°2 : Comment rendre mobile l'accès aux soins ?
- Table ronde n°3: Quel modèle économique adopter ?
Viendront ensuite plusieurs interventions: Retour d'expérience : Quels sont les facteurs de succès ? Qui sont les acteurs du financement et quels sont leurs critères d'investissement ? Quels moyens de financement ? Quels nouveaux business modèles ?
J'interviendrais pour ma part après Madame Sophie Vuillet-Tavernier, Directrice des Etudes, de l'Innovation et de la prospective à la CNIL sur les aspectes juridiques de la mHealth.
Cette conférence s'adresse aux présidents, directeurs généraux de laboratoires pharmaceutiques, directeur financier, directeur innovation, directeur commercial, responsables de la stratégie et du développement, affaires réglementaires et médicales, études économiques, marketing, dirigeants des mutuelles, compagnies d'assurances, médecins, pharmaciens, conseils, télécoms, SSII, investisseurs, start up.
Fin : 16/05/13 - 12:30
Lieu : PAVILLON GABRIEL - PARIS
Nom : programme m-santé.pdf
Taille : 383 Ko
Ce matin, à la réunion de l'Electronic Business Group (EBG), Mme Jeanne Bossi, secrétaire générale de l'Agence des Systèmes d'Information Partagé en Santé (ASIP Santé) a indiqué que l'avis de la CNIL sur l'utilisation du numéro de Sécurité Sociale (NIR) comme identifiant de santé avait été "surinterprété" (sic).
Au terme de son intervention, elle a précisé que les insuffisances de l'Identifiant National de Santé Calculé (INS-C) et l'encadrement de l'hébergement des données de santé justifiaient pleinement l'abandon du projet d'Identifiant National de Santé Aléatoire (INS-A) au profit de l'utilisation du NIR.
Ce revirement soudain doit être appréhendé avec précaution, d'une part parce qu'il ne s'agit là que de propos tenus (librement) lors d'un think tank, d'autre part parce que le principe du cantonnement applicable au NIR constitue l'un des piliers de la doctrine de la CNIL en matière sanitaire.
Affaire à suivre donc. Cependant, si cette position devait être confirmée, elle faciliterait la tâche du professionnel chargé d'identifier son patient,lors d'un acte de télémédecine par exemple.
Depuis quelque temps, certains praticiens s'interrogent quant à la pratique télémédicale de l'autopsie.
L'idée peut paraitre étonnante, mais le développement de la “virtopsie”, examen d'imagerie médicale réalisé post mortem afin de déterminer les causes du décès, et le cadre juridique de la téléassistance permettent tout à fait d'envisager une telle alliance.
En effet, au terme de l'article L6316-1, la télémédecine "est une forme de pratique médicale à distance utilisant les technologies de l'information et de la communication" permettant "d'établir un diagnostic, (...) de requérir un avis spécialisé, (...) de prescrire ou de réaliser des prestations ou des actes". Or, les autopsies médicales tendent précisément à obtenir un diagnostic sur les causes du décès (art. L1211-2, 3ème al.). Au plan légal, rien ne s'oppose donc à la qualification de la virtopsie en acte de téléconsultation.
Reste alors à déterminer si le thanatopracteur doit au préalable signer avec l'ARS un contrat de télémédecine.
La télémédecine vise clairement les personnes vivantes, s'inscrivant dans un titre intitulé "Aide médicale urgente, permanence des soins, télémédecine et transports sanitaires" et devant prendre en compte les besoins en santé de la population (art. L1434-2). Pour autant, le régime érigé par le décret du 19 octobre 2010 pourrait parfaitement être transposé à la téléautopsie: l'autopsie médicale est un acte de diagnostic supposant le consentement de l'intéressé et pour lequel un dossier ad hoc doit être tenu (art. R1232-3).
Bien qu'en pratique la réponse paraisse évidente, en toute logique, la question de la nécessité d'un contrat de télémédecine pour la téléautopsie reste donc ouverte.
Pierre Desmarais
Alors que l'on apprenait ce matin le détournement du site vitrine d'une pharmacie afin de vendre en France des médicaments ne disposant pas d'AMM, le Conseil d'Etat vient d'ordonner la suspension de l'exécution des dispositions de l'ordonnance du 19 décembre 2012 encadrant la vente des médicaments sur Internet (CE, Ord., 14 février 2013, M. L., n° 365459).
Le juge des référés a estimé que restreindre le dispositif aux médicaments OTC (art. L5125-34 CSP) constitue un doute sérieux sur la légalité de ces dispositions, alors que le droit communautaire ne permet de limiter le dispositif que pour les seuls médicaments soumis à prescription obligatoire. En revanche, le juge a rejeté le moyen selon lequel la licéité de l'article L5125-36, qui soumet à autorisation du directeur général de l'ARS, la création d'un site internet de vente de médicaments, n'est pas sérieusement contestable.
Cette ordonnance est temporaire. Un recours au fond a été déposé et est en cours d'examen par le Conseil d'Etat.
En tout état de cause, il est peu probable que la totalité du dispositif instauré par l'ordonnance du 19 décembre 2012 et le décret du 31 décembre 2012 soit remis en cause.
Affaire à suivre donc.
Evoquer les risques juridiques d'un défaut de sécurité en matière d'e-santé fait souvent sourire.
Cette réaction se comprend, au plan théorique. L'arsenal juridique mis en place par le législateur et le Ministère de la Santé (hébergement de données de santé, décret confidentialité, etc.) est en effet suffisant pour écarter tout risque majeur.
Lorsqu'on examine la pratique, les sourires paraissent en revanche déplacés. Aujourd'hui, quel professionnel de santé est assuré de la sécurité de son réseau WiFi ? Quel professionnel de santé chiffre les données qu'il envoie sur le net en utilisant sa CPS ou un "dispositif équivalent" ? Quel professionnel de santé recourt effectivement aux services d'un hébergeur agréé ? Les risques sont encore majorés lorsque l'on évoque la sécurité des smartphones (La DCRI explique comment pirater un smartphone, Le Point, 7 décembre 2012 ) et les dispositifs médicaux communicants (Warning over medical implant attacks, 9 avril 2012, Mark Ward - Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses, Daniel Halperin, Thomas S. Heydt-Benjamin, Benjamin Ransford, Shane S. Clark, Benessa Defend, Will Morgan, Kevin Fu, Tadayoshi Kohno, and William H. Maisel, IEEE Symposium on Security and Privacy, May 2008 ).
Quand on évoque les sanctions pénales encourues, la réponse est invariablement : ce risque est virtuel, comme en témoigne l'absence de jurisprudence, et en tout état de cause personne n'a réellement l'usage de ces données.
Aujourd'hui pourtant, plusieurs "affaires" montrent les failles de cet argumentaire :
- la diffusion sur internet de clichés d'imagerie médicale (Chambre disciplinaire nationale de l'Ordre des Médecins, 20 janvier 2012 ) ;
- le vol de 375 dossiers médicaux dans une clinique, à Troyes (Troyes: enquête ouverte après la fuite de dossiers médicaux sur internet, Le Républicain Lorrain, 23 juin 2012 ) ;
- le défaut de sécurisation d'un serveur de l'Hôpital Foch (Enquête : des données médicales confidentielles accessibles sur le web, Leila Minano, 8 février 2013 ).
Il ne s'agit là que des cas "médiatisés".
Un article de Mme Anne Souvira, chef de la BEFTI (Brigade d'Enqupetes sur les Fraudes aux Technologies de l'Information), et de Mme Myriam Quémémer, magistrat au parquet général de la CA de Versailles, suggère en effet que le vol de données médicales est plus fréquent qu'à ce qu'il n'y paraît (La cybersécurité en entreprise : se protéger juridiquement et se former, Sécurité & Stratégie, Décembre 2012 - Février 2013, page 87) :
"Un constat partagé par McAfee qui pointe l'augmentation des attaques sur les smartphones, en particulier sur les applications bancaires tandis que les systèmes embarqués, les équipements de santé sont quant à eux les cibles de pirates informatiques plus avertis."
Le risque de compromission des données de santé collectées par les professionnels de santé (de même que celui collectées dans une activité de quantified self) existe donc bel et bien...
Pour mémoire, la plupart des infractions à la loi Informatique et Libertés sont réprimées de 5 ans d'emprisonnement et 300 000 euros d'amende.
De quoi faire réfléchir, non ?
Elles envahissent les App Stores, proposent de collecter et héberger dans le cloud des données de santé, voire de les transmettre directement à un professionnel de santé.
"Elles", ce sont les applications de santé mobile. Ces petits logiciels à installer sur les smartphones, tablettes et autres PDA, illustrations du développement de la mobile health, se multiplient aujourd'hui sans que l'on s'intéresse sérieusement au régime juridique qui leur est applicable.
Les dispositions actuelles du Code de la Santé Publique et du Code de la Sécurité Sociale peuvent-elles s'appliquer ou est-il nécessaire d'en prendre de nouvelles, au risque de freiner l'innovation?
Un début de réponse à lire dans le numéro 3 de Communication - Commerce électronique (Quel régime pour la mhealth?, Com. Com. Electr., Etude 5).
Nom : cce1303.pdf
Taille : 1 Mo
L'association FORMATICSanté organise son prochain Colloque les 12 et 13 février 2013 sous le parrainage du Ministère des Affaires Sociales et de la Santé sur le thème :
Les clés de la réussite en e-santé et e-formation Communication, Coopération, Coordination : les 3 C au service des patients
Il se déroulera à l'ICM (Institut du Cerveau et de la Moelle épinière) Hôpital Pitié Salpétrière à Paris
Le programme est disponible ici.
Pour ma part, je participerai à la table ronde "Quelles clés pour la réussite des projets de e-santé ?" qui sera sous la présidence du Docteur Pierre Simon, Président de l'Antel.
En auditant le projet de contrat de télémédecine d'un client, j'ai été étonné de voir que les données résultant de l'acte de téléconsultation étaient intégrées au Dossier Médical Personnel (DMP).
Pour mémoire, il s'agit d'un dossier médical électronique placé sous l'entier contrôle du malade. Il détermine les personnes qui y accèdent, même en cas d'urgence, les informations qui y sont inscrites, celles qui sont consultables par tel ou tel professionnel de santé et celles qu'il veut "supprimer".
L'objectif de ce billet n'est ni de trancher la controverse qui agite la communauté de l'e-santé (serait-ce d'ailleurs possible ?), ni de prendre parti.
Il s'agit simplement de s'interroger quant à l'impact juridique du DMP en droit médical.
Le Conseil National de l'Ordre des Médecins a déjà eu l'occasion de souligner quelques difficultés, et notamment les risques liés à l'application du principe "d'autodétermination informationnelle" : masquer des informations aux professionnels de santé participant à la prise en charge constitue un risque médical pour le patient et juridique pour lesdits professionnels.
Aujourd'hui, c'est la possibilité d'utiliser le DMP en tant que "dossier de télémédecine" qui m'intéresse.
Le décret "Télémédecine" impose au télémédecin de tenir un dossier dans lequel contenant le compte rendu de la réalisation de l'acte, les actes et les prescriptions médicamenteuses effectués, l'identité des professionnels de santé participant à l'acte, la date et l'heure de l'acte et, le cas échéant, les incidents techniques survenus au cours de l'acte (art. R6316-4 CSP). Ce dossier constitue donc le pendant du "dossier médical" tenu par les établissements de santé et de la "fiche d'observation" rédigée par les praticiens libéraux. Le patient y a naturellement accès, mais ce sont les professionnels de santé qui en déterminent le contenu. La même règle devrait théoriquement s'appliquer au dossier de télémédecine.
En décidant de verser les données issues d'un acte de télémédecine exclusivement, on se met donc en situation de ne pas respecter les obligations prévues par l'article R6316-4 CSP :
- si le patient refuse l'accès au DMP, ce qui est de droit et ne doit théoriquement pas prêter à conséquence, il sera impossible de conserver les éléments visés par le décret ;
- si le patient accepte, le professionnel prend le risque de le voir les faire disparaitre du DMP, de sorte que là encore, les informations relatives à l'acte ne pourront pas être conservées.
En tout état de cause, même si le patient et le télémédecin coopèrent de bonne foi, l'utilisation du DMP n'est pas forcément judicieuse.
On sait que tout professionnel de santé est tenu d'assurer le suivi de son patient, ce qui peut impliquer la nécessité de consulter son dossier, et que le droit médical est (théoriquement) parfaitement applicable à la télémédecine. Mais s'il a utilisé le DMP, le professionnel de santé ne pourra pas consulter le dossier de son e-patient, se privant ainsi de la possibilité d'accomplir ses obligations...
L'utilisation du DMP en matière de télémédecine paraît donc devoir constituer une solution annexe.
Il devrait alors être considéré comme un "carnet de santé" électronique et non comme un "dossier médical", et ce malgré la terminologie en vigueur.
Pris sur le fondement de l'article 37-1 de la Constitution, l'article 23 de la loi n° 2011-2012 du 29 décembre 2011 relative au renforcement de la sécurité sanitaire du médicament et des produits de santé a prévu que soit expérimentée la consultation du Dossier Pharmaceutique (DP) par les médecins exerçant dans les établissements de santé sélectionnés.
Le décret en date du 9 janvier 2013 (n° 2013-31) fixe les conditions de cette consultation.
Naturellemment subordonnée au consentement éclairé, informé et préalable du patient, elle ne pourra être le fait que des anesthésistes-réanimateurs, des médecins exerçant dans les structures d'urgence ou de gériatrie et dans les unités de réanimation.
Quant aux établissements de santé expérimentateurs, ils seront désignés par le Ministre de la Santé, sur proposition du directeur général de l'Agence Régionale de Santé (ARS). Les critères de sélection sont fixés par un cahier des charges joint au décret.
Les entreprise de transport sanitaire assure le transport « d'une personne malade, blessée ou parturiente, pour des raisons de soins ou de diagnostic, sur prescription médicale ou en cas d'urgence médicale, effectué à l'aide de moyens de transports terrestres, aériens ou maritimes, spécialement adaptés à cet effet » (Art. L6312-1 CSP et L1251-1 du Code des Transports).
Théoriquement, elles n'ont pas accès aux motifs médicaux justifiant la prescription. Le formulaire CERFA de prescription médicale de transport est en effet composé de deux volets distincts, l'un destiné au médecin-conseil de l'assurance maladie, l'autre à l'organisme.
Malheureusement, comme le soulignait la Cour des Comptes dans son rapport de septembre 2012, lorsqu'il est adressé à l'Assurance Maladie, le premier volet est expédié par le transporteur lui-même. Celui-ci a donc de facto connaissance des informations médicales relatives à son client. Et quand bien même il n'aurait pas accès au premier volet du formulaire, l'adresse précise de destination du malade lui permet de déduire certains éléments relatifs à sa santé.
Lorsqu'ils sont informatisés, notamment, ces éléments deviennent des "données de santé". Or, l'expérimentation PEC+ étant en cours de généralisation, la totalité des dossiers des transporteurs a désormais vocation à être dématérialisé.
Les entreprises de transport sanitaire sont donc en possession de données de santé relative à leurs clients.
Ces données, ils ne les ont pas produites eux-mêmes. Toutes sont en effet issues de la prescription médicale de transport.
Stricto sensu, les transporteurs sont donc des "hébergeurs".
Le problème vient ici de ce que le Code de la Santé Publique réglemente strictement l'hébergement des données de santé et punit tout aussi strictement l'exercice de cette activité dans des conditions illicites (trois ans d'emprisonnement et 45 000 euros d'amende).
Il est donc important de s'interroger quant à l'applicabilité de ce dispositif aux entreprises de transport sanitaire.
Il trouve à s'appliquer dès lors que le malade, un professionnel ou un établissement remet à un tiers n'ayant pas participé à la prise en charge des données produites ou recueillies à l'occasion d'une activité de soins, de diagnostic ou de prévention.
En l'occurrence, les données sont remises soit directement par le malade, soit indirectement par un professionnel de santé.
Quant aux données de santé figurant sur le volet 1 de la prescription médicale de transport, elles sont indéniablement produites ou recueillies dans les conditions prévues par la loi. Reste que le transporteur ne devrait théoriquement pas en avoir connaissances. Mais si le malade remet volontairement les données au transporteur, celui-ci ne devient-il pas immédiatement un hébergeur de données de santé ?
Quant aux données relatives au point de chargement à l'adresse de destination, ne peuvent-elles pas être considérées comme des données de santé recueillies à l'occasion d'une activité de diagnostic, de soins ou de prévention ?
Transporter un malade vers un Centre de lutte contre le cancer permet de déduire qu'il est atteint ou présente les signes de la maladie. Cette information, si elle nécessite une opération de déduction intellectuelle, résulte directement de la décision du professionnel de santé de faire admettre ou examiner son patient dans l'établissement de destination.
Afin de garantir la confidentialité des informations sur l'état de santé, on pourrait donc être tenté de considérer ces éléments comme des données de santé produites à l'occasion d'une activité de diagnostic, de soins ou de prévention.
Dans ces conditions, le transporteur devrait soit bénéficier d'un agrément ministériel, soit déposer ses données chez un hébergeur agréé.
Les enjeux répressifs et financiers (responsabilité de plein droit du transporteur en cas de violation du droit au respect de la vie privée) doivent donc inciter les entreprises de transport sanitaire à la plus grande précaution lorsqu'elles manipulent des données de santé.
Le développement actuel de la dématérialisation dans ce secteur d'activité constitue l'occasion parfaite pour les transporteurs et les taxis conventionnés d'auditer leurs traitements de données et de les mettre, le cas échéant, en conformité avec la loi Informatique et Libertés. Cette tendance pourrait également permettre de réfléchir à la désignation d'un Correspondant Informatique et Libertés, mieux à même d'assurer ces missions.
les délais de publication des décrets d'application se comptent plus fréquemment en mois ou années qu'en jours ou semaines. On fera grâce au lecteur de l'énumération des décrets d'application de la loi HPST (de 2009) que l'on attend toujours.
Mais en matière de cyberpharmacie, le Gouvernement a fait preuve d'une étonnante réactivité:
- le décret d'application a été publié dix jours plus tard (Décret n° 2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments et à l'encadrement de la vente de médicaments sur internet au Journal Officiel du 1er janvier 2013).
En l'occurrence, c'est l'article 3 du décret qui nous intéresse.
Il crée un Chapitre V bis "Commerce électronique de médicaments par une pharmacie d'officine" dans le titre II du livre Ier de la cinquième partie du code de la santé publique.
Composé de cinq dispositions, ce nouveau chapitre liste les pharmaciens pouvant exploiter une cyberpharmacie, précise les obligations à respecter (mention des coordonnées de l'ANSM, lien hypertexte vers le site du CNOP et du ministère de la santé, etc.) et les modalités de la demande d'autorisation de commerce électronique de médicaments.
Le décret impose enfin au CNOP de tenir à jour une liste des sites internet des officines de pharmacie autorisés, liste mise à la disposition du public sur son site internet et sur celui du ministère de la santé.
On ne peut que se féliciter de cette parution rapide du décret d'application de l'ordonnance du 21 décembre 2012.
Cependant, certaines questions restent ouvertes, parmi lesquelles celle relative au régime des données collectées par le biais du site internet.
La création d'une cyberpharmacie doit donc s'envisager à l'issue d'une réflexion sur la sécurité juridique tant du pharmacien exploitant que du patient.
On se souvient de l'arrêt Doc Morris (CJUE, 11 décembre 2003, n° C-322/01) au terme duquel les juges communautaires avaient considéré que l'article 30 Traité CE (devenu art. 36 TFUE) "ne pouvait pas être invoqué pour justifier une interdiction absolue de vente par correspondance des médicaments qui ne sont pas soumis à prescription médicale".
On se souvient également qu'en France, cette décision avait été rejetée tant par les juges que par les pouvoirs publics, à quelques exceptions près.
Le développement des dossiers médicaux et pharmaceutiques communiquants (DMP, DP, etc.) et de la télémédecine et la légalisation des cyberpharmacies dans d'autres Etats membres de l'Unin (ex: les Pays-Bas) rendaient intenable cette position.
Récemment, deux pharmacies ont proposé à leurs clients un service de vente en ligne de médicaments "over the counter" (OTC) et de réservation par internet des produits soumis à prescription médicale.
Le Gouvernement a promptement réagi : le 19 décembre 2012, un projet d'ordonnance était présenté en Conseil des Ministres. Il a été publié au Journal Officiel de ce jour.
L'article 7 de l'ordonnance, qui devra être ratifiée par le Parlement, introduit dans le Code de la Santé Publique (CSP) un chapitre intitulé "Commerce électronique de médicaments par une pharmacie d'officine".
Au sein de ce nouveau chapitre, sont définies:
- la notion de commerce électronique de médicaments ;
- les conditions à satisfaire pour pouvoir ouvrir une cyberpharmacie : compétence de certaines catégories de pharmaciens, autorisations administratives, information de l'Ordre, etc. ;
- les produits concernés : les médicaments bénéficiant d'une AMM pouvant être présentés en accès direct au public en officine ;
- les pouvoirs du directeur général de l'Agence Régionale de Santé en cas de manquement à ces dispositions.
Le texte renvoie naturellement à un décret pour définir les modalités d'application du dispositif, et notamment les informations minimales que devront contenir les sites internet, et prévoit des dispositions transitoires.
Alors que la deuxième pharmacie online a ouvert ses "portes", le Ministre de la Santé a présenté en Conseil des Ministres, le 19 décembre 2012, une ordonnance relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments.
Rendue possible par la loi du 29 décembre 2011, cette ordonnance a notamment vocation à encadrer la vente par internet de médicaments par les officines de pharmacie.
Les informations actuellement disponibles semblent favorables au développement de cette pratique. En effet, le site gouvernement.fr précise notamment que "cette modalité de dispensation de médicaments est réservée aux pharmaciens ayant obtenu une licence pour créer une officine de pharmacie physique" et qu'elle "relève de l'entière responsabilité du pharmacien".
Des précautions juridiques similaires à celles développées en matière de téléconseil médical devraient ainsi permettre le développement d'e-pharmacie pour la vente de produits OTC.
Dans son Guide méthodologique relatif à la circulation au sein des centres de santé et maisons de santé des informations sur la santé des patients, la Direction Générale de l'Offre de Soins définit l'activité d'hébergement de données de santé agréé comme un monopsone. En clair, seuls les malades et les professionnels et établissements de santé peuvent recourir à leurs services. En effet, en considérant qu'un centre ou une maison de santé, qui ne constitue pas un établissement de santé au sens du Code de la Santé Publique, ne peut pas externaliser ses données en application de l'article L1111-8, la DGOS limite considérablement la sphère de cette activité.
Mais le problème est ailleurs.
Le Guide invite les centres et maisons de santé à se doter d'un dossier médical "métier" et, si l'on s'en réfère à la création d'un label sur les aplicatifs métiers destinés à ces structures, plus précisement sur un dossier médical électronique.
Or, les centres et maisons de santé peuvent être multisites.
Pour permettre à tous les sites de se connecter au dossier électronique, la solution la plus simple serait donc d'externaliser l'hébergement de ce dossier. Mais cette hypothèse est écartée par la DGOS.
Les centres et maisons de santé multisites désireux de mettre en oeuvre un dossier médical électronique unique devront donc assurer eux-mêmes l'hébergement et l'accès aux données depuis un site externe. La solution s'avèrera peut-être moins coûteuse mais elle sera aussi certainement moins sécurisée.