L’utilisation systématique de la carte de professionnel de santé : une utopie abandonnée

244. L'application des règles relatives au partage des données ne pose pas réellement de problème quand il s'agit pour deux professionnels d'échanger oralement. L'exercice se complique dès lors que l'utilisation des TIC entre en jeu. En effet, il va être nécessaire de s’assurer que la personne, qui cherche à accéder à des données en a le droit. Le professionnel de santé va donc devoir s’identifier puis s’authentifier. Il s'agit ici de deux actions différentes : une première au cours de laquelle le professionnel va décliner son identité et une autre qui va permettre au professionnel de « prouver » qu'il est bien celui qu'il prétend être. Afin de réaliser ces deux actions, le législateur a prévu, dans un premier l’utilisation obligatoire et systématique de la Carte de Professionnel de santé (CPS)327 ou d’un dispositif dit "équivalent"328. D’abord mise en place pour l'authentification des professionnels de santé dans le cadre de la transmission dématérialisée des feuilles de soin, son utilisation a donc été élargie329 à toutes les transmissions de données de santé par voie électronique. Il s’agit, en

326 _{Ces référentiels sont disponibles en ligne sur le site Internet de l’ASIP santé : [http://esante.gouv.fr].}

327 _{Article R. 1110-3 du Code de la santé publique : « en cas d'accès par des professionnels de santé aux}

informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l'utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l'article L. 161-33 du Code de la sécurité sociale est obligatoire ».

328 _{L’article L. 1110-4 du Code de la santé publique, dans sa rédaction applicable jusqu’au 28 janvier 2016}

prévoyait qu’ « afin de garantir la confidentialité des informations médicales mentionnées aux alinéas

précédents, leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d'Etat pris après avis public et motivé de la Commission nationale de l'informatique et des libertés. Ce décret détermine les cas où l'utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l'article L. 161-33 du Code de la sécurité sociale ou un dispositif équivalent agréé par l'organisme chargé d'émettre la carte de professionnel de santé est obligatoire. La carte de professionnel de santé et les dispositifs équivalents agréés sont utilisés par les professionnels de santé, les établissements de santé, les réseaux de santé ou tout autre organisme participant à la prévention et aux soins ».

329

Article L. 161-33 al.3 du Code de la sécurité sociale : « dans le cas de transmission électronique par les

professionnels, organismes ou établissements dispensant des actes ou prestations remboursables par l'assurance maladie, l'identification de l'émetteur, son authentification et la sécurisation des échanges sont assurées par une carte électronique individuelle, appelée carte de professionnel de santé. Le contenu, les modalités de délivrance et d'utilisation de cette carte sont fixés par décret en Conseil d'Etat après avis de la Commission nationale informatique et libertés »

140

pratique, d’une carte contenant les données d'identification de son porteur ainsi que ses conditions d'exercice, et lui permettant ainsi de s'authentifier et de signer électroniquement les différentes opérations qu'il effectue (par exemple la rédaction d'un compte rendu d'hospitalisation). D’abord gérée par le GIP-CPS, cette carte est actuellement distribuée par l'Agence des Systèmes d'Information Partagées en santé (ASIP santé)330.Ce dispositif permet indéniablement d’assurer la sécurité nécessaire aux données de santé. Cependant, plusieurs bémols peuvent être apportés à son utilisation obligatoire.

245. D’abord d’un point de vue pratique, selon les chiffres de l'ASIP Santé, sur les 1 178 271 cartes actives de la famille des cartes de professionnels (CPS et autres cartes équivalents diffusées par l’ASIP santé), seulement 325 789 ont été distribuées au sein des établissements de santé331. Cette différence s’explique notamment grâce à l’historique de cette carte. En effet, au vu de son objet initial, cette carte est peu connue du monde hospitalier et son développement au sein des établissements de santé est aujourd’hui difficile, pour des raisons à la fois techniques, mais également d’habitude. En établissement de santé, cette obligation d’utiliser de manière systématique une carte de professionnel de santé, ou dispositif équivalent, est donc compliqué. Par ailleurs, en instaurant l’utilisation obligatoire de la CPS pour la transmission de données de santé par voie électronique par des professionnels de santé, le décret confidentialité a, en réalité, élargi le champ d’application initial de l’article L. 161-33 du Code de la sécurité sociale qui ne prévoyait l’utilisation de cette carte que dans les cas de la transmission électronique des feuilles de soins dématérialisées à l’assurance maladie.

246. Le décret confidentialité, acte réglementaire, a donc élargi le champ d’utilisation de la CPS, initialement prévu par la loi332. Or, un décret ne doit pas venir modifier le champ d’application de la loi, mais simplement en définir les modalités d’application. Nous sommes donc ici face à un décret qui était en réalité contraire à la loi. Ceci relève, comme le souligne à juste titre Caroline ZORN-MACREZ, d’une pratique contra legem333. En cela, les obligations

du décret étaient donc inapplicables.

330

Arrêté du 12 octobre 2009 portant approbation de la modification de la convention constitutive du Groupement d’Intérêt Public « Carte de Professionnel de Santé », JORF du 17 octobre 2009. A compter de novembre 2009, le GIP-CPS a intégré l’ASIP santé.

331 _{Chiffres disponibles sur [http://esante.gouv.fr], consultés le 1er mars 2017.} 332

ZORN-MACREZ, Caroline. « Données de santé et secret partagé », op. cit., p. 269.

333 _{Id., p. 269 : « cette situation illustre parfaitement les débordements d’une pratique réglementaire ultra legem,}

141

247. Ces difficultés ont été réglées par l’article 96 de la loi de modernisation de notre système de santé, qui supprime purement et simplement l’exigence de l’utilisation de la CPS ou d’un dispositif équivalent pour la transmission de données de santé par voie électronique. Cette mention a donc disparu de l’article L. 1110-4 du Code de la santé publique, qui prévoit désormais qu’« afin de garantir la qualité et la confidentialité des données de santé à

caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico-social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d'information conformes aux référentiels d'interopérabilité et de sécurité élaborés par le groupement d'intérêt public mentionné à l'article L. 1111-24. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés ».

248. Or, à ce jour, et comme nous avons pu le constater précédemment, ces référentiels n’ont toujours pas été publiés et les dispositions du décret confidentialité, applicables précédemment et codifiés aux article R. 1110-1 à R. 1110-4 du Code de la santé publique, ont été remplacés par des dispositions intégrées par le décret du 20 juillet 2016 relatif aux conditions d’échange et de partage d’informations entre professionnels de santé et autres professionnels des champs social et médico-social et à l'accès aux informations de santé à caractère personnel334. L’encadrement de la transmission par voie informatique des données de santé demeure donc aujourd’hui inabouti.

334

Décret n° 2016-994 du 20 juillet 2016 relatif aux conditions d'échange et de partage d'informations entre professionnels de santé et autres professionnels des champs social et médico-social et à l'accès aux informations de santé à caractère personnel, JORF n°0169 du 22 juillet 2016, texte n° 21.

142

Conclusion de la section

249. Bien que présentant certaines lacunes, le décret hébergeur, et l’ensemble de l’encadrement et des procédures relatives à l’hébergement des données de santé auprès d’un tiers, permettent d’assurer la sécurité nécessaire à ces données. Par ailleurs, la récente rénovation du cadre de l’hébergement des données de santé permet de simplifier les démarches préalables qui s’imposent aux hébergeurs, leur apportant plus de souplesse et de réactivité.

250. En ce qui concerne la communication des données de santé en revanche, bien que le législateur ait tenté d’encadrer strictement la communication par voie électronique des données de santé, force est de constater qu’il a malheureusement échoué. Car même si l’idée initiale était très intéressante, l’application n’a pas suivi. De plus, l’obligation d’utiliser de manière systématique la carte de professionnel de santé a été abandonnée récemment par le législateur mais aucune alternative n’a été proposée.

143

Conclusion du chapitre

251. Les données de santé, dont la collecte, la conservation et la communication sont essentielles à la bonne prise en charge des patients, se doivent d’être suffisamment protégées. Leur vie, de l’archivage à la destruction, en passant par la communication, est en théorie strictement encadrée par un ensemble de règles juridiques épars. Les données de santé produites par les établissements publics de santé ont le statut d’archives publiques. De ce fait, le Code du patrimoine régit leur conservation ainsi que leur destruction. Mais la particularité de ces données, font qu’elles sont également soumises à d’autres règles, plus précises, notamment en matière de secret médical. Et c’est là qu’apparaissent les premières lacunes des textes, qui vont parfois entrer en contradiction. L’introduction des TIC dans la pratique médicale implique une difficulté supplémentaire puisqu’il faut désormais conserver et archiver des données de santé informatisées.

252. Malheureusement, le législateur, en dépit de ses efforts, n’a pas réellement su faire face à l’arrivée massive des TIC et à l’informatisation croissante des données de santé. Bien que leur hébergement auprès d’un tiers soit correctement encadré, le décret "confidentialité", censé réglementer la communication électronique des données, a failli à sa mission, et est resté inapplicable. Aujourd’hui, le législateur, au travers de la loi de modernisation de notre système de santé et de ses textes d’application, a supprimé les dispositions du décret "confidentialité". Cependant, à l’heure actuelle, aucune disposition ne les remplace et la communication des données de santé est soumise au respect de référentiels, qui n’ont toujours pas été, à ce jour, publiés.

145