Fig. 4.5 Une seule et même personne utilisant les services de différents établissements ou programmes peut se retrouver avec
6. Pérennité des améliorations programmatiques
La capacité à suivre et à maintenir les personnes dans les soins et sous traitement, et le lien entre les données sanitaires provenant de sources et établissements différents, et ce de manière constante au fil du temps représentent des améliorations durables apportées par le programme à la prise en charge des personnes vivant avec le VIH et à la gestion des programmes de lutte contre le VIH. Ces améliorations découlent du passage à des dossiers médicaux électroniques et de l'utilisation de numéros d'identifiant uniques.
À moyen terme, les pays devront entreprendre une analyse et une planification fondées sur les expériences en matière d'utilisation des données et sur les éléments probants qui témoignent des bienfaits, des risques et des coûts pour les patients et le programme. Il faudra intégrer dans la planification l’investissement dans les politiques, la maintenance, les matériels informatiques, les logiciels, les ressources humaines et les capacités d'analyse afin d'assurer la robustesse et la durabilité du système. Les éléments clés d’une planification à moyen terme sont présentés à la Fig. 4.6.
Fig. 4.6 Éléments d’une planification à moyen terme pour l'utilisation d'identifiants uniques
Leadership et gouvernance
Stratégie et investissement
Services et applications
Normes et interopérabilité
Infrastructure
Législation, politique et conformité
Ressources humaines
Éléments liés à la cybersanté
4.4 Caractéristiques et sécurité d'un système d'identifiants uniques
Pour tirer pleinement profit d'un système d’identifiant unique qui attribue un numéro national unique à chaque individu, géré d'une manière sécurisée et durable, le système doit réunir sept caractéristiques ou fonctions :
• un code d'identification comprenant des caractères alphanumériques qui ne dénotent aucun aspect de l'identité de l’individu ;
• des informations d'identification ;
• des références croisées à des identifiants individuels liés à des sites locaux pour les numéros d'identification individuels préexistants ;
• des mécanismes permettant de masquer ou de crypter les numéros d’identifiants ;
• un logiciel d’enregistrement en masse des patients, et le personnel adéquat pour s'acquitter de cette tâche ;
• un logiciel pour rechercher, identifier, faire correspondre, crypter ou de toutes autres façons manipuler les informations sous-jacentes ;
• des infrastructures administratives et de télécommunications, dont une autorité administrative centrale.
Dans de nombreux pays, l’élargissement des services de lutte contre le VIH et d'autres services de santé mènera à la collecte d’une quantité croissante de renseignements personnels sur la santé dans divers sites, y compris dans le domaine des services préventifs et thérapeutiques.
Cela exige d’accorder une attention particulière aux questions de confidentialité et de sécurité.
Certes, l'utilisation de numéros d'identifiant uniques renforce l'anonymat des dossiers nominatifs centrés sur la personne, mais elle doit être accompagnée par des mesures
appropriées et permanentes visant à protéger ces informations. Certaines de ces mesures sont présentées ci-après.
• Des mesures efficaces doivent être prises pour contrôler l'accès, notamment la sécurisation des logiciels et de l'accès physique, la protection par cryptage et un mécanisme
d'authentification, ainsi que pour empêcher tout accès non autorisé et en cas d’accès, garantir qu’il soit légitime.
• Des programmes de formation sont nécessaires pour s'assurer que tous les employés ayant accès aux renseignements personnels sur la santé ont conscience des responsabilités qui leur incombent et disposent des compétences nécessaires pour accomplir leurs tâches systématiquement et correctement.
• Les mesures de sécurité doivent être précisées, et inclure des pistes de vérification pour contrôler les accès non autorisés et empêcher des abus éventuels.
Les mesures suivantes doivent être prises par les organismes qui produisent, ont accès ou utilisent des informations médicales personnelles identifiables :
• la protection de l'accès ;
• l'authentification de l'utilisateur ;
• les pistes de vérification ;
• la formation et l'éducation ;
• la sécurité physique ;
• les politiques et procédures de l'organisation ;
• la promotion d'une culture organisationnelle favorable à la protection de la vie privée ;
• la classification appropriée des données dans les catégories « identifiable », « non
identifiable » et « non associée au patient », pour aider à déterminer les mesures indiquées pour sécuriser le système ;
• la sécurité intégrée dans le matériel et les logiciels informatiques ; dans le matériel, les systèmes d'exploitation, les logiciels, les protocoles et méthodes de communication ;
• la séparation appropriée des réseaux informatiques par des pare-feu entre réseaux privés, semi-privés et publics ; et
• l'élimination appropriée des dossiers médicaux électroniques et papier au moyen du nettoyage électronique des médias anciens en utilisant des logiciels conçus à cet effet ou au moyen de déchiqueteuses pour les dossiers papier.
Des orientations plus détaillées sur la protection de la vie privée, la confidentialité et la sécurité des renseignements personnels sur la santé sont compilées dans les lignes directrices relatives à la protection de la confidentialité et de la sécurité des informations sur le VIH (Guidelines on protecting the confidentiality and security of HIV information) (39) et dans le document intitulé Protecting the confidentiality and security of personal health information in low- and middle-income countries in the era of SDGs and Big Data (43).
La mesure dans laquelle les lignes directrices nationales ont été élaborées et mises en œuvre au niveau des établissements de santé, des banques/entrepôts de données, et à l’échelle nationale peut être évaluée grâce à des outils publiés récemment, à savoir « Outil d’évaluation de la protection de la vie privée, de la confidentialité et de la sécurité : protéger les informations médicales personnelles » et « Outil d’évaluation de la protection de la vie privée, de la confidentialité et de la sécurité : manuel de l'utilisateur » (en anglais : The privacy, confidentiality and security assessment tool : protecting personal health information
et The privacy, confidentiality and security assessment tool : user manual) (45).
4.5 Architecture du système et méthodes d'identifiants uniques
4.5.1 Ressources techniques
Cette section décrit les éléments de base nécessaires à l'architecture du système et au processus d’identifiant unique. Ce guide devrait permettre aux administrateurs des programmes de discuter des éléments fondamentaux avec les techniciens chargés de mettre au point les systèmes d'identifiant unique. Ces orientations sont à utiliser conjointement avec les documents ci-après (en anglais) qui fournissent des renseignements techniques plus détaillés, notamment :
• Standard guide for properties of a universal healthcare identifier (UHID) (ASTM E-1714-00) (46) ;
• Standard guide for implementation of a voluntary universal healthcare identifier (ASTM E-2553-00) (47) ;
• Health informatics : identification of subjects of health care (ISO/TS22220 :2011) (48) ;
• Health informatics : patient health card data. Part 5 : identification data (ISO 21549) (49) ; and
• Health informatics : guidance on patient identification and cross-referencing of identities (CEN/TR 15872) (50).
4.5.2 Éléments à prendre considération pour l'architecture du système
L'architecture du système dépendra du niveau ou de la catégorie dans laquelle se classe l’établissement. On distingue trois catégories de niveau en fonction des infrastructures disponibles : papier, énergie et réseaux :
Niveau 1 – Papier : établissements sans approvisionnement en énergie électrique ni moyens de télécommunication fiables ; la chaîne de froid peut être alimentée par des générateurs.
De tels établissements ne peuvent recourir qu’à des systèmes sur papier.
Niveau 2 – Énergie : établissement disposant au quotidien d’un minimum d’énergie électrique fiable (solaire, générateur, lignes électriques et alimentation sans interruption) suffisante pour charger/exploiter un ordinateur performant. Ces établissements peuvent utiliser des systèmes électroniques hors ligne.
Niveau 3 – Réseau : les établissements disposant de moyens de télécommunication et d’une fourniture en énergie fiables peuvent entreprendre des opérations cliniques basées sur des applications en ligne. Ils peuvent recourir à des systèmes mixtes en ligne et hors ligne ou à des systèmes entièrement en ligne.
La conception générale du système, y compris l'identification des liaisons de communication nécessaires, doit tenir compte des besoins en équipements mentionnés ci-après, en fonction du niveau dont relève l'établissement :
Postes de saisie des données
Chaque opérateur qui saisit des données sur un ordinateur à partir de formulaires sur papier a besoin d'un terminal à cet effet, à moins qu’il ne s’agisse de formulaires à scanner.
Si des formulaires à scanner sont utilisés, chaque site a besoin d'au moins un poste apparié à un scanner de formulaires.
Postes biométriques (si ces données sont considérées comme un identifiant unique et exigées)
Chaque site recevant des données a besoin d'au moins un poste de travail biométrique.
Ce poste est le lieu où les photographies sont prises et les empreintes digitales relevées pour favoriser l’identification ultérieure des personnes. Comme ce processus peut être chronophage, il y a lieu d’envisager de mettre un poste de travail à la disposition de chaque agent qui reçoit les demandes afin d'éviter de longues files d'attente.
Serveurs du registre central
Au moins un serveur d’une plus grande capacité situé au niveau central est nécessaire pour héberger le registre national de numéros d'identifiant uniques. En outre, au moins un serveur d’une plus grande capacité situé au niveau central est nécessaire pour recevoir et traiter les fichiers des transactions et générer des fichiers de réponse.
Serveurs de registre répartis sur différents sites
La plupart des pays ne voudront pas dépendre d'un seul serveur fonctionnant en permanence pour traiter toutes les demandes adressées au registre des patients ; en effet, la défaillance d'une seule liaison de communication ou d’un routeur provoquera une panne générale.
La solution à ce problème consiste à utiliser des serveurs régionaux ; toute panne n’affecte alors qu'une région et le dépannage aura des chances d’être simplifié.
Mise au point de logiciels
Les logiciels doivent être capable de supporter une interopérabilité accrue et des formules à code source libre, de sorte que les programmes de santé ne soient pas bloqués et condamnés à utiliser des logiciels brevetés. Le développement de logiciels devra prendre en considération les aspects ci-après.
Le choix de l'architecture appropriée de l'application est essentiel. En outre, cette architecture devra englober tous les éléments requis pour fournir le service, à savoir les serveurs, les postes de travail, les imprimantes, les logiciels et les installations de communication.
La conception de l'application devra intégrer des menus, des écrans, le comportement et les données de sortie. Il y aura lieu, pour cette étape de faire intervenir un expert qui examinera les formulaires, les déclarations et les fonctionnalités du système. Tout ceci constitue un cahier des charges du système qui facilitera le travail des développeurs de codes.
L'interopérabilité
Tout système d'information sanitaire national efficace doit permettre l’échange de données entre les établissements, les hôpitaux, les laboratoires, les pharmacies et les patients,
indépendamment de l'application ou de son fournisseur. Les cinq éléments prioritaires suivants sont nécessaires pour garantir l'interopérabilité des applications de soins de santé :
• le numéro d'identifiant personnel ;
• l'interopérabilité sémantique entre les ensembles de données ;
• des normes d'échange des données qui permettent la communication et l'agrégation des ensembles de données ;
• des ensembles de données de base ; et
• des données de haute qualité (50).
L'architecture du système doit être dotée de caractéristiques internes telles que
l'interopérabilité, mais aussi de caractéristiques externes permettant d’apporter des réponses aux principales questions de santé publique, notamment :
• Qui bénéficie des services de santé ?
• Qui offre ces services ?
• Où a-t-on dispensé ces services ?
• Quels soins ont-été dispensés exactement ?
Cet aspect sera particulièrement important pour promouvoir les soins différenciés en établissement et en milieu communautaire, comme l’illustre la Fig. 4.7.