Le dossier médical informatisé entre déontologie et management moderne
La Médecine est une science humaine qui repose sur un principe fondateur et seul garant de sa pérennité : le secret médical. Ce secret, clé de voûte de la relation médecin-malade et seule garantie du patient, constitue un pilier de la déontologie depuis l’Antiquité et peut être défini comme l’obligation de discrétion et de respect de la personne du patient. Cette obligation ne se limite nullement au médecin, mais s’étend à tout le personnel habilité à participer aux processus de soins ce qui inclut le corps paramédical, les étudiants stagiaires...etc.
Dr Mohammed CHERKAOUI
Avec l’avènement en masse de l’informatique et des nouvelles technologies de communication, le transfert de l’information ne connaît plus aucune limite géographique et un courrier électronique peut faire le tour du monde en quelques fractions de seconde. Cette dématérialisation du contenu est certes bénéfique, mais prend un tout autre aspect moins élogieux dès qu’il s’agisse de sécurité et de confidentialité, et pour cause : le risque informatique est plus que jamais d’actualité, qu’il soit dû à une erreur humaine, imputable à un ordinateur ou motivé par une intention criminelle. Maintenant que les dossiers patients abandonnent progressivement leur vieillissant support papier pour se tourner vers une version informatisée et dématérialisée stockée sur ordinateur, quels sont les risques encourus et surtout comment y faire face ?
Dr Saad CHAACHO : Comment peut-on définir le risque en informatique ?
Pr Al Mountacer CHEFCHAOUNI : Un risque en informatique peut être défini par l’association de deux facteurs péjoratifs, à savoir la menace et la vulnérabilité, et un troisième facteur limitant, la contre-mesure. La menace représente l’action susceptible d’engendrer un problème, par exemple un virus informatique, voire une panne du secteur. La vulnérabilité, elle, représente le degré d’exposition du système informatique à cette même menace. Finalement, la contre-mesure englobe les actions entreprises pour faire face à la menace et réduire la vulnérabilité du système.
Dr S.C. : Il s’agit donc d’une définition similaire à la notion de risque en Médecine ?
Pr A.C. : Tout-à-fait. A titre de comparaison, ça reviendrait à illustrer le risque par un germe, la vulnérabilité par l’immunodéficience du patient et la contre-mesure par la vaccination ou la prophylaxie.
Question : Quelles sont les menaces pouvant affecter un dossier patient informatisé ?
Réponse : Un dossier patient informatisé demeure avant tout un fichier informatique stocké sur un serveur et normalement accessible via un réseau pour exploitation. Par conséquent, il est sujet à tous les risques informatiques traditionnels destructeurs de données, auxquels il faudrait ajouter les risques inhérents à la divulgation du contenu confidentiel protégé par le secret médical régissant notre métier. On peut ainsi citer les virus informatiques, le facteur humain qui est le plus souvent négligé malgré son implication cruciale, les pannes de matériel, les erreurs de programmation, le piratage informatique par une personne malintentionnée ou encore les cas de force majeure comme les incendies ou les coupures de courant.
Question : S’agit-il de risques évitables ?
Réponse : Bien que le risque zéro soit illusoire en informatique, il faut tout de même savoir que la plupart des risques peuvent être évités, au même titre que la prophylaxie en pratique médicale qui vise à diminuer l’incidence des maladies humaines. L’élaboration de contre-mesures efficaces est un processus laborieux réparti en plusieurs phases : l’identification des menaces potentielles, la proposition de solutions pour chacune d’elles et leur application à un stade précoce pour éviter justement l’éclosion du problème.
Il s’agit donc d’un processus rétroactif qui mérite une attention particulière pour ne pas mettre en péril le système en cours de construction.
Question : Vous avez parlé du facteur humain comme menace, pouvez-vous nous en parler ?
Réponse : Prenons l’exemple d’un ordinateur sous Windows ayant été infecté par un virus informatique. Bien que le virus y soit bien entendu impliqué, il n’en demeure pas moins un simple agent s’étant introduit suite à une erreur humaine, dans notre cas le téléchargement d’un fichier douteux, par exemple. De même, il est déplorable de constater que le meilleur système de protection de données au monde puisse être mis en péril par une personne ayant communiqué son mot de passe à un tiers au détriment des consignes de sécurité. Ceci est par exemple vrai pour le cas des réseaux sans fil Wifi que l’on retrouve maintenant un peu partout au Maroc, et qui, contrairement aux réseaux câblés, ne sont pas arrêtés par les cloisons, ni les murs. Or, le Wifi est conçu dès l’origine pour être sécurisé au moyen d’une clé d’accès, mais on constate souvent des réseaux sans fil ouverts y compris certains appartenant à des sociétés ou des organismes importants. La formation du personnel en matière de sécurité informatique est donc prioritaire pour accompagner les contre-mesures techniques mises en place par les techniciens et les ingénieurs.
Question : Vous préconisez alors des mesures de sécurité draconiennes pour le dossier patient informatisé ?
Réponse : En informatique, il faut toujours un juste milieu pour éviter les déconvenues. Prenons l’exemple d’une vidéo-conférence. Plus votre débit est élevé, meilleure sera la qualité de votre image. Mais un débit élevé implique une monopolisation des ressources de votre réseau et des prix plus élevés.
De même, un système sécurisé à l’extrême perd sa convivialité et sa facilité d’utilisation en forçant l’utilisateur à intervenir constamment pour interagir avec le système de sécurité plutôt que de se consacrer à son travail. C’est le cas par exemple du dernier-né de Microsoft, j’ai nommé Windows Vista, où l’UAC force l’utilisateur à confirmer chaque action pouvant constituer un risque pour l’ordinateur. Entreprise louable, certes, mais tellement répétitive que l’utilisateur agacé finira par désactiver complètement l’UAC pour retrouver une utilisation normale au risque de rendre sa machine plus vulnérable.
Question : Comme un dossier patient informatisé demeure un fichier informatique, comment peut-on restreindre l’accès aux autres manipulateurs non tenus par le secret médical dont les techniciens ou les ingénieurs réseau ?
Réponse : En effet, il est naturel que les professionnels de l’informatique puissent accéder aux dossiers patients informatisés pour leur entretien ou la mise à jour du programme les régissant. Ils peuvent également être amenés à manipuler des données au besoin, par exemple lors de la migration d’une ancienne architecture vers une plus moderne. Toutefois, la plupart des logiciels et systèmes de gestion du contenu médical informatisé prévoient des niveaux d’accès différents communément appelés privilèges en informatique. Ainsi, même s’il est muni d’un couple login/mot de passe valide, un informaticien ne devrait pas pouvoir accéder au contenu médical, mais pourra toutefois manipuler le logiciel dans le cadre de ses attributions.
Précisons pour finir que même si les techniciens ne sont pas expressément tenus par le secret médical, il reste de leur devoir civique et moral de préserver la confidentialité des données qu’ils manipulent au titre du secret professionnel.
Question : Pensez-vous finalement que la problématique de la sécurité informatique puisse être une entrave majeure à l’adoption de ces dossiers informatisés ?
Réponse : Si la sécurité est une préoccupation majeure, on ne doit pas pour autant renoncer à la technologie pour peu qu’elle ne soit pas fiable à 100%.
Quand on se penche objectivement sur la question, on se rend compte que les avions et les réseaux banquiers sont également régis par des systèmes informatiques conçus par l’Homme donc imparfaits, pourtant les avions volent tous les jours et des milliers de transactions sont menées à travers le monde via les réseaux. Tout est donc question de compromis.
lopinion.ma
Mar 19 Fév - 9:09