Sécurité des données de santé : le I loin devant le C par Cédric Cartau, RSSI du CHU Nantes

Faites cette petite expérience amusante. Vous êtes Michel Jaury et vous vous rendez dès 9h à votre agence bancaire. Courtois, le guichetier vous demande ce qu’il peut faire pour vous. Vous lui expliquez alors qu’il y a 6 mois, vous avez ouvert – par erreur – un autre compte dans cette agence, mais – toujours par erreur – sous le nom de Miguel Raujy. Regrettable erreur, d’autant que cela fait 6 mois que vous effectuez des opérations : virements, paiements par carte, opérations de bourse, etc. Si le guichetier avait l’extrême amabilité de bien vouloir transférer toutes ces opérations en les fusionnant avec votre vrai compte – celui au nom de Michel Jaury – vous lui en seriez très reconnaissant. Bien entendu, vous ne souhaitez pas clôturer les anciens comptes et transférer le solde sur les vrais comptes, non non : vous souhaitez juste une fusion des comptes, tenant compte des soldes au fil de l’eau, des contraintes d’intégrité des opérations, etc. Et pour corser le tout, le surlendemain vous retournez dans la même agence pour signaler qu’en fait la fusion des comptes a été réalisée par erreur, et qu’il faut éclater les comptes pour retrouver la situation d’origine.

Cette situation est impensable dans le monde bancaire, autant que les télécoms ou les assurances. Elle est pourtant très régulière dans le monde de la santé : on estime que dans un CHU de taille médiane (environ 8000 agents), il y a entre 30 et 50 fusions par jour : un même patient connu sous deux identités différentes et dont il faut fusionner les comptes-rendus d’examens, les fiches d’allergie, etc. La raison ? Les erreurs humaines de saisie des identités, les identités devant être créées à l’aveugle car le patient est dans l’incapacité de décliner son nom, les erreurs sur les cartes VITALES (très fréquentes), les orthographes de nom complexes, etc. Et il y a entre 2 et 5 éclatements (deux patients connus par erreur sous le même nom) ou dé-fusion (annulation de fusion faite par erreur). Aucun système GRC (Gestion de la Relation Client) classique ne sait prendre en compte de telles contraintes.

Pourquoi une telle situation ? Parce que dans une agence bancaire, les agents arrivent généralement sur leurs deux pieds et en possession de leurs moyens physiques et intellectuels. Et que dans une agence bancaire, ce sont la plupart du temps les mêmes clients qui viennent, et qui sont très vite identifiés par les employés. Il est tout de même rare et c’est heureux que l’on puisse faire un retrait d’espèces au guichet sans que l’agent ne soit pas certain de votre identité, soit qu’il vous connaisse soit qu’il vous demande un document officiel.

Dans un hôpital, une partie des gens n’arrivent pas sur leurs deux jambes : urgences, coma, etc. Une partie des gens ne sont pas en mesure de décliner leur identité : nouveau-nés, patients atteints d’Alzheimer, étranger en villégiature ne parlant pas notre langue, grands accidentés, etc. Une partie n’est d’ailleurs même pas vivant : noyés ou suicidés repêchés dans le fleuve le plus proche, etc. Et puis d’ailleurs une partie ne sont mêmes pas entiers : organes artificiels en attente de greffe ou morceaux de cadavre en attente d’autopsie. Et enfin une partie des patients ne sont même pas des gens : les laboratoires d’un CHU réalisent des analyses de sang pour bon nombre de vétérinaires locaux, et pour identifier un chien « médor » ou « kiki » c’est un peu juste.

Et malgré tout cela, il faut bien identifier le patient, le rattacher à un dossier existant ou en création et ce de façon unique, certaine et avec le minimum de risque d’erreur. Il faut attribuer un identifiant (IPP ou identifiant permanent du patient) sans quoi il est très difficile de réaliser des analyse de sang : dans un CHU, un laboratoire de biochimie analyse entre 6000 et 10 000 tubes par jour, autant dire qu’on est dans de l’industriel et les tubes sont identifiés par des codes-barres, eux-mêmes rattachés à l’IPP du patient à l’origine de la prise de sang. Une erreur peut coûter cher : donner de l’insuline du mauvais type à un diabétique le tue tout simplement. En d’autres termes, pour prendre en charge la masse de patients qui se présentent tous les jours à l’accueil et aux urgences (entre 200 et 500 personnes dans un CHU), il est indispensable de les identifier de manière certaine, de les raccrocher à un dossier patient, de connaître leurs antécédents, etc. Certes il est possible de refaire tous les examens en cas de doute, mais dans un tel cas on ne connait pas les antécédents de la personne (est-il sous traitement ? A-t-il pris ses pilules ? Y a-t-il des incompatibilités ?) et cela constitue une perte de chance dans le processus de soins : on perd plusieurs heures, et dans le cas d’urgence vitale c’est délicat.

L’identito-vigilance (IV) est le domaine qui consiste à édicter des règles pour saisir les noms de manière uniforme dans un dossier patient, attribuer un IPP stable, et débusquer les erreur à toutes les étapes de la chaîne de traitement. Après 15 années passés dans le monde de la santé, je suis toujours effaré de voir qu’un nouveau cas non documenté est détecté chaque trimestre ou presque : personne âgée ayant été naturalisée et donc la carte vitale mentionne un nom différent de la carte d’identité, VIP souhaitant l’anonymat et souffrant pourtant d’une pathologie ou il vaut mieux ne pas se tromper dans les doses, etc. Les bracelets à code-barres sont un progrès, mais récemment, en pédiatrie de mon établissement, une famille et ses jumeaux (deux garçons d’environ 6 ans) patientent en salle d’attente pour des examens sur les enfants. Ces derniers, un peu turbulents, ne trouvent rien de mieux pour s’amuser que d’échanger leurs bracelets mentionnant leur identité en cachette des parents : le personnel de soins s’est aperçu de l’échange au dernier moment…

La presse nationale se fait régulièrement l’écho d’incidents de sécurité ayant conduit à la divulgation de dossiers de patients sur Internet. Un des derniers en date, le laboratoire Labio, qui s’est vu dérober des résultats d’analyses de patients ensuite publiés sur le web. Selon le magazine 01Net, il s’agit d’une fuite de plusieurs centaines de pages Word et des données médicales de 15 000 français (notons que Labio a exercé son droit de réponse auprès du magazine et affirme, dans sa version, qu’il ne s’agit que de 11 comptes-rendus de résultats ainsi que des comptes et des mots de passe d’une liste non précisée d’utilisateurs). Les autorités s’offusquent et semblent croire que, dans le monde de la santé, la confidentialité est la préoccupation première. En fait, c’est inexact. Il existe des domaines pour lesquels la confidentialité est la première préoccupation : cela concerne tout ce qui touche à l’anonymat (dont les cas sont définis par décret, comme le dépistage VIH, les IVG, les accouchements sous X, etc.) et le médico-social (psychiatrie par exemple). Mais en dehors de ces cas qui ne sont pas la majorité, la première préoccupation et de très loin est l’intégrité, qu’il s’agisse de l’identité des patients ou des données saisies dans les systèmes. [Voir précisions des Laboratoires Labio]

En 2004, à l’hôpital d’Epinal, dans le service de radiothérapie, un nouveau logiciel est livré pour le PC qui pilote le système d’irradiation. Dans cette nouvelle version, un champ a changé : il était avant exprimé en « milli-quelque chose », dans la nouvelle version il est exprimé en « quelque chose » (soit mille fois plus). La nouvelle version est parfaitement documentée, mais l’établissement n’a pas mis en place les procédures nécessaires pour qualifier la nouvelle version, informer les agents du service, etc. Bilan : environ 5500 personnes sur-irradiées, dont 25 gravement et 5 morts.

Il n’y a jamais eu de morts, dans le monde de la santé, par défaut de confidentialité. Il n’y en a pas eu mais cela viendra, par défaut de disponibilité (panne de systèmes). Il y en a eu, et il y en aura d’autres, par défaut d’intégrité. Toutes ces différences avec les autres domaines tel le monde bancaire précédemment évoqué n’en sont pas en fait : chaque domaine possède sa hiérarchie des risques, qui lui est propre. Quand on manipule de l’argent, le risque maximal est d’en perdre : ce n’est ni bien ni mal, c’est juste comme cela. Quand on manipule des patients, le risque majeur est aussi d’en perdre. Dans le monde de la santé, l’accent est souvent mis sur l’intégrité pour cette même raison, et la confidentialité vient bien après.

Le dossier médical le plus confidentiel au monde est celui auquel personne n’a accès. Quand vous êtes en villégiature à l’autre bout de la France avec votre petit dernier qui souffre d’hémophilie (4000 cas sur le territoire), que préférerez-vous s’il tombe et se met à saigner : que le praticien local ait accès à son dossier médical quitte à ce que celui-ci soit ouvert à un peu trop de monde, ou qu’il traite à l’aveuglette ?

Cédric Cartau, RSSI du CHU Nantes

PRÉCISIONS DES LABORATOIRES LABIO :

Les pirates n’ont pas divulgué les données médicales de 15 000 personnes mais les résultats d’analyses de 7 personnes, soit 11 résultats d’analyses au total.

Les « centaines de pages Word » ne comportaient qu’une liste d’identifiants et de mots de passe, désactivés avant leur divulgation et utilisables que sur notre site internet.

Le site internet des pirates sur lequel les données ont été dévoilées n’était accessible que sur le darknet. Ce site et leur compte twitter ont été très rapidement fermés.

Nous tenons à assurer nos patients que la sécurité et la confidentialité de leurs données sont notre priorité. Tous les moyens à notre disposition sont mis en œuvre pour en assurer leur défense et leur protection.