Des données de santé sous bonne garde

L’hôpital regorge de métiers méconnus, d’acteurs discrets dont le rôle est pour autant absolument essentiel à la bonne marche de l’institution. Les questions relatives au recueil, au traitement et à la protection des données sont de plus en plus médiatisées. Pourtant, qui est véritablement informé de l’existence, au sein de l’AP-HM, d’une cellule chargée de la mise en application du Règlement Général sur la Protection des Données (RGPD) ? Qui a connaissance de l’obligation, pour tout hôpital, de nommer un Délégué à la Protection des Données ?
 

Petit rappel contextuel : 

En 1978, l’adoption de la Loi Informatique et Libertés permet de poser les premiers jalons de ce qui est déjà devenu un enjeu global et crucial : la protection des données collectées et partagées informatiquement. Avec le libre-échange et le développement exponentiel du numérique, l’Europe se dote par la suite d’un texte unique, applicable à tous les habitants de l’Union, en votant en 2016 le Règlement Général sur la Protection des Données. Avec un délai de 2 ans pour sa mise en application complète, le texte instaure un cadre unifié tout en laissant aux Etats Membres de l’Union la possibilité de préciser au moyen de son droit propre une cinquantaine de points du règlement européen. Sur ces points, le droit spécifique s’applique, en l’occurrence pour la santé le code de la santé publique.
 
Les données de santé sont des données sensibles. Elles relèvent du secret professionnel car elles touchent l’intimité des personnes. Le RGPD exige à leur égard une attention particulière tant pour leur protection que pour le respect de la vie privée des personnes qu’elles concernent. Leur divulgation peut avoir de graves répercussions dans la vie personnelle, le parcours professionnel et les relations sociales. Le dossier médical notamment, ne doit en aucun cas pouvoir être consulté, transmis ou exploité à d’autres fins que la prise en charge et le suivi du patient. Si l’on souhaite réaliser de la recherche médicale sur la base des données acquises pour le soin, des mesures d’information des personnes doivent être mises en œuvre selon des méthodologies bien précises.
 

Un rôle de Chef d’Orchestre :

A l’AP-HM c’est le Docteur Danièle BLANC, Déléguée à la Protection des Données (DPO), qui veille avec son équipe à l’application de la réglementation et à la mise en conformité de tout traitement de données établi au sein de l’institution :
 
« Le rôle du Délégué à la protection des données est d’informer, de conseiller l’institution et ses personnels sur le respect de la législation en vigueur, et d’accompagner la mise en conformité dans l’usage des données de santé. Il sensibilise le personnel. C’est un peu un chef d’orchestre qui coordonne les actions, accompagne leur déploiement. Le DPO n’est pas là pour bloquer l’utilisation des données personnelles mais bien pour aider à sécuriser leur utilisation : c’est un point important qu’il faut souligner. »
 
Qui dit « chef d’orchestre », dit nécessairement vision d’ensemble et grande polyvalence. Le DPO et son équipe doivent connaître de l’intérieur le fonctionnement de l’Hôpital afin d’être conscients des réalités de terrain, de communiquer et d’agir en conséquence. Ils doivent également être compétents en informatique, pour être à-mêmes de collaborer étroitement avec la Direction des Services Numériques et le Responsable de la Sécurité des Systèmes d’Information (RSSI). De bonnes connaissances juridiques sont en outre requises de manière à pouvoir travailler avec des instances telles que la Direction des Affaires Juridiques de l’hôpital, la Commission Nationale de l’Informatique et des Libertés (CNIL), la Haute Autorité de Santé (HAS) et l’Agence du Numérique en Santé (ANS). Enfin, l’évaluation et la gestion des risques ainsi que la réactivité en cas de crise viennent s’ajouter au panel de compétences déjà mentionnées.
 
« Les quatre éléments fondamentaux pour lesquels nous travaillons avec l’aide des professionnels spécialisés (sécurité informatique, juristes,…) sont les suivants :

- Confidentialité
- Disponibilité des données
- Intégrité des données
- Traçabilité

Selon trois axes : technique, organisationnel, juridique.
A partir du moment où nous pouvons garantir chacun de ces critères et en apporter la preuve, nous sommes en adéquation avec la réglementation. » (Dr Danièle BLANC)

Un travail d’enquêteur :

Pour cela, la cellule RGPD effectue un travail de fond considérable qui consiste à établir une cartographie et un registre des traitements de données réalisés sur l’ensemble du CHU. Ce registre sert de base à la mise en conformité et son suivi. Les deux principaux types de données sont celles qui émanent des patients, et celles relatives aux agents, mais de nombreux domaines spécifiques viennent s’y ajouter tels que la recherche, les contrats avec des sociétés sous-traitantes, les commandes et achats...

« C’est un peu un travail d’enquêteur... et de diplomate ! Il faut expliquer l’intérêt des mesures, rappeler les grands principes et détailler les spécificités. Informer de l’impact que cela peut avoir lorsqu’un agent déroge au règlement en consultant par exemple le dossier d’un patient extérieur à son service (bris de glace) » explique Edouard DELAMBRE, technicien informatique et membre de l’équipe.     

La tâche est d’autant plus immense que l’hôpital est grand, les outils numériques et les usages de l’informatique en perpétuelle évolution, obligeant l’équipe à réadapter en permanence les stratégies et les moyens mis en œuvre. Des  fonctions encore méconnues dont les multiples facettes et ramifications les rendent à la fois incontournables et passionnantes.