Important - The information in this article is provided subject to the disclaimer. The law may have changed since first publication and the reader is cautioned accordingly.



Comment gérer les risques juridiques liés aux SIH ?

Les Systèmes d’information hospitaliers (SIH) deviennent de plus en plus complexes et nécessitent la prise en compte de contraintes spécifiques à intégrer lors de leur mise en œuvre ou leur réorganisation, notamment liées aux données de santé, au secret médical, à l’archivage, au droit d’accès des patients à leur dossier médical.

Cette complexité s’accompagne de nombreuses exigences juridiques qui relèvent de domaines du droit très différents et transversaux, du droit des marchés publics au droit de la santé publique sans oublier le droit de l’informatique et des données à caractère personnel.

La mise en œuvre et l’exploitation des SIH doivent ainsi intégrer une dimension juridique forte et souvent structurante, comme c’est le cas pour le droit d’accès des patients à leur dossier médical et l’intégration future du dossier médical personnel (DMP).

Les spécificités de la commande publique

Il convient tout d’abord de rappeler que peu de dispositions légales ou réglementaires sont consacrées ou concernent même indirectement les marchés publics informatiques.

Pour couvrir la diversité de l’objet des marchés (achat de matériel, licences d’utilisation, conception de logiciels spécifiques, formation, intégration, maintenance, …), deux types de Cahiers des Clauses administratives Générales (CCAG) sont appliqués à la plupart des marchés informatiques (CCAG-PI et CCAG-FCS) bien qu’ils ne soient pas toujours adaptés, car trop imprécis ou trop génériques.

De ce fait, certains risques opérationnels tels que notamment les dysfonctionnements, les niveaux de services et de performance des systèmes sont mal couverts.

Il est difficile d’anticiper et de gérer de tels risques opérationnels lorsque les documents contractuels ne prévoient pas, de manière pertinente, de dispositions précises relatives aux éléments clés du fonctionnement d’un système ou d’une solution informatique, tels que les conditions de maintenance, la détermination et le respect des indicateurs de services, un mécanisme efficace de pénalités incitatives, la gestion des anomalies d’une application stratégique touchant par exemple à la facturation.

L’expérience de ce type de projets montre que la solution est de construire un cadre juridique et contractuel intégrant et conciliant à la fois les exigences du droit public, au travers des CCAP et CCTP existants et les meilleures pratiques contractuelles du secteur privé.

Il est souvent opportun de déroger aux cahiers des clauses administratives et techniques habituels pour les adapter à la réalité et à la spécificité d’un projet tout en conservant un cohérence juridique.

Il peut s’agir également de favoriser un mode de passation permettant une négociation avec le ou les prestataires retenus afin de ne pas être enfermé au sein d’un périmètre d’exigences et d’obligations, établis, par définition, a priori.

L’objectif sera alors d’imposer des exigences spécifiques allant au-delà des dispositions inadaptés des documents génériques s’appliquant à la commande publique, ainsi que, le cas échéant, d’établir une convention de service dont les termes pourront se révéler tout aussi importants que ceux des autres documents contractuels.

Ces exigences doivent concerner également la phase d’exploitation du SIH, au travers notamment de l’organisation du suivi et du contrôle des prestations (réunion de suivi, audit par des tiers, contrôle du respect des engagements, notification et application des pénalités, …).

Les enjeux juridiques liés aux données présentes au sein du SIH

Au plan juridique, il existe de nombreux risques liés à l’exploitation de données à caractère personnel qu’il s’agisse de données de santé ou de données concernant les patients et les personnels d’un établissement de santé.

L’exploitation de telles données a en effet différents impacts en matière de respect de la réglementation Informatique et libertés, de sécurité informatique, d’hébergement par des tiers, d’archivage/conservation et de droit des patients.

En matière d’Informatique et libertés, la réforme de la loi sur la protection des données personnelles du 6 août 2004 a introduit de nouvelles règles, assimilant désormais secteur privé et secteur public, édictant le principe de déclaration préalable de tous les traitements auprès de la CNIL, à l’exception des traitements à risques spécifiques (interconnexion de fichiers, données sociales ou à caractère religieux) nécessitant un avis ou une autorisation de la CNIL.

En milieu hospitalier, des autorisations préalables peuvent être ainsi nécessaires pour les traitements comportant des appréciations sur les difficultés sociales (assistante sociale), des données biométriques pour le contrôle de l’identité (gestion des accès à certains services ou salles de l’hôpital) ou pour les traitements réalisés à des fins de recherches ou d’évaluation des pratiques de soins.

Il convient de préciser ici qu’aux termes de la loi du 6 août 2004 susvisée, les traitements ainsi autorisés ne peuvent servir à des fins de recherche ou d'identification des personnes.

Ainsi, les traitements des données issues des SIH et des dossiers médicaux ne peuvent être communiquées à des fins statistiques d'évaluation ou d'analyse des pratiques et des activités de soins et de prévention que sous la forme de statistiques agrégées ou de données par patient constituées de telle sorte que les personnes concernées ne puissent être identifiées.

La réforme de la loi informatique et Libertés introduit également la faculté pour tout organisme de bénéficier d'un allègement de ses obligations déclaratives dès lors qu’il désigne un correspondant à la protection des données personnelles.

Si le statut et les missions de ce correspondant doivent être précisées dans un décret d’application, il est acquis que cet interlocuteur privilégié de la CNIL devra avoir une connaissance de la réglementation Informatique et Libertés et des technologies informatiques qu’elles soient standards ou spécifiques à l’activité de l’organisme l’ayant désigné.

Selon la CNIL, les missions du correspondant consisteront notamment en la tenue de la liste des traitements, en la diffusion de la culture "Informatique et libertés" au sein de l'organisme l'ayant désigné.

Conseil en amont, pédagogie, audit et médiation, alerte sur les irrégularités constatées, feront ainsi partie de son rôle.

En matière de sécurité informatique, les SIH doivent intégrer, au titre des dispositions de l’article 34 de la loi Informatiques et Libertés susvisée, toutes précautions utiles pour préserver la sécurité des données contre une déformation, un endommagement, ou une divulgation à des tiers, sous peine de sanctions pénales allant jusqu’à cinq ans d’emprisonnement et une somme de 300 000 euros d’amende quintuplée pour les personnes morales (article L.226-17 du code pénal).

Le respect de cette obligation de sécurité légale passe également par la sensibilisation des utilisateurs aux problématiques de sécurité et d’accès informatiques.

Il s’agit de mener une politique de dissuasion visant à sensibiliser par le discours à tous les niveaux hiérarchiques et/ou dans le cadre de sessions de formation, ainsi qu’à informer et rendre opposable des règles de sécurité dans le cadre de chartes, de notes internes, ou du règlement intérieur.

Les utilisateurs n’étant pas les seuls acteurs concernés, la responsabilité des prestataires informatiques devra également être gérée, de manière spécifique, pour les prestations susceptibles d’impacter la sécurité des SIH et de leurs données.

Concernant l’hypothèse de l’hébergement de données par un tiers, il convient de rappeler que celui-ci doit faire l’objet d’un agrément spécifique au titre des dispositions de l’article L.1111-8 du Code de la santé publique, étant précisé que les établissements de santé sont considérés comme des tiers lorsqu’ils hébergent les données de santé d’autres établissements.

En matière d’archivage et conservation des données, le SIH doit également intégrer les obligations existantes en matière de conservation des dossiers médicaux dont la durée reste, à l’heure actuelle, hétérogène en fonction des différents critères retenus tels que la nature des pathologies.

A cet égard, un groupe de travail ministériel a été mis en place en vue d’une harmonisation des durées de conservation.

En matière de droit des patients, ces derniers bénéficient désormais d’un droit d’accès direct à leur dossier, ce qui impose d’intégrer l’exercice de cette faculté dans la conception ou la réorganisation des SIH

Les spécificités de cet accès sont principalement liées à l’horodatage et aux traces des accès ainsi qu’à l’identification des écritures/accès par les médecins entraînant la modification des dossiers médicaux.

Gestion des litiges informatiques

De plus en plus de difficultés techniques apparaissent lors de l’utilisation ou de la mise en œuvre de nouvelles solutions informatiques au sein des SIH.

Une mise en oeuvre qui dépasse les délais prévus, une application défaillante pendant plusieurs jours, peuvent entraîner une désorganisation ainsi que des pertes financières, notamment lorsque l’application touche à la facturation.

Bien évidemment, au-delà des dispositions contractuelles à mettre en œuvre, il reste difficile d’empêcher de prévenir et d’anticiper de tels risques.

Il s’agit donc d’organiser au mieux la prise en charge et de gestion des litiges, notamment en administrant, de manière probante (mise en demeure, constat, expertise, ...), la preuve des manquements du prestataire défaillant.

En conclusion, il apparaît nécessaire d’intégrer dans la mise en œuvre et l’exploitation des SIH la complexité et la transversalité des différents domaines juridiques applicables, en construisant un cadre juridique intégrant à la fois des mécanismes contractuels de droit privé et les exigences du droit public, en intégrant les aspects réglementaires dans la conduite de projet et en mettant en œuvre une politique de sécurité et d’archivage informatique.

De récents apports législatifs impliquent également de se positionner par rapport aux dispositions de la nouvelle loi Informatique et libertés et celles relatives aux droits des patients et aux DMP.

Article publié dans Revue Santé & Technologies N°43 mai-juin 2005.