La sécurité, une idée à partager

Par

Publié le 23/03/2017

Le pilotage des systèmes d’information de santé est un jeu de société complexe. A plusieurs acteurs et avec des stratégies qui s’adaptent aux enjeux. Ceux de l’argent et de la banque ne peuvent être tout à fait les mêmes que ceux de la santé. Mais, à l’examen, les règles pourtant ne sont pas si différentes. Une récente rencontre* sur les systèmes d’information entre un banquier et un responsable de santé montre que « comparaison peut être raison ».

visuel Sécurité
Crédit photo : VICTOR HABBICK VISIONS/SPL/PHANI

Un cadre juridique doit être commun dans les politiques publiques. Surtout quand il est proposé de partager des données personnelles. Selon Philippe Burnel, délégué à la stratégie des systèmes d’information de santé du Ministère de la santé, « la puissance publique établit des référentiels d’opérabilité, de sécurité, d’identification et d’authentification ». Il faut « chaîner » la prise en charge du patient dans des règles établies notamment par la CNIL depuis 2007. Philippe Burnel rappelle que la loi de santé fait avancer le concept d’identification des patients. Il souligne, par ailleurs, la réalité du dialogue permanent qui existe avec la CNIL. Le secteur de la santé a ceci de particulier que les acteurs de santé sont disséminés et autonomes. Les pouvoirs publics ont donc besoin de créer des synergies et de « mettre de l’harmonie ». C’est la raison pour laquelle, il y a, dans les politiques publiques, un mélange d’obligations, d’incitations et de formations pour « propager le bon usage du numérique ». Et de rappeler les cinq champs d’intervention de sa direction en direction des équipements des professionnels. La coordination, la e-santé au sens de la mise en place de « l’empowerment », la télémédecine et la télésurveillance et enfin l’aide à la décision sont ses champs d’intervention. Il rappelle que la télémédecine et la télésurveillance relèvent de la gestion du risque qui sans doute laissera, dans un temps prochain, place à des prises en charge des frais. Quant à l’aide à la décision, le modèle économique reste mal défini. Mais dans le cadre du repérage d’alerte, les perspectives des big data offre un grand champ de développement. « Confronté au système bancaire, le système de santé a évidemment des spécificités. Pour autant, il peut se comparer aux phénomènes de transformation que la banque a elle-même mis en place avec succès.

Protéger la donnée

Xavier l’Official, directeur de la transformation, des processus et des systèmes d’information du groupe Société générale, pilote l’ensemble des systèmes d’informations de la Société générale, soit 150 000 collaborateurs dans 60 pays, 31 millions de clients et 20 000 informaticiens. La Société générale connaît 800 000 interventions digitales tous les jours avec ses clients. Ces chiffres astronomiques augmentent de 50 % tous les ans. La relation avec les clients s’appuie, selon le responsable informatique de la banque, sur les données. Il faut donc les protéger. Mais il s’agit aussi de gérer la transformation de l’entreprise et du secteur. La transformation digitale est fondée sur « l’open innovation » à base de relations étroites avec les start-up. De son côté, il rappelle que les positions entre la banque et la santé sont sans doute comparables, car si 91 % des français font confiance à leur médecin, 83 % font aussi confiance à leur banque. L’enjeu de la confiance est donc essentiel. De ce fait, la protection des données est capitale. « Nous devons être vigilants sur les secrets pour protéger les données ». Les virus, les attaques ciblées et sophistiquées même étatiques doivent être contrées ». Et il poursuit, « la protection de la donnée et sa maîtrise est à la base de notre métier. Nous devons mettre en place des systèmes d’authentification, de chiffrements, de reconnaissances, de biométrie très performants. Et regarder tous les maillons de la chaîne pour protéger nos clients. ». Il faut, en effet, que les informaticiens puissent détecter et diagnostiquer tous les évènements et notamment ceux qui ne sont pas classiques.Pour se protéger contre les attaques, une culture d’entreprise doit être assurée afin que chacun comprenne l’importance de la donnée.

Montée des périls

A cette évocation, le responsable de santé qu’est Philippe Burnel, souligne également que la Cnil et les responsables de structures, eux-mêmes, déterminent les actes interdits. Les contrôle d’accès, la traçabilité, l’authentification font partie de leurs obligations. Car le système de santé est « confronté à une montée des périls ». Il est nécessaire que les structures puissent, individuellement et par filière, se protéger. Car un accident informatique, comme cela est arrivé notamment dans des laboratoires ou les hôpitaux à l’étranger ou en France, peut entraîner des pertes de chances pour les patients. Il faut agir à la fois sur les outils mais aussi sur les comportements humains. Et faire des tests avec les acteurs.

Conférence organisée par Vieviewer, Paris, le 19 janvier 2017.