Les enjeux du dossier médical informatisé

Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à  l'informatisation de l'action sociale

Le contexte
Les usages du dossier médical en question
Les usages individuels
Les usages collectifs
La gestion du dossier médical en pratique

Résumé

Le dossier médical est à la fois un outil de travail pour le praticien et un moyen d’archivage d’informations personnelles de santé. La mise en œuvre du " dossier de santé informatisé communicant " se heurte à de multiples obstacles qui obèrent sa pertinence : variabilité d’approches cliniques selon les professionnels, variabilité de la valeur des informations de santé dans le temps, respect de la confidentialité dans les échanges entre les professionnels de santé. Cela nous conduit à mettre en question l'efficience des projets de dossier médical unique chaînant l'intégralité des données de santé des personnes dans le temps. Ces fichiers sanitaires individuels accessibles par un identifiant permanent du patient (IPP) intéresseraient de nombreux acteurs du marché de la santé et pourraient comporter des risques de dérives politico-sociales. Les projets évoqués d’utiliser le NIR comme IPP aggravent le danger d'interconnexion de ces fichiers de santé avec ceux d'autres sphères publiques ou privées, et sont une menace pour les droits et libertés des personnes. D’autre part, l'usage sur un plan collectif des données de santé recueillies dans ces conditions ferait peser des incertitudes sur la validité des études épidémiologiques ainsi réalisées ; il serait aussi à craindre, à partir du traitement de ces informations, l'instauration de pratiques de contrôle social ou de ciblage de populations par profils, susceptibles de restreindre l'offre de soins.

Nous proposons que le dossier médical informatisé corresponde à des dossiers distincts répartis entre les différents praticiens qui suivent un même patient. Nous énonçons quelques principes pour garantir la confidentialité des données personnelles de santé. Nous affirmons que, pour décider du partage de l'information médicale individuelle, la primauté doit être donnée à la médiation humaine, dont seuls le patient et le ou les professionnels concernés seront acteurs.

Summary

Medical records are both a means for practitioners to run their offices and a medium to store personal healthcare information. Implementing " electronic healthcare record communication " faces numerous hurdles that compromise the relevance of such records : clinical approaches vary along different healthcare professionals, health information varies as time spans, complying with the confidentiality that is due to exchanges of such information varies from one healthcare professional to the other. That observation leads us to challenging the efficiency of some plans promoting the unique set of personal health records model in which the whole data refering to the same person is linked together within his or her lifetime. In that case, personal health files if accessible through a permanent patient identifyer will no doubt be of a great interest to many a players on the healthcare market but could entail risks of political and social abuses. Proposals brought forward of using our national identifier (NIR) as a PPI increases the danger of matching health files with other public or private files in other domains which already use that identifyer ; they are a threat to the rights and freedoms people are endowed with. On the other hand, using for public purposes health data that is collected in such conditions would question whether epidemiological surveys drawn out of such data are still convincing ; also, one might fear that, starting from the processing of such data, social control or population profiles targeting practices might be instituted and likely result in leading to restrict healthcare offer.

Our proposal is that electronic medical records are to be distributed into separate sets of records among the different practitioners who are in charge of the same patient. We phrase out some principles in order to secure the confidentiality needed by personal health data. We claim that, when personal medical datasharing is decided, priority should be given to human mediation the sole players of which should be the patient and the healthcare professional(s).

LES ENJEUX DU DOSSIER MÉDICAL INFORMATISÉ

Le contexte

Les technologies de l’information et de la communication (TIC) se développent rapidement dans le domaine de la santé, notamment  en matière :
......	de gestion administrative et financière, d’organisation des soins, de contrôle par la Sécurité sociale (système d’information hospitalier, PMSI, comptabilité..., gestion de cabinet) ;
	de gestion des données médicales : dossier médical individuel du patient, données issues des plateaux techniques (radiologie...), échanges entre professionnels de santé ;
	de gestion des connaissances médicales dans une optique d’amélioration de la qualité des soins (aide à la consultation et à la décision thérapeutique, banque d’informations médicales…) et d’information du patient (sites thématiques) ;
	d’exploitation collective, commerciale ou non, fondée sur la collecte et l’analyse de données individuelles à une grande échelle, (santé publique, intérêts commerciaux notamment la gestion des risques, marketing …).

La mise en œuvre progressive de ce vaste dispositif fait que le dossier médical informatisé est une pièce maîtresse, à la fois dans la logique du système de santé (administration du système de soins, évaluation, gestion comptable, etc.) et dans la logique du patient (accès de chacun à son dossier médical conformément à la revendication des associations).

Toutefois, les progrès attendus grâce à ce dossier informatisé ne doivent pas masquer certaines contradictions et certains risques du point de vue du patient et du citoyen.

Les usages du dossier médical en question

Des usages individuels

Le fantasme informationnel du dossier médical

En médecine ambulatoire ou à l’hôpital, le dossier médical est aujourd’hui à la fois un outil de travail pour le praticien et un moyen d’archivage d’informations médicales - cliniques et para-cliniques, biographiques et sociales -, constituées au cours du suivi médical. Il paraît utile de souligner les notions d’incertitude, de relativité, d’obsolescence, de non exhaustivité de son contenu.

En pratique, l’observation médicale de la même personne par deux praticiens différents pourra être très différente, y compris dans ses conclusions. Ce qui figure dans le dossier n’est qu’un reflet de l’état de santé d’un patient tel que l’a perçu et analysé le professionnel de santé, dans le cadre évolutif de la relation de soin. Lorsqu’il s’agit de transmettre des informations de santé vers une autre structure de soins, le médecin ne peut se contenter d’une simple copie d’extraits du dossier. Il doit au contraire se livrer à un travail de reconstruction en prenant du recul par rapport au contenu du dossier, et de sélection en fonction de l’intérêt du patient et de son droit au secret médical.

Les projets actuels de standardisation du contenu des dossiers médicaux et de codage des pathologies tentent d’unifier le langage médical, en niant la complexité de la démarche de soins. Les inévitables différences d’appréciation évoquées se traduiront par exemple par des codages identiques recouvrant en fait des situations différentes.

Ces processus, de par leur dimension réductrice, exposent au risque de substituer au patient son double informationnel !

L'efficience non prouvée du chaînage intégral des informations de santé

Aujourd’hui, les TIC permettent de constituer des dossiers regroupant l’intégralité des données de santé d’une personne, ce qui constitue pour certains une amélioration de la qualité des soins grâce à une meilleure continuité entre les différents épisodes de soins et entre les multiples structures de santé. En terme d’efficacité, ce projet se heurte aux limites déjà évoquées quant à la standardisation du dossier médical. Seules certaines informations ciblées en fonction du contexte d’emploi sont utiles pour l’événement de soins considéré. À ces doutes quant à l’efficience du chaînage systématique des informations de santé au sein du dossier s’ajoute une inquiétude majeure quant à ses conséquences pour les libertés individuelles : la perspective de voir se constituer pour chacun un fichier sanitaire exhaustif, avec ce chaînage des pathologies, véritable " casier sanitaire " qui permettrait une traçabilité de l’histoire de santé et de la biographie des personnes.

Les dangers d’un identifiant permanent du patient pour un dossier informatisé unique

Le respect du secret médical impose que le patient, et lui seul, ait le droit de choisir quelles informations personnelles de santé il veut ou ne veut pas transmettre, à qui et pour quelle durée. Aujourd’hui, la transmission de ces informations entre professionnels de santé suppose plusieurs intervenants humains, le patient qui doit donner son accord et les soignants concernés. Or, c’est dans ces interventions humaines que l’on veut voir toutes les insuffisances du système de soins actuel - subjectivité, lenteur, oublis, erreurs, voire dissimulations - auxquelles sont opposées de façon bien idéalisée la transparence, l’efficacité, la rapidité liées à l’emploi des TIC. D’où l’idée, très avancée aujourd’hui, d’un dossier de santé informatisé pour chaque personne, unique et permanent, centralisé ou réparti, mais accessible à tout moment et de partout grâce à un identifiant permanent du patient (IPP) affecté à la personne dès sa naissance et valide jusqu’après sa mort.

Pourtant, aux obstacles conceptuels liés à la standardisation du contenu du dossier s’ajoute la difficulté de modéliser l’équivalent du jugement ad hoc qui conduit le médecin dans chaque situation à transmettre ou non l’information et sous quelle forme. C’est pourquoi, nous affirmons, au vu des particularités de l’information de santé et de la nécessaire médiation des professionnels de santé quant à son utilisation, que la notion de dossier médical informatisé doit correspondre à des dossiers distincts répartis entre les différents praticiens ou les différents réseaux. Cette conception du dossier s’impose pour assurer une gestion de l’information de santé respectueuse des personnes. Et elle est incompatible avec le présupposé d’un dossier médical unique structuré par un IPP.

De plus, le concept d’IPP généralisé apporte dans un dispositif informatisé performant plus de menaces pour les personnes que d’avancées dans la qualité et l’organisation des soins. De multiples acteurs sont intéressés par la constitution, avec le dossier médical unique et l’IPP, d’une banque de données nominatives portant sur toute la population : les différents acteurs de ce qui constituerait un gigantesque marché, les gestionnaires du système de santé, les assureurs, les employeurs. Ceci sans compter avec les risques de dérives politico-sociales ! Tous les dispositifs de sécurité envisagés ont des limites, et les enjeux iront croissant avec le regroupement des informations au moyen de l’IPP. Les risques sont considérablement plus grands dans un système informatisé disposant d’une telle puissance, qu’à une petite échelle comme c’est actuellement le cas dans un cabinet médical ou un hôpital. A fortiori le projet évoqué explicitement, dans le cadre d’un rapport officiel, d’utiliser le NIR comme IPP fait resurgir la perspective inacceptable pour les libertés publiques d’interconnexion des fichiers de santé avec des fichiers émanant d’autres sphères publiques ou privées.

Des nouveaux droits pour le patient avec de nouvelles contraintes

Avec les évolutions législatives (droit d’accès direct au dossier médical) et techniques (dispositif SESAM-Vitale, réseau santé-social, intranets santé, dossier de santé informatisé communicant…), le patient sera confronté à la gestion pratique de ces nouvelles potentialités et de ces nouveaux droits.

Ainsi, selon les règles d’accès au dossier du patient qui seront consenties aux professionnels de santé, le patient, qui doit exprimer son consentement à faire enregistrer ses données de santé dans son dossier, sera confronté à un arbitrage permanent entre des enjeux contradictoires : utilité de la mention de certaines données mais risque d’utilisation ultérieure non souhaitée. Par exemple, le médecin propose de mentionner le diabète dont la personne est atteinte. Son intérêt immédiat est d’accepter dans une perspective de continuité des soins. Mais cette information ne risque-t-elle pas d’être utilisée ultérieurement à son encontre, par le médecin du travail ou celui d’une compagnie d’assurance, s’ils venaient à en prendre connaissance ? Quels seraient demain les risques de discrimination à l’embauche, à la souscription d’un contrat d’assurance, avec la mention de résultats de diagnostics génétiques présomptifs ?

En outre, puisque la validité des informations contenues dans le dossier médical doit être rapportée au contexte de leur recueil et leur pertinence reconsidérée dans le temps, le patient pourra être en difficulté pour apprécier, même en concertation avec son médecin, ce qu’il convient de transmettre ou non à un autre professionnel de santé. Il ne faudrait donc pas entretenir l’illusion d’une " transparence " idéale en matière de dossier médical.

À ces conflits d’intérêt et à ces difficultés propres au patient pourrait s’ajouter un conflit d’intérêt entre ce dernier et son médecin car d’éventuels désaccords sur l’intérêt de mentionner une information seraient potentiellement une source de conflit. Le médecin pourrait alors estimer que sa responsabilité professionnelle est susceptible d’être mise en cause par l’absence de cette information dans le dossier, sans oublier que la responsabilité du patient pourrait aussi être recherchée. Nul doute que ces difficultés viendraient renforcer les risques de " judiciarisation " des relations médecin-patient.

Des usages collectifs

Compte tenu des difficultés évoquées pour le codage des pathologies dans de nombreuses situations de recours aux soins (médecine générale, pédiatrie, psychiatrie, …, sphère ambulatoire ou milieu hospitalier) la validité de ce codage sera réduite par la difficulté d’obtenir un fort consensus parmi les codeurs (150 000 praticiens de santé non spécifiquement formés) sur la signification des codes et leur adéquation avec la situation qu’ils sont censés caractériser. Ainsi les études statistiques réalisées à partir du codage généralisé et exhaustif des pathologies incluraient de nombreux biais, conduisant à des risques d’analyses erronées et de prises de décision inadaptées.

Un risque de profilage social lié aux concentrations de données personnelles de santé

Les pouvoirs publics, au plan local et national, comme les organismes de protection sociale, pourraient être tentés par l’utilisation des données collectées à partir des dossiers gérés dans des bases de données relatives à la santé des personnes, dans une perspective de gestion ou de contrôle des populations dites " à risque ". À l’instar de la CNIL qui, à propos des données sociales avait exprimé sa " crainte majeure de voir se développer un fichier global des populations défavorisées et partant une sorte de cartographie de l’exclusion reposant sur la définition de profils individuels ou familiaux de précarité ", on peut s’interroger sur les possibilités que les dispositifs envisagés ouvriraient, en matière de fichage aux fins de contrôle social des populations (alcooliques, toxicomanes …).

L’intérêt des employeurs, des banquiers, des assureurs pour les bases de données relatives à la santé des personnes est tout aussi évident. Les risques de détournement de finalité le sont également, puisque justifiés au nom de la concurrence économique. Le " casier sanitaire " ainsi constitué pourrait aussi servir à cibler les malades par profils et à mettre en regard une offre de soins restreinte prédéfinie, ceci dans une logique de mise en concurrence des caisses de sécurité sociale avec les assurances privées. Qu’en serait-il des fichiers sanitaires des personnes constitués par ces caisses puis confiés au privé ? Les informations ne seraient-elles pas alors utilisées dans une logique assurantielle de sélection préalable des risques ou croisées avec les fichiers d’assurance vie, de prêts... ?

La gestion du dossier médical en pratique

Des principes pour garantir la confidentialité des données personnelles de santé

L’informatisation progressive des éléments constitutifs du dossier médical et la mise en œuvre récente de réseaux de soins s’appuyant sur les TIC, se sont cristallisées dans la notion de " dossier de santé informatisé communicant ", promue par la normalisation européenne. La volonté de faciliter la communication des informations personnelles de santé entre les professionnels du soin ne doit pas faire oublier que la confidentialité est le corollaire de la confiance du patient et qu’elle est inhérente à la relation entre le patient et son médecin. Elle doit rester prégnante dans la pratique de toutes les professions du système de santé, comme dans les principes de sécurité informatique mis en œuvre au sein d’une communauté de praticiens et de patients pour gérer les dossiers de santé ainsi constitués selon des droits d’accès et des échanges électroniques d’information respectant les volontés de chaque patient.

Ces quelques principes mis en œuvre dans une politique de sécurité informatique apporteront des garanties de confidentialité aux patients.
........	Tout membre de la communauté de soins, professionnel de santé ou patient, doit être identifié de façon unique, univoque et fiable dès son entrée dans la communauté. Puis chaque membre s’identifie, par exemple au moyen de la CPS pour le professionnel et de la carte Vitale pour le patient, afin que le système l’authentifie comme membre de la communauté.
	L’annuaire des membres de la communauté peut permettre à un patient de connaître les praticiens adhérents mais ne doit pas permettre à un praticien de connaître les patients adhérents.
	Le dossier est constitué sur la base des informations établies entre un médecin donné et chaque patient qui vient le consulter.
	Une partition des informations personnelles de santé distinguera les informations nécessaires aux professionnels de santé de l’équipe de soins, les informations auxquelles seul le médecin qui les a recueillies a accès au vu de leur caractère sensible ou subjectif, les informations objectives et factuelles qui peuvent être accessibles aux professionnels de santé en fonction du contexte de leur demande… Les notes personnelles du médecin sont exclues de cette partition.
	À tout dossier informatisé contenant des informations personnelles de santé doit être associé un contrôle d’accès qui permette de désigner les personnes ou groupes de personnes ayant le droit de lire le contenu du dossier et d’y ajouter des informations de façon systématique ou conditionnelle. Toute autre personne n’ayant pas de tels droits ne doit pouvoir y accéder.
	Le patient est habilité à définir la liste de contrôle d’accès aux différents éléments de son dossier.
	Le médecin qui a créé le dossier est habilité à modifier la liste de contrôle d’accès, en faisant respecter les volontés du patient dans le dispositif de santé.
	Le médecin doit informer le patient des modalités du contrôle d’accès, obtenir son accord sur la liste établie et le tenir informer de toute modification surtout si cela concerne des personnes qui ont accès à un grand nombre d’autres dossiers. Le patient peut faire rectifier la liste.
	Aucune autre personne que le médecin et le patient ne doit pouvoir effacer ou faire effacer tout ou partie d’un dossier avant sa date légale d’expiration, seules des informations peuvent être ajoutées pour mentionner le caractère erroné ou obsolète d’un élément constitutif.
	Tous les accès au dossier doivent être consignés en précisant qui a accédé à quoi quel jour à quelle heure et ce jusqu’à l’effacement du dossier.
	Toute communication à des tiers, dans ou hors de la communauté de soins, d’une information extraite du dossier ne peut se faire qu’avec l’accord du patient.
	Toute exploitation statistique des données extraites du dossier est subordonnée à l’application de règles d’anonymisation s’appliquant au patient et au médecin concernés.
La confidentialité de l’ensemble des données personnelles de santé doit être garantie, leur stockage et leur échange sur les réseaux de communication doivent aussi être sécurisés en assurant leur intégrité et leur disponiblité.

Une mise en pratique sous conditions

La réflexion ouverte par les nouvelles perspectives qu’offrent les TIC en matière de santé souligne la complexité et les contradictions des dispositifs à mettre en œuvre pour que ces progrès ne se traduisent pas par une atteinte au droits des personnes.

Un effort considérable de formation est un préalable indispensable dans les domaines informatique, juridique et médical pour l’ensemble des acteurs du système de soins, patients et professionnels de santé, c’est-à-dire de fait toute la population. Là encore, les inégalités socio-culturelles risquent de peser de façon significative sur l’exercice de ces nouveaux droits et nouvelles responsabilités. Soulignons par exemple qu’en médecine libérale, la sécurisation des données médicales, pour leur stockage et leur transmission éventuelle, est de la responsabilité du professionnel de santé, alors qu’il n’a généralement pas les moyens théoriques et pratiques de l’exercer.  

En outre, la mise en œuvre du dossier médical informatisé respectant l’ensemble des principes évoqués risque d’être difficile à réaliser dans le cadre de la consultation médicale, nécessairement limitée en temps, ouvrant ainsi la voie à de dangereux contournements de procédures qui mettent en péril le secret médical. Ne saurait non plus être négligé le risque de rigidification de la relation médecin-patient obérée par le souci d’aboutir à des conclusions normalisées. Ces contraintes et difficultés sont à mettre en regard des faibles bénéfices apportés, en termes de qualité de l’information, par l’instauration du " dossier de santé informatisé communicant " et les fortes tentations de le généraliser.

conclusion

Dans un processus d’informatisation tel que celui du dossier du patient, nous affirmons la prééminence de la personne sur une organisation façonnée par la technologie. Les seules potentialités de la technique ne doivent pas remettre en question le droit au respect de la vie privée qui implique confiance réciproque et médiation humaine.

Le sommaire