Bilan de l’analyse comparative
L’étude de ces différents pays, avancés en termes d’informatisation de la santé nous permet de tirer plusieurs conclusions sur le niveau de réglementation des risques et l’évolution de la prise en compte de ces risques:
Confidentialité: suffisamment réglementée ?
Tout d’abord, on remarque qu’au moment d’introduire un SIS, les risques concernant la confidentialité sont souvent les premiers à être abordé et réglementés. C’est en effet, une préoccupation fondamentale dans le domaine de la santé qui a toujours été importante pour les patients, qui voient depuis longtemps la garantie de la confidentialité dans leur traitement incluse dans la déontologie médicale.
Ainsi, on remarque que l’ensemble des pays disposent de législations sur la confidentialité des données médicales. Pourtant si on reconnaît que les risques de bris de confidentialité sont différents avec l’utilisation des nouvelles technologies et évoluent, souvent, la réglementation est conçue et adoptée au moment de l’implantation et n’est pas ou peu rectifiée par la suite.
Or, il est difficile d’identifier tous les problèmes de confidentialité potentiels dès le départ et dans de nombreux cas, des améliorations ne sont souvent possibles qu’avec le recul (en allant notamment recueillir l’avis des praticiens qui utilisent la technologie à tous les jours).
Autre exemple, les mesures prises pour protéger la confidentialité des données sont souvent prises en fonction d’un élément extérieur (comme une cyber-attaque), alors que de nombreux bris de confidentialité proviennent l’interne {Protti D. , 2004). Cette autre sorte de menace à la confidentialité, souvent sousévaluée, demande des mesures de protection des données différentes, mais aussi de nouvelles façons de se rendre compte et de contrôler les abus. D’autres menaces proviennent de l’évolution continue des technologies et de leur environnement.
Par exemple les SIS deviennent plus mobiles (clés USB, tablettes, téléphones intelligents … ) ce qui pose constamment de nouveaux enjeux de protection de la confidentialité non pris en compte par des lois plus anciennes, alors que de plus en plus de personnes s’inquiètent du respect de leur vie privée avec l’implantation des nouvelles technologies. {Collier, 2012)
Intérêt porté uniquement sur les patients
Un autre point intéressant est le fait que toutes les inquiétudes soulevées sur la confidentialité et sur les changements de la pratique médicale apportés par l’implantation des SIS sont concentrées sur les risques pour le patient. On ne parle que peu de la mutation de la pratique pour les médecins : des dossiers qui n’étaient d’abord visibles que par leur auteur, peuvent aujourd’hui être consultés par un certain nombre dans leurs confrères, ce qui engendre forcément un certain nombre de changements de comportement pour les médecins. Il y a aujourd’hui surement une place pour ce genre de témoignage et pour la documentation de ces questions, mais elles ne prennent pas encore leur place dans le débat sur les SIS.
Grandes différences en sécurité de l’information
Les risques qui concernent la disponibilité ou l’intégrité sont gérés de façons assez différentes. Certains États ont de fortes législations pour contraindre les vendeurs de SIS à considérer ces aspects de sécurité dans leur conception. D’autres pays par contre laissent plus de latitude au marché, les médecins et hôpitaux sont les clients et c’est à eux de faire leur demande en termes de sécurité aux vendeurs. On peut dire que cette deuxième façon de faire est plus courante dans les pays ayant une plus longue habitude des SIS, où ils sont implantés depuis plus longtemps (Danemark, Nouvelle-Zélande) et où la législation trop forte a plutôt été perçue comme un frein à l’informatisation.
Émergence des questions sur l’intégration harmonieuse des SIS
L’intégration du SIS dans les organisations de santé combinées aux comportements et aux habitudes des humains ainsi que les risques qu’elles occasionnent deviennent des questions de plus en plus en émergence : c’est à la fois un sujet nouveau et qui intéresse beaucoup les chercheurs en informatique de santé. On se rend compte que des erreurs que l’on qualifiait souvent d’erreurs humaines sont induites en grande partie par la technologie. Les recherches récentes se concentrent de plus en plus sur l’ergonomie des interfaces des SIS ou sur la personnalisation et l’adaptation des SIS de base à chaque organisation pour mieux répondre à ses besoins et s’ajuster aux processus en place. (Borycki, Kushniruk, Keay, Nicoll, Anderson , & Anderson , 2009) (Phansalkar, et al., 2010). On dénombre encore peu de législations majeures dans ce sens même si des initiatives commencent à naître et qu’on assiste à des prises de conscience grâce aux recherches de plus en plus nombreuses.
Les réactions face aux risques en Alberta
les actions réglementaires encadrant les divers SIS se concentrent essentiellement autour des risques liés à la sécurité des informations. le règlement principal gérant l’informatique de santé est la «Health Information Act» (HIA}. En ce qui concerne la disponibilité et l’intégrité des données, des règles précises sont imposées aux concepteurs des SIS. Les trois entreprises sélectionnées pour le programme POSP ont dû satisfaire à une liste d’exigences appelée VCUR: «Vendor Conformance and Usability Requirements», mis à jour en 2008. De plus, des critères de disponibilités et d’intégrité tout au long de l’utilisation sont définis et à chaque fois qu’un SIS sort de ces critères et que le concepteur ne peut pas régler la situation dans des délais prescrit, il y a une publication du problème assortie de sanctions pouvant aller jusqu’à la rupture du contrat. Les entités stockant des données et qui veulent se connecter au portail Netcare doivent passer par une sorte de certification: «Provincial Organizational Readiness Assessment» (PORA) qui garantit que les critères de la HIA sont respectées. Au niveau de la confidentialité, il y a différents niveaux d’accès qui correspondent aux besoins des différents professionnels («need-to-know basis») dans le portail Netcare. Par exemple un employé administratif n’aura pas accès aux données médicales mais seulement aux données démographiques). De plus, chaque organisation et professionnel qui souhaite recevoir du financement pour l’implantation ou se connecter au réseau Netcare doit remplir une sorte d’engagement de respect de la vie privée («Privacy Impact Assessment») prévue dans la HIA, en expliquant la gestion qui sera faite pour garantir la confidentialité des données, et suivre une formation au sujet du respect de la vie privée. Il y a des sanctions prévues en cas de comportement contraire à cette déclaration. Par contre la tenue d’un registre des bris de confidentialité n’est pas obligatoire, seulement encouragée dans le cadre de bonnes pratiques. On peut toutefois remarquer que quelques actions s’attachent aux risques liés à la qualité du SIS et notamment sur les interactions avec les procédures de travail, puisqu’il existe une équipe («Alberta Netcare EHR Portal Deployment Team») qui s’occupe d’aider la mise en place du SIS provincial Netcare par des formations du personnel, ou en offrant de l’assistance pour créer la liaison entre le SIS local et Netcare.
|
Table des matières
Introduction
Présentation de l’organisation et du mandat confié
1.Le Ministère de la Santé et des Services Sociaux
2.La Direction de la Sécurité des Technologies de l’Information
3.Le mandat de stage
4.Déroulement du stage
Contextualisation, recension des écrits
1.Les Systèmes Informatiques de Santé (SIS)
2.Les risques liés à l’informatisation de la santé
Méthodologie de la recherche
Résultats de la recherche
1.Analyse comparative des pays choisis
2.Perspectives d’évaluation des mesures prises
Conclusion
Bibliographie
Annexe
Télécharger le rapport complet