-----------
netizen - 22 nov 1995
ngroups : fr.network.divers, fr.comp.infosystemes ...
-----------
Derrière la grande réforme de la sécu annoncée en grande pompe par le Premier ministre la semaine dernière, se profile un grand chantier informatique. Le maitre mot, c'est le "codage" des actes et des médicaments, qui devrait permettre de mieux cerner le pourquoi du comment des dépenses de santé. Un codage qui nécessitera une numérisation à outrance des prestations médicales, d'où la création d'une multitude de réseaux informatiques entre les différents acteurs de notre chère sécu. Problème : sur ces réseaux vont transiter de l'information sensible liée au secret médical. Pour assurer sa confidentialité, il faudra sans nul doute utiliser du chiffrement puissant. Assez puissant, aux yeux de certains responsables de l'assurance maladie, pour que les grandes oreilles du gouvernement ne puissent pas s'y brancher. Ainsi entre en scène le SCSSI, le service de Matignon chargé de distribuer au compte-goutte les autorisations de cryptage des données.
Pour préparer cette grande lessive informatique, tout le beau monde de la santé publique -- médecins, pharmaciens, grandsz pontes ministériels, de la sécu et des caisses d'assurance maladie, comme bien-sûr les industriels et vendeurs de carte à puce -- se sont retrouvé ces deux derniers jours pour un colloque organisé à l'Hotel Méridien de Paris ('Economie et Santé', 21 et 22 novembre).
Cela va sans dire, les "professionnels de santé" vont devoir revoir leurs manuels d'informatique. Un exemple : une taxe de 1 franc devrait être imposé à tout médecin qui diffusera une feuille de soin (l'ordonnance) sur support papier. Le "tout numérique" avance à grand pas. Le fameux codage nécessitera l'abolition des vignettes de médicaments pour généraliser les codes-barres à saisir directement dans le PC. Et les remboursements s'effectueront par télétransmission. Quid de la garanti du secret médical dans tout ça? Le risque d'intrusion informatique? L'exploitation commerciale des "fichiers clients" dans les pharmacies? Le risque de flicage des assurés en fonction de leur pathologie? De tout ça, il en fut question, bien sûr. Avec quelques sueurs froides en perspective.
Car les réseaux numériques de prestations sociales existent déjà. Dans un des ateliers, un représentant des pharmaciens est venu dire à l'audience que 25% des officines étaient déjà connectés à leur caisse primaire pour enregistrer les transactions de remboursement. Questionné en privé après le débat, cet expert a pris soin de souligner que tout cela était "sécurisé" : une enveloppe électronique scelle l'opération de manière à ce que l'on sache si quelqu'un l'a modifié. Sécurité? Pas vraiment. C'est plutôt ce qu'on appelle une "signature électronique" : l'intégrité du message est respecté, mais pas sa confidentialité.
Confirmation d'un représentant de la branche santé du groupe Schlumberger : toutes ces transmissions ne sont pas sécurisées. Un représentant de la CNIL (commission informatique et libertés) a confirmé que seules certains types d'échanges étaient vraiment sécurisé. Le reste passe quasiment en clair, donc avec la même "sécurité" (c'est à dire aucune) que sur support papier.
Si la liste des pilules que vous achetez tous les mois peut être considérée comme sensible, ne parlons pas de votre fiche d'identité thérapeutique : le carnet médical. C'est l'autre élément sensible avancé par Juppé : la mise sur orbite obligatoire, à terme, du carnet médical sur support informatique. Les fabricants de cartes à puces se lèchent les babines : ce "carnet", qui retracera tout le parcours médical et thérapeutique du patient, se retrouvera sur une carte individuelle. Cela rejoint le projet de carte "Sesam-Vitale", qui fait l'objet de tests et d'essais quasi-cliniques entre professionnels et assurés. Le but du jeu : une carte pour l'assuré, une autre pour le médecin, le pharmacien, le labo d'analyse ou l'infirmère en ambulatoire; un lecteur de carte; un PC; on mélange tout, et l'acte médical est inscrit sur les deux support; puis transmis par réseau au centre de remboursement d'assurance maladie. Le carnet médical devrait être confondu avec la carte de sécu à puce de l'assuré.
Alors voilà de l'information numérique qu'il faudra sécuriser, dans le stockage et la transmission -- il faut reconnaitre que la notion de vie privée fut mise en avant par la plupart des intervenants. Et le chiffrement parait garantir une partie du problème. Mais quel chiffrement? De quel degrès de sécurité le secret médical est-il censé bénéficier? Interlocuteur incontournable, citée à une seule reprise lors des débats : le SCSSI, le service central de la sécurité des systèmes d'informations. Service de Matignon chargé de donner des autorisations à tout système de cryptage des données. L'information, obtenue par ce modeste bulletin en marge du colloque, est que le SCSSI avait accepté de constituer un groupe de travail avec certains conseils de l'ordre (dont celui des médecins), l'assurance maladie et la CNIL pour réfléchir à des solutions acceptables pour tout le monde. Pour tout le monde? L'Etat va-t-il se réserver une "porte de derrière" pour intercepter les communications? L'exemple britannique fait froid dans le dos : en octobre, la British Medical Association annoncait qu'elle boycotterait le futur réseau de la sécu de Sa Majestée (le National Health Service). Raison? Le gouvernement, sous la pression du General Communications Headquarters (GCHQ), l'équivalent du SCSSI, a décidé d'interdire l'usage du chiffrement sur ce réseau.
Un détail qui inquiète les informaticiens de l'assurance maladie. Notamment le CESSI (curieusement absent du colloque), le Centre d'étude et de sécurité informatique de la CNAM, chargé de construire le réseau interne qui connectera l'ensemble des caisses primaires. Réflexion déterminée d'un responsable du CESSI : "Nous ferons tout pour obtenir le plus haut degrès de sécurité dans la transmission, le stockage et le traitement des informations médicales pris en charge par la CNAM. La notion de secret doit rester intacte. Il est pour moi hors de question que les clés des serrures qui protègeront ce secret soient mis entre les mains d'organismes du type du GCHQ britannique..." Pour y parvenir, il faudra surement beaucoup de persévérance -- et une bonne dose d'anxiolitiques.