Le point sur | 7 minute(s) de lecture | Publié on 15/02/18 - Dernière mise à jour on 02/09/21

Recommandations Sham en E-Santé

L’e-santé désigne tous les domaines où les technologies de l’information et de la communication (TIC) sont mises au service de la santé : enjeu majeur du système de santé moderne, la connaissance et la maîtrise des risques de cette nouvelle discipline est essentielle à sa bonne assimilation.

Afin de mieux comprendre les spécificités et les modalités de l'e-santé, également définie par la Comission Européenne comme "l'application des technologies de l'information à l'ensemble des activités en rapport avec la santé", le Conseil Médical Sham produit des informations et formule des recommandations en matière de gestion des risques avec pour ambition de sécuriser les pratiques des établissements et des professionnels de santé.

Pour en comprendre tous les enjeux, la définition de l’e-santé doit être rapprochée de celle que l’Organisation mondiale de la Santé donne depuis 1945 à la notion de « santé ». En effet, pour l’OMS, « la santé est un état de complet bien-être physique, mental et social, et ne consiste pas seulement en une absence de maladie ou d’infirmité ».

À la lecture de ces définitions, les enjeux du déploiement de l’e-santé apparaissent donc multiples. Ils s’intéressent tout particulièrement à la qualité et à l’accessibilité aux soins, à la productivité, au développement et au déploiement des connaissances ; et trouvent leur traduction dans différentes applications telles que la prévention, le maintien à domicile, la consultation médicale ou le suivi d’une maladie chronique à distance, le partage d’informations, la domotique, le big data… La combinaison de ces définitions laisse en outre entrevoir un champ très vaste de domaines concernés par l’e-santé et nécessitera d’en retenir une définition structurante.

En tout état de cause, s’il est un point commun à toutes les disciplines ou activités entrant dans le champ de l’e-santé, c’est l’utilisation de données de santé dont la protection appelle l’application d’une réglementation rénovée au niveau européen et national.

Enfin, le recours aux nouveaux modes de prises en charge rendus possibles grâce aux technologies de l’information, interroge naturellement sur les responsabilités des différents acteurs impliqués dans la délivrance des soins.

Le périmètre de l'E-Santé

Confrontés à une définition très vaste de l’e-santé, il apparaît indispensable d’en délimiter les contours par référence aux disciplines et concepts qui y sont le plus généralement associés.

Quels sont les principaux domaines que recouvre aujourd’hui l’e-santé ?

Usages particuliers de l'E-Santé et responsabilité des acteurs

Les incidents informatiques peuvent avoir des répercussions très diverses.

À titre d’exemples :

Indisponibilité des données de santé à un moment crucial

Une indisponibilité des données de santé à un moment crucial (intervention chirurgicale, administration de médicaments, consultation…) peut entraîner une imprécision, des retards ou des erreurs dans les diagnostics ou les soins, et se traduire par une perte de chance pour le patient par méconnaissance de son contexte et de ses antécédents médicaux.

Défaut d’intégrité des données de santé

Un défaut d’intégrité des données de santé, comme l’altération accidentelle ou illégitime d’un dossier de santé, ou de paramétrage d’un équipement biomédical, est susceptible d’entraîner des erreurs médicales, voire un préjudice vital pour le patient, associés à une perte d’image et des poursuites légales à l’encontre des professionnels de santé.

Défaut de confidentialité

Un défaut de confidentialité d’un document de santé, comme la divulgation aux services d’une société d’assurance ou d’un employeur d’un résultat positif de dépistage de tumeur maligne, pourrait porter préjudice au patient, puis par voie de conséquence au professionnel de santé et/ou au responsable du système d’information.

Ce problème de confidentialité est notamment un des plus gros en enjeux de la télémédecine, domaine important de la médecine moderne.

L’absence de traces sur l’auteur d’un document de santé

L’absence de traces sur l’auteur d’un document de santé (ex. ordonnance) dont le traitement a abouti à un diagnostic erroné lors de la prise en charge d’un patient, ne permet pas l’amélioration des processus du métier.

Au-delà du risque individuel lié à l’utilisation de ces nouveaux outils, se profile également une augmentation du risque de survenus de sinistres sériels. Ainsi, le dysfonctionnement d’un logiciel de distribution d’un médicament, le mauvais paramétrage d’outil d’aide à la décision médicale, l’erreur affectant les algorithmes d’une application permettant le suivi à distance de patients… sont autant d’exemples de défaillances susceptibles d’emporter des sinistres en chaîne pour quantité de patients.

S’agissant de produits de santé, la Cour de justice de l’Union européenne a pu considérer que le défaut d’un dispositif médical, permet de qualifier de défectueux tous les produits du même modèle ou relevant de la même série de production sans qu’il ait besoin de démontrer le défaut du produit dans chaque cas d’espèce. Il s’agissait dans cette affaire de stimulateurs cardiaques et de défibrillateurs automatiques.

L’ensemble des patients victimes de ces dommages aux causes communes pourront intenter une action de groupe à l’encontre du responsable.

Les Recommandations Sham en E-Santé : points vigilance et bons réflexes

Le rôle du Conseil Médical Sham est de produire des informations et formuler des recommandations en matière de gestion des risques avec pour ambition de sécuriser les pratiques des établissements et des professionnels de santé. Les recommandations sont élaborées à partir :

des constats réalisés lors des visites de risques menées par Sham ;
de l’analyse des sinistres gérés par Sham ;
de l’expertise de ses membres.

Formaliser la globalité de la prise en charge du patient

décrire chacune des étapes de la prise en charge du patient, pré, per et post-hospitalière ;
définir les rôles et responsabilités de tous les professionnels de santé impliqués y compris du patient, et ce à chacune de ces étapes ;
intégrer l’ensemble des données lié à la prise en charge dans le dossier patient ;
délivrer une formation à l’ensemble des acteurs de la prise en charge, y compris au patient ;
mettre en place un système de management des risques associé au processus de prise en charge intra et extrahospitalier (signalement d’événements indésirables, indicateurs de résultats, évaluation de la satisfaction patient…).

S'interroger sur la qualification juridique du produit développé

certains produits ou applications dans le domaine de la santé sont susceptibles d’être qualifiés de dispositifs médicaux et sont par conséquent soumis au respect d’obligations particulières (marquage CE, surveillance ANSM…) ;
la qualification de dispositif médical retenue pour une application contraint notamment son éditeur (qui devient fabricant de dispositif médical) à :

démontrer la conformité aux exigences essentielles applicables aux dispositifs médicaux de son application conformément aux procédures prévues par les directives européennes ;
réaliser une analyse de risques et constituer une documentation technique ;
mettre en place un système de vigilance ;
mettre en place un système de surveillance « post mise sur le marché » ;
mettre en place une démarche qualité ;
respecter les obligations de déclaration et de communication des nouveaux produits mis sur le marché auprès des autorités compétentes ;
prendre en considération les exigences linguistiques propres à certains états membres de l’Union européenne.

Respecter la réglementation relative à la protection des données personnelles

définir la finalité des traitements ;
appliquer le principe du « privacy by design », c’est à- dire garantir le plus haut niveau de protection des données des patients dès la conception du produit de e-santé envisagé ;
réaliser une étude d’impact permettant de respecter le principe du « privacy by design » ;
désigner, le cas échéant, un délégué à la protection des données personnelles ;
tenir un registre des traitements ;
le cas échéant, s’assurer de la validité des contrats conclus avec les sous-traitants et hébergeurs ;
assurer la sécurité et la confidentialité des données : règles de sécurité physiques et logiques, outils de traçage des données, procédures de vérification de l’intégrité des données, outils de restauration des données, procédure à suivre en cas de fuite des données, chiffrement des données transférées, etc. ;
assurer un mécanisme de destruction définitive des données au terme de la durée de conservation ;
informer et le cas échéant recueillir le consentement exprès des personnes concernées :

information sur la nature des données collectées, la finalité du traitement, les modalités de conservation les droits d’accès, d’opposition, de rectification…
tracer l’information délivrée et le consentement recueilli.

Limiter les risques de responsabilité

risques liés au défaut de paramétrage de l’application, à une mauvaise utilisation… Attention au paramétrage, aux mises à jour régulières, à la pérennité du fonctionnement, à la qualité des informations recueillies…
risques liés à une mauvaise utilisation de l’application : rappeler les consignes d’utilisation du produit aux utilisateurs et le cas échéant, les mises en garde spéciales, les signes devant nécessiter la consultation d’un professionnel de santé…

Merci de votre intérêt pour le travail des Experts du Conseil Médical Sham !

Si vous êtes intéressé par les propositions Sham couvrant les nouveaux risques et les risques informatiques, n'hésitez pas à consulter notre offre Sham Cyber Protection.

Les Experts Sham viennent de délivrer le premier Livre Blanc sur le risque Cyber et ses enjeux pour et dans les établissements de santé. N'hésitez pas télécharger notre ouvrage et en apprendre plus sur les enjeux de la cybersécurité, la numérisation, la gouvernance et les bonnes pratiques, notamment en temps de crise Covid-19.

Télécharger le Livre Blanc Cyber