E-MEDECINE, L'URML IDF
VOUS DONNE LA MAIN

Salon du Medec 14 mars 2001


2- LES RESEAUX ET LES CARTES : comprendre le labyrinthe

Alain ROBINET, modérateur de cette intervention rappèle les termes employés dans les précédentes intervention : Internet, réseau internumérique, intranet, sécurisation, cryptage, chiffrage, interopérabilité. L'intervention de Gilles TAIB concernera cette sécurité à travers la Carte de Professionnel de Santé.

 

LA SECURITE DES ECHANGES ET LA CONFIANCE DANS LES ECHANGES ELECTRONIQUES DANS LE DOMAINE DE LA SANTE

Gilles TAIB, directeur GIP CPS

La constitution au niveau mondial d'un réseau Internet de plus de 300 millions d'utilisateurs en 2001 conduit dans tous les domaines de notre société, qu'ils soient économiques, sociaux, politiques ou culturels, à une refonte complète des modes relationnels et des systèmes d'organisation.

Le secteur de la Santé est concerné au premier chef par cette évolution et se trouve dès aujourd'hui confronté à un bouleversement majeur de l'exercice médical.

Une récente communication de la CNIL met l'accent sur l'e-santé, les projets qui s'y développent et sur l'absence totale de confidentialité comme de sécurité de ces applications.

Nous pouvons identifier quatre axes principaux au développement de l'informatisation dans le secteur de la santé :

1 - L'amélioration du processus de gestion administrative et financière.

La première, et principale, application est la carte SESAM-VITALE. Le moyen est la dématérialisation des Feuilles de Soins Electroniques (FSE).

Les acteurs en sont les régimes d'assurance maladie - obligatoire et complémentaire - et les professionnels de santé libéraux. Le secteur hospitalier en étant totalement exclu, ces derniers faisant l'objet d'autres procédures administratives.

Les outils de base en sont la CPS pour les professionnels de santé, la carte vitale pour les patients et internet pour les échanges électroniques (FSE).

2 - Le partage de l'information médicale entre tous les intervenants à la prise en charge du patient, en particulier dans le cadre des développements et de la mise en œuvre des réseaux de soins, du dossier médical en ligne ou encore pour les prescriptions en ligne.

L'ensemble des acteurs du système de soin est concerné.

Les outils de base en sont l'Internet pour les échanges, la carte CPS pour l'authentification des intervenants et la confidentialité des échanges.

La question du rôle futur de la carte vitale se pose dès aujourd'hui. La carte vitale 2 aura t-elle une "place et un rôle" pour permettre au patient d'accéder à son dossier médical ?

3 - La mise en place de systèmes d'information de Santé Publique et de sécurité sanitaire (veille sanitaire, enquêtes épidémiologiques, essais thérapeutiques préalables à la mise sur le marché de nouvelles molécules…).

Les acteurs du secteur de la santé, agences de vigilance sanitaire et les industriels pharmaceutiques sont concernés en premier lieu.

Les outils de base sont à nouveau Internet et la CPS.

4 - Le développement de l'accès en continu à l'information et à la connaissance pour les acteurs du système de soins.

En matière de publicité sur les médicaments par exemple, le SNIP et l'Agence Française de Sécurité Sanitaire ont récemment émis une charte demandant aux industriels du médicament de vérifier la qualité des personnes ayant accès aux informations.

Ainsi, les outils de base sont l'Internet et la CPS quand il y a un besoin d'authentification de l'internaute.

De cette analyse rapide et simplifiée nous pouvons retirer un certain nombre d'enseignements

1 - L'ensemble du système d'information de santé n'est pas défini par une seule entité. Il s'agit d'une multitude d'applications mises en œuvre par différents acteurs, d'importance très hétérogène et ayant, pour nombre d'entre eux, une grande autonomie de décision ;

2 - Le patient est au centre du système d'information, mais le professionnel de santé est un acteur incontournable du système d'information ;

3 - La sécurité des échanges, l'intégrité des informations sont au cœur de toute politique d'informatisation. Elle doit se concevoir dans un souci permanent de simplification pour le professionnel de santé, mais également d'interopérabilité vis à vis des réseaux (respect de l'indépendance des choix des professionnels de
santé) ;

4 - Les choix technologiques doivent respecter les standards internationaux afin de garantir l'interopérabilité sur le plan technique, et la pérennité des investissements de chacun des acteurs du secteur ;

La carte de professionnel de santé :

La Carte de Professionnel de Santé garantit, dans le respect de la nouvelle réglementation en matière de signature électronique, de l'état de l'art de la cryptologie et des libertés individuelles :

  • L'identification du Professionnel de Santé et de sa qualité (médecin, pharmacien…) et l'authentification dans le cadre du système de santé, ce qui permet, au niveau de chaque application mise en œuvre, de définir les droits associés (habilitations et niveaux d'accès à l'information) conformément à la loi "Informatique et Libertés" ainsi que la traçabilité des accès;

  • La confidentialité dans tous les échanges d'information par la mise en place :

    • D'un mécanisme général de signature et de chiffrement permettant à chaque professionnel ou responsable d'autorité sanitaire, de sécuriser les messages qu'il envoie à destination d'autres professionnels dûment identifiés (Messagerie Sécurisée) ; ce mécanisme s'applique également aux Feuilles de Soins Electroniques (Sesam-Vitale)

    • D'une solution "standard internet" permettant à tout porteur de carte CPS de se connecter en toute sécurité à un serveur dûment identifié (reconnaissance mutuelle du Professionnel de Santé et du serveur applicatif, confidentialité et intégrité des informations échangées). Cela s'appelle de la sécurisation d'échanges ou de flux. Les vérifications sont réalisées de façon transparente par rapport aux informations contenues dans l'annuaire du GIP CPS des porteurs de cartes CPS.

  • L'interopérabilité permettant le dialogue entre tous les intervenants du système de santé et cela quel que soit l'environnement informatique, l'opérateur de réseau ou les applications utilisées par chacun.

Pour réaliser cela, le système CPS s'appuie sur les standards de sécurisation de l'internet :

  • Flux sécurisés : SSL/TLS
    SSL (Secure Socket Layer) : protocole normé permettant de mettre en place des mécanismes de sécurité sur des données transmises sur Internet. TLS (Transport Layer Security) : nouvelle version remplaçant SSL.

  • Messagerie sécurisée : S/MIME
    S/MIME (Secure/Multipurpose Internet Mail Extensions)

  • Certificats de signature et de confidentialité : X.509
    X.509 : profiles des certificats et des listes de révocation

  • Annuaire des porteurs de cartes CPS : LDAP - X.500
    LDAP (Lightweight Directory Access Protocol)
    X.500 : profile de structure d'annuaire

  • Protocole de communication : TCP/IP
    TCP/IP (Transfert Control Protocol / Internet Protocol) Principal protocole de contrôle de transmission par "paquets" utilisés pour l'Internet

La situation actuelle :

Nous avons distribué, aujourd'hui, en France plus de 300.000 cartes de la famille CPS. 55% des professionnels de santé libéraux disposent de leurs cartes, dont environ 70% de médecins et plus de 80% de pharmaciens. Ceci est important, mais il est indispensable d'organiser leur diffusion pour les professionnels de santé dans les établissements de soins pour permettre la mise en œuvre d'échanges électroniques sécurisés pour tous les professionnels de santé.

Sur un plan technologique, le système CPS a été conçu en 1993, à une époque où Internet n'était pas encore une réalité " grande publique ". En septembre 2001, le système CPS sera, totalement, conforme aux standards de sécurisation de l'internet et ceci en toute transparence pour les professionnels de santé. Cette évolution majeure permettra la mise en œuvre de nouveaux services " applicatifs " pour les professionnels de santé, sans pour autant qu'ils aient à intervenir au niveau de leur poste de travail ou encore changer leurs cartes.

DISCUSSION :

Alain ROBINET souligne l'importance de l'annonce faite par Monsieur Taib concernant la prochaine standardisation à Internet de la carte CPS.

- Alain ROBINET : la carte à puces constitue t-elle le meilleur système de signature et d'authentification ?
Gilles TAIB : Ce système est le meilleur actuellement, mais des évolutions sont à prévoir. Actuellement, les USA comme l'Europe se tournent vers des supports à carte à puce. Ce support n'assure pas l'interopérabilité mais ce sont les données. Il s'agira alors de créer des certificats assurant la garantie. Un standard international existe aujourd'hui pour ces certificats (standard de l'IETF, regroupant tous les industriels de l'Internet). La carte à puces assure la responsabilité du porteur, notamment pour la signature électronique.

- la CPS 2 bis étant disponible pour l'été 2001, le professionnel de santé non équipé doit-il attendre cet été ou peut-il demander sa carte CPS dès
maintenant ?  
Gilles TAIB : Si le professionnel de santé juge utile de demander sa carte des maintenant, cela est toujours possible. La transparence sera de toutes façons assurée par le GIP CPS et le changement sera totalement transparent pour les professionnels de santé, qu'ils soient titulaire d'une CPS 2 ou d'une CPS 2bis.
La différence entre ces cartes est la suivante : les cartes actuelles assurent une interopérabilité franco-française. La CPS 2bis assurera en plus l'interopérabilité au niveau international.

Jean-François THEBAUT : qui paiera le coût de la délivrance des certificats ?
Gilles TAIB : Actuellement, le coût de 50 francs par an est assuré par la CNAM en ce qui concerne les professionnels libéraux.
Ce coût comprend la carte, la gestion de cette carte ainsi que les certificats propriétaires qui y sont associés.

URML-IDF
Mis en ligne le 25/05/01