• adjust Avis récents
    • keyboard_arrow_right
    Attestations - Certificats
    keyboard_arrow_right
    Autorités
    keyboard_arrow_right
    Collaboration professionnelle
    keyboard_arrow_right
    Délivrance d'informations
    keyboard_arrow_right
    Déontologie
    keyboard_arrow_right
    Droit médical
    keyboard_arrow_right
    Ethique
    keyboard_arrow_right
    Maladies
    keyboard_arrow_right
    Médecine alternative
    keyboard_arrow_right
    Médecine hospitalière
    keyboard_arrow_right
    Médecine préventive
    keyboard_arrow_right
    Pharmacologie
    keyboard_arrow_right
    Professions des soins de santé
    keyboard_arrow_right
    Spécialité
    keyboard_arrow_right
    Techniques médicales
    keyboard_arrow_right
    Télématique

    Résultats

    Résultats

    Page précédent

    3

    page

     Page suivante
    Informatique18/09/2004 Code de document: a106005
    Dossier médical électronique

    La commission Informatique de la Wetenschappelijke Vereniging van Vlaamse Huisartsen (WVVH ou Société scientifique flamande de médecine générale) demande l'avis du Conseil national concernant le dossier médical électronique, les données objectives et le dossier médical de travail.

    Avis du Conseil national:

    QUESTIONS POSEES

    Des questions sont soulevées dans cette lettre au sujet de l'impact de la loi relative aux droits du patient sur le dossier médical électronique, des critères d'homologation des logiciels et de deux recommandations contenues dans l'avis du Conseil national du 15 juin 2004 relatives à la tenue de bases de données comportant des données nominatives ou identifiables (Bulletin du Conseil national n°97, septembre 2002, p.6). Dans la deuxième partie de la lettre, il est proposé de scinder le dossier électronique en "un dossier médical de travail exclusivement accessible au médecin et pertinent pour celui-ci, et un dossier médical accessible à la fois au médecin et au patient et pertinent pour tous deux".

    CONTENU DU DOSSIER MEDICAL ELECTRONIQUE versus CLASSIQUE

    Dispositions légales
    Dans la loi du 22 août 2002 relative aux droits du patient, l'article 9, §1er, dispose que "le patient a droit, de la part de son praticien professionnel, à un dossier de patient soigneusement tenu à jour et conservé en lieu sûr". Dans l'exposé des motifs de la loi, on peut lire: "Les normes auxquelles le dossier de patient doit répondre, entre autres, sur le plan du contenu, ne sont pas réglées par le présent projet. A cet égard, on peut renvoyer entre autres à l'arrêté royal du 3 mai 1999 relatif au dossier médical général et à l'arrêté royal du 3 mai 1999 portant fixation des normes minimales générales auxquelles le dossier médical, tel que visé à l'article 15 de la loi sur les hôpitaux, doit répondre".
    De la lecture de ces arrêtés royaux, il ressort que la possibilité d'un dossier médical électronique est prévue et est recommandée, mais aucune de leurs dispositions ne fait apparaître une quelconque différence de contenu entre le dossier médical électronique et le dossier classique.

    Prescrit déontologique

    Aucune distinction entre dossier médical électronique et dossier médical classique
    n'est pas non plus établie dans l'avis du Conseil national du 17 février 2001 concernant la Note conceptuelle Droits du patient (Bulletin du Conseil national n°91, mars 2001, p.3) ni dans l'avis du 16 février 2002 sur l'avant-projet de loi relatif aux droits du patient (Bulletin du Conseil national n°95, mars 2002, p.3) ni dans l'avis du 26 juillet 2003 concernant la loi relative aux droits du patient (Bulletin du Conseil national n°101, septembre 2003, p.6) sous l'intitulé "Contenu" du dossier médical. Le patient peut consulter tant le contenu du dossier médical électronique que celui du dossier médical classique même s'il n'a pas de droit de consultation directe des annotations personnelles. Celles-ci ne peuvent être consultées que par un praticien professionnel désigné par le patient.

    LOGICIELS et LOI RELATIVE AUX DROITS DU PATIENT

    Dans la lettre soumise, il est dit que des dispositions légales récentes entraînent un certain nombre de conséquences "qui compliquent la finalité du dossier médical poursuivie par le Conseil national, pour ne pas dire qu'elles la rendent impossible". A cet égard, il est à juste titre fait référence à la loi relative aux droits du patient et aux critères d'homologation de logiciels de gestion de dossiers.

    Données relatives à des tiers

    Ainsi, aucun emplacement n'a été prévu dans ces logiciels pour loger des données relatives à des tiers, qui nécessitent une sécurisation supplémentaire parce que même un praticien professionnel désigné par le patient n'est pas en droit de les consulter.

    Demandes écrites

    L'on est frappé aussi par le fait qu'il n'ait pas été prévu comment conserver de manière électronique les demandes écrites du patient qui, suivant la loi relative aux droits du patient, doivent être reprises dans le dossier. De même ont été oubliés l'enregistrement de décisions importantes du patient dont le médecin généraliste peut avoir connaissance comme la désignation d'un mandataire (article 14, §1er), le refus par écrit du consentement à une intervention déterminée (article 8, §4, quatrième alinéa) et l'opposition du patient à la consultation de son dossier après son décès (article 9, §4).

    Annotations personnelles

    Quant à savoir si un espace doit être réservé dans le dossier médical électronique pour les annotations personnelles, cela est moins évident. Il ressort du texte de la loi relative aux droits du patient que les annotations personnelles sont un élément du dossier du patient, mais sur la base de l'exposé des motifs, le Conseil national a souligné dans son avis du 26 juillet 2003 qu'elles "sont dénuées d'intérêt pour la qualité des soins et qu'elles ne font pas partie du dossier du patient". Il est défendable d'introduire les annotations personnelles dans le dossier médical électronique, à condition d’introduire une protection supplémentaire et différente à celle qui est prévue pour les données relatives à des tiers, tout comme il peut aussi être préconisé de les rassembler dans un fichier distinct -électronique ou manuel- tout à fait séparé du fichier des dossiers médicaux électroniques.

    DONNEES OBJECTIVES ?

    Il est ensuite demandé ce qu'il y a lieu d'entendre par les "données objectives" visées à plusieurs reprises dans l'avis précité du Conseil national. Il est dit dans la lettre soumise au Conseil national qu'il s'avère difficile de donner une définition précise de ce qu'est un élément "objectif". Il en va de même pour une éventuelle alternative au terme « objectif » que sont les qualificatifs "exact", "formalisé" ou "pertinent". C'est pourquoi il importe de vérifier le contexte dans lequel ces qualificatifs sont utilisés.

    Historique

    Traditionnellement, les données médicales communiquées au patient ou aux médecins doivent être objectives. En 1975, le Code de déontologie médicale énonçait déjà que "les éléments objectifs, tels que les radiographies et les résultats d'examens" pouvaient être remis au patient et que la communication des renseignements médicaux à un médecin chargé d'une expertise judiciaire pouvait se faire, moyennant le respect de certaines conditions, lorsque cette communication était limitée "aux données objectives médicales". Au fil des ans, le nombre de données qui pouvaient être transmises au patient ou être fournies avec son accord à d'autres médecins, se sont accrues. Ces données ont toujours été qualifiées d'objectives, s'agissant d'une qualité à laquelle l'élément en question devait répondre pour pouvoir être communiqué. Cette ligne a été maintenue lors de l'introduction du dossier médical électronique, si bien que la condition posée pour le transfert de données par voie électronique a été qu'elles soient objectives. C'est pourquoi il est question, à plusieurs reprises, de données objectives dans l'avis du 15 juin 2002 consacré essentiellement à la transmission de données électroniques.

    Loi relative aux droits du patient

    A présent toutefois que, abstraction faite de l'exception thérapeutique, le patient a accès à toutes les données de son dossier, hormis les annotations personnelles et les données relatives à des tiers, et qu'il peut procurer copie de ces données non seulement à tout médecin mais aussi à n'importe qui, la qualification "données objectives" perd la signification fonctionnelle qui lui était attachée avant l’entrée en vigueur de la loi relative aux droits du patient. Reste à savoir si la notion de "donnée objective" comporte encore une valeur ajoutée.

    Arrêté royal du 3 mai 1999

    En ce qui concerne la constitution et le contenu du dossier médical du médecin généraliste, le Conseil national renvoie avant toute chose à l'article 2 de l'arrêté royal du 3 mai 1999 relatif au dossier médical général (DMG) suivant lequel le DMG doit comprendre les éléments suivants: "les données socio-administratives relatives au patient, l'anamnèse et les antécédents (maladies, interventions, vaccins reçus), une liste de problèmes (allergies, médication), les rapports de médecins spécialistes et d'autres prestataires de soins ainsi que les examens de laboratoire, un volet plus spécialement réservé au médecin généraliste et, le cas échéant, des dossiers à rubriques spécifiques". Ainsi, comme cela a déjà été dit plus haut, un espace doit être prévu pour les documents qui, en application de la loi relative aux droits du patient, doivent être conservés dans le dossier médical.

    Déontologie

    En ce qui concerne le contenu du dossier médical, le Conseil national énonce dans l'avis précité du 26 juillet 2003 émis à propos de la loi relative aux droits du patient, "que le dossier médical doit contenir toutes les données importantes pour le diagnostic, la qualité et la continuité des soins". Toutes ces données sont importantes non seulement pour la stratégie du traitement et l'accompagnement du patient, mais aussi pour leur justification le cas échéant.

    Données subjectives

    Ni l'arrêté royal du 3 mai 1999 relatif au dossier médical général, ni la loi relative aux droits du patient, ni les avis émis par le Conseil national après l'entrée en vigueur de la loi (6 octobre 2002) n'établissent de distinction entre les données objectives et subjectives du dossier médical. Ainsi, il n'y a pas de différence, en ce qui concerne l'enregistrement dans le dossier médical, selon, par exemple, que le motif du contact est une céphalée ou de la fièvre. Il faut d'ailleurs ajouter à cet égard que le Conseil national n'a jamais recommandé de ne pas reprendre des données subjectives dans un dossier médical comme affirmé dans la demande de la WVVH. Comment un médecin généraliste pourrait-il justifier une série d'examens diagnostiques s'il n'était pas autorisé à mentionner les plaintes subjectives d'un patient dans le dossier médical?

    DOSSIER MEDICAL DE TRAVAIL

    Dans la demande précitée, il est proposé d'établir une distinction entre un dossier médical de travail exclusivement accessible au médecin et pertinent pour celui-ci et un dossier médical accessible à la fois au médecin et au patient et pertinent pour tous deux.

    Loi relative aux droits du patient

    Le Conseil national estime que pareille division du dossier du patient est contraire à la loi relative aux droits du patient. Cette loi ne prévoit comme seuls éléments non accessibles au patient que les annotations personnelles et les données relatives à des tiers.

    Annotations personnelles

    Pour soustraire au droit de consultation du patient certaines données le concernant, il doit s'agir d'annotations personnelles. Ainsi, des notes consignant des pistes de réflexion, des soupçons, des intuitions ou des hypothèses de travail peuvent être considérées comme étant des annotations personnelles. Mais il faut retenir à cet égard que ces notes perdent leur caractère d'annotations personnelles dès lors qu'elles sont accessibles à d'autres praticiens professionnels, comme le médecin de garde, ou qu'elles sont communiquées à un confrère, par exemple un MGFP. En outre, l'on ne peut oublier que les annotations personnelles peuvent, suivant la loi, être consultées par un praticien professionnel désigné par le patient. Le Conseil national maintient la position que seuls des médecins entrent en considération pour la consultation des annotations personnelles d'un médecin (Bulletin du Conseil national n° 101, septembre 2003, avis du 26 juillet 2003, p. 6).

    DEONTOLOGIE LORS DE LA CONSTITUTION DU DOSSIER ET DE LA TRANSMISSION DES DONNEES

    Enfin, le Conseil national souligne qu'il existe une distinction essentielle entre la constitution et le contenu de dossiers médicaux et la transmission de données de dossiers. Les deux opérations obéissent à leurs propres règles déontologiques. Ce n'est pas parce qu'il existe un devoir déontologique d'enregistrement d'une donnée médicale dans un dossier électronique que cette donnée entre automatiquement en considération pour une transmission. Lors du transfert électronique de données, les règles déontologiques à respecter ne sont pas uniquement celles qui s'appliquent à la transmission de données issues d'un dossier médical classique mais également celles qui répondent spécifiquement à la transmission de données par voie électronique.
    Le Conseil national est conscient que le respect de ces règles déontologiques laisse parfois à désirer, mais il insiste pour que les médecins réalisent en temps opportun que des principes fondamentaux de la déontologie médicale comme le secret professionnel et la relation de confiance médecin-patient sont en jeu. Les recommandations émises le 15 juin 2002 par le Conseil national concernant la tenue de bases de données médicales contenant des données nominatives ou identifiables (Bulletin du Conseil national n°97, septembre 2002, p.6) doivent par conséquent être strictement respectées. Dans cet avis, les termes "données objectives" sont remplacés par "toutes les données importantes pour le diagnostic, la qualité et la continuité des soins".

    Informatique08/05/2004 Code de document: a104007
    Système de récolte de données médicales anonymes auprès de médecins généralistes

    En sa séance du 8 mai 2004, le Conseil national a examiné les principes du fonctionnement du système de récolte de données médicales anonymes auprès de médecins généralistes , qui lui a été soumis par les conseils des promoteurs du système.

    Avis du Conseil national :

    Le Conseil a pris acte de ce que, tant dans les contrats avec les groupes d’utilisateurs que dans les contrats avec les médecins individuels, sera introduite une disposition visant à ce que les médecins assument leur responsabilité déontologique d’informer les patients et d’obtenir leur accord écrit avant que n’ait lieu un traitement de données anonymes.

    Le Conseil rappelle que :

    1. le destinataire final des données doit être connu du patient ;
    2. les données utilisées doivent être déterminées et clairement précisées. L’utilisation de la totalité des données d’un dossier-patient nécessite une description détaillée des finalités ;
    3. les détails techniques d’anonymisation et de sécurisation doivent lui être transmis ;
    4. une convention conclue entre un médecin et un non-médecin ne peut tendre à procurer au médecin quelque gain ou profit direct ou indirect. Le médecin ne peut tirer profit de la commercialisation de données personnelles de ses patients. Seule l’indemnisation des frais et vacations peut être envisagée.
    5. les projets de convention doivent avoir reçu l’approbation du conseil provincial dont relève le médecin concerné.
    Informatique01/01/2003 Code de document: a101005
    Demande par téléphone d'une copie d'un protocole par un médecin autre que le prescripteur

    Le chef d'un service universitaire d'anatomopathologie soulève la question de la conduite à tenir lorsqu'un médecin autre que le prescripteur demande par téléphone à recevoir le duplicata d'un protocole d'analyse.
    Il est toujours difficile de juger du bien-fondé de telles demandes et l'on peut se demander si elles s'accordent avec le secret médical.

    Avis du Conseil national:

    De manière constante, le Conseil national, de même que les dispositions légales concernant la protection de la vie privée, limitent la transmission des résultats des examens biologiques, radiologiques et on peut à plus forte raison y associer les examens anatomo-pathologiques, au médecin prescripteur et par extension aux médecins nommément désignés par le patient sur la demande d’examen.

    La loi du 22.08.2002 relative aux droits des patients ne permet plus de limiter l'accès aux données médicales aux seuls médecins participant à la continuité du diagnostic ou de la thérapeutique. Le patient a dorénavant le droit d'avoir accès aux données contenues dans son dossier que ce soit directement ou indirectement.

    En cas de requête de copie de protocole par un autre médecin que le prescripteur, celui-ci devra faire la preuve de l'accord du patient et éventuellement démontrer l'impossibilité pour lui d'avoir accès au dossier de celui-ci.

    Il apparaît par ailleurs que l'identité de l'interlocuteur et sa qualité de médecin doivent être établis, ce que ne permet généralement pas une communication téléphonique.

    Un système informatique dont les accès répondent aux recommandations du Conseil national - en particulier, identification du consultant, limitation dans le temps de l'accès aux données, hiérarchisation des accès en fonction de la profession du praticien (médecin, infirmier, assistante sociale, etc...) et du contenu du message, permettrait de transmettre copie des protocoles dans les meilleures conditions de sécurité. (Bulletin du Conseil national n° 97, septembre 2002, p. 6 et n° 65, septembre 1994, p.22).

    Le Conseil national est par ailleurs conscient qu'une application par trop rigoureuse de ces règles peut amener des difficultés. Il recommande dès lors d’appliquer ces règles avec bon sens, l'intérêt du patient restant la priorité.

    Archives médicales21/09/2002 Code de document: a098004
    Délais de conservation de dossiers hospitaliers

    Le Conseil national adresse la lettre suivante au président du groupe de travail "Archives" de la commission "Télématique" du ministère des Affaires sociales, de la Santé publique et de l'Environnement :

    En sa séance du 21 septembre 2002, le Conseil national a examiné un projet d'avis du groupe de travail "Archives" de la commission "Normes en matière de Télématique au service du Secteur des Soins de Santé" - en abrégé commission "Télématique" - concernant la conservation long-terme des dossiers patients par les hôpitaux.
    Ce projet d'avis aurait été ou serait transmis au ministre compétent pour servir de base à une modification de l'arrêté royal du 3 mai 1999 déterminant les conditions générales minimales auxquelles le dossier médical visé à l'article 15 de la loi sur les hôpitaux, coordonnée le 7 août 1987, doit répondre. Le projet d'avis porte, entre autres, une modification de l'article 1er, §3, de cet arrêté royal, disposant que le dossier médical doit être conservé à l'hôpital pendant au moins trente ans.

    Le Conseil national s'étonne du contenu de ce projet d'avis qui est contraire à la législation en vigueur en matière de prescription d'une part et appelle des questions du point de vue de la déontologie médicale d'autre part.

    ***

    Dans le projet d'avis, un délai de conservation d'au moins vingt ans est préconisé pour le dossier patient entier, sur la base de l'article 2262bis, §2, du Code civil. Cependant, ce délai de conservation ne vaut que pour les dossiers clôturés après le 27 juillet 1998 tandis que les dossiers médicaux clôturés avant cette date doivent être conservés plus longtemps en vertu des dispositions transitoires de la loi du 10 juin 1998 modifiant certaines dispositions en matière de prescription.

    Dans son avis du 20 janvier 2001 concernant le délai de conservation de pièces issues d'un dossier médical auquel l'actuel article 1er, §3, de l'arrêté royal précité ne s'applique pas, le Conseil national note: "Par conséquent, […] il est également indiqué de tenir compte des délais maximaux de prescription de toutes les actions (personnelles) en indemnisation d'un dommage sur la base de la responsabilité extra-contractuelle tels que fixés par la loi du 10 juin 1998 modifiant certaines dispositions en matière de prescription, entrée en vigueur le 27 juillet 1998.
    Compte tenu des dispositions transitoires de la loi, les nouveaux délais de prescription sont les suivants:

    • pour un dommage provoqué avant le 27 juillet 1988: trente ans après le fait dommageable;
    • pour un dommage provoqué dans la période du 27 juillet 1988 jusqu'au 26 juillet 1998: jusqu'au 26 juillet 2018 compris, à savoir vingt ans après l'entrée en vigueur de la nouvelle loi;
    • pour un dommage provoqué à partir du 27 juillet 1998: vingt ans après le fait dommageable.

    A partir du moment où une action est intentée, il est préférable de conserver le dossier jusqu'à la décision judiciaire finale et définitive, en tenant compte le cas échéant des réserves admises." (Bulletin du Conseil national n°92, p.3).

    Il est évident qu'il y a lieu, pour les dossiers médicaux hospitaliers comme pour tous les autres dossiers médicaux, d'au moins respecter le délai de conservation correspondant aux délais légaux de prescription de la responsabilité civile des médecins et des actions en dédommagement intentées par des patients. Il n'en a pas été tenu compte par la commission dans l'élaboration de son projet d'avis.

    ***

    La commission a bien accordé l'attention nécessaire à la conservation de données en fonction de la continuité des soins après l'expiration des délais de conservation prévus par la loi. Le Conseil national estime cependant que la conservation illimitée dans le temps de dossiers médicaux de synthèse passe à côté des objectifs poursuivis et que le but visé ne sera parfois pas atteint.
    Il est avant tout exclu de déterminer avec une probabilité confinant à la certitude quelles données pourront s'avérer importantes pour le patient sur le long terme. Un peu d'histoire de la médecine suffit à démontrer combien les médicaments pris par un patient peuvent parfois avoir de graves conséquences ne se manifestant que très longtemps après, tandis que l'on peut aussi s'interroger sur l'utilité d'une conservation illimitée dans le temps de rapports de consultations et de rapports de sortie d'hospitalisation n'ayant mis en évidence aucune pathologie significative. Lors de la discussion de l'adaptation récente de l'article 46 du Code de déontologie médicale concernant la conservation des dossiers médicaux, le Conseil national est arrivé à la conclusion qu'un délai justifié de conservation de données médicales supérieures à trente ans, dépend de la nature des données, de la symptomatologie et de l'âge du patient. Une mesure linéaire imposant la conservation illimitée dans le temps de tous les dossiers médicaux synthétisés constituerait une disposition excessive.

    ***

    La commission a tenu compte dans l'avis qu'elle a émis, de l'importance de la conservation de données médicales en vue d'études épidémiologiques et de la recherche scientifique. Il est également suggéré d'examiner les possibilités de dépôt de dossiers patients auprès des archives générales du Royaume.
    Le Conseil national peut se déclarer d'accord avec le fait que la destruction de certaines données est susceptible de nuire aux études épidémiologiques et à la recherche scientifique, mais il estime d'autre part injustifiée la conservation "aveugle" de données médicales, c'est-à-dire sans avoir déterminé au préalable le but dans lequel certaines données sont conservées. La conservation de données médicales en vue de la recherche épidémiologique ou scientifique ne peut se faire qu'avec l'autorisation du patient informé de la finalité de cette conservation de données. Le Conseil national estime que l'autorisation du patient est également requise pour la conservation de données suivant un mode non identifiable. Ce mode de conservation paraît évident au Conseil national dans le cadre d'études épidémiologiques et scientifiques.

    ***

    Le Conseil national estime devoir en outre souligner que le projet d'avis contient quelques dispositions qui ne contribueront pas à la solution des "réels problèmes logistiques de stockage" pour les hôpitaux, pourtant point de départ du projet d'avis. Ainsi, la commission Télématique recommande que le délai de conservation commence à courir après le dernier contact "avec l'institution". Des visites hospitalières en ambulatoire, par exemple pour la suture d'une plaie ou pour une radio à la demande du médecin généraliste, ont pour conséquence que la totalité du dossier médical doit être conservée de manière illimitée dans le temps si l'intervalle entre ces visites n'est pas de vingt ans.

    Il est frappant de voir le projet d'avis toujours évoquer le dossier patient, qui comprend le dossier médical et le dossier infirmier. Pour ce dernier, l'arrêté royal du 3 mai 1999 ne mentionne pas de délai de conservation. L'extension du délai de conservation au dossier infirmier, même si elle est justifiée, augmentera les problèmes de stockage.

    En conclusion, le Conseil national estime que le projet d'avis de la commission "Télématique" concernant la conservation à long terme des dossiers des patients par les hôpitaux, n'est pas satisfaisant sur plusieurs points importants et qu'il ne peut dès lors servir de base à la modification de l'article 1er, §3, de l'arrêté royal du 3 mai 1999 relatif au délai de conservation du dossier hospitalier. Le projet d'avis ne tient en effet pas compte des dispositions transitoires de la loi du 10 juin 1998 modifiant certaines dispositions en matière de prescription. Il opte pour une conservation illimitée dans le temps de dossiers patients sous forme synthétique. Il ne respecte pas suffisamment la vie privée du patient dans le cadre de l'utilisation de données médicales pour la recherche épidémiologique et scientifique. Enfin, il ne résout pas non plus les "problèmes logistiques de stockage" des hôpitaux.

    Le Conseil national estime que les problèmes logistiques de stockage se résoudront spontanément par l'informatisation du dossier hospitalier et qu'un délai de conservation de trente ans après le dernier contact avec le patient, tel que prescrit par l'article 46 du Code de déontologie médicale, est une règle de conduite simple et claire constituant un bon compromis entre le délai de conservation des dossiers médicaux imposé par la législation et celui nécessité par la continuité des soins. En fonction de la nature des données, de la symptomatologie et de l'âge du patient, certaines données peuvent toujours être conservées plus longtemps, et de même sur un mode non identifiable pour la recherche épidémiologique et scientifique, moyennant autorisation préalable du patient.

    Informatique01/08/2002 Code de document: a098001
    Communiqué du Conseil national de l'Ordre des médecins à l'attention des patients et des médecins

    A l'occasion de la mise en vente à partir de ce jour, aux guichets de la Poste et dans certaines pharmacies, de cartes "LifeBadge" destinées à permettre l'accès en cas d'urgence aux données médicales personnelles de patients, le Conseil national de l'Ordre des médecins met les médecins et la population en garde, ainsi que cela a déjà été fait par le Ministre des Affaires Sociales, contre les dangers du système tel qu'il est proposé et notamment contre la fausse assurance de sécurité qu'il peut engendrer auprès de ceux qui y on souscrit.
    Le système préconise que les données sont fournies et tenues à jour par le patient lui-même. Il va de soi que l'introduction des informations médicales par cette voie ne peut garantir leur exactitude, leur caractère complet ni leur actualisation. Ceci obère la fiabilité des données sur lesquelles les médecins doivent pouvoir s'appuyer, en particulier en situation d'urgence.
    En outre, la protection de l'accès aux données par un simple code est en l'occurrence notoirement insuffisante pour empêcher leur usage abusif. Par ailleurs, en cas de dissolution ou de disparition de la société commerciale propriétaire de la banque de données, le devenir de celles-ci n'est pas déterminé, de manière telle que le respect de la vie privée des patients concernés n'est pas garanti.
    Si l'introduction des données par le patient est faite avec la participation du médecin traitant, celui-ci engage sa responsabilité.

    Informatique15/06/2002 Code de document: a097008
    report_problem La notion "données objectives" a été remplacée dans cet avis : voir BCN 106 p. 4, a106005.
    Recommandations relatives à la tenue de bases de données médicales contenant des données nominatives ou identifiables

    Les données à caractère personnel relatives à la santé sont devenues l’objet d’enjeux commerciaux (1) et ont acquis une valeur marchande et politique. Il s’agit le plus souvent d’informations médicales issues de bases de données médicales personnelles qui sont ainsi commercialisées et utilisées dans une finalité différente de celle qui a justifié leur recueil.
    La majorité des projets de serveurs de données médicales ne concernaient jusque l’an 2000 que des professionnels de la santé. Mais l’apparition de sites auxquels des patients confient volontairement leurs données médicales dans le but d’en faciliter l’accès aux médecins qui seraient amenés à les soigner en situation d’urgence pose de nouvelles questions.
    En effet ces données sont confiées à des sociétés commerciales dans des conditions de sécurité qui n’ont pas été évaluées.
    En Belgique, le traitement des données à caractère personnel est régi par la loi 8 décembre 1992 (2) complété l’arrêté royal 13 février 2001 (3). Elle s’applique également aux dossiers de patients que tiennent les médecins. En France l’utilisation à des fins commerciales de données non identifiables issues de prescriptions médicales peuvent être commercialisées selon des modalités conformes à la législation et à la déontologie dans des cas particuliers expertisés par la CNIL (4). On peut craindre, ainsi qu’il est pratiqué aux USA, que des sociétés détentrices de données personnelles leur confiées par des patients ne soient tentées un jour de leur racheter des données extraites de ces dossiers.

    Les échanges de données médicales personnelles se justifient entre médecins dans l’intérêt des patients. Depuis plusieurs années le Conseil national de l’Ordre à établi des lignes directrices et des techniques de sécurisation à mettre en œuvre pour que la confidentialité des échanges soit assurée (5) dans ces cas.
    La cryptologie et la signature digitale certifiée sont incontournables en cette matière. La sécurisation des données fait l’objet d’une abondante littérature internationale (6)(7).
    La multiplication de projets de serveurs de données et de serveurs de bases de données pose de nouveaux problèmes qui ont conduit le Conseil national à réfléchir aux règles déontologiques les concernant.

    PRINCIPES GÉNÉRAUX

    Une série de règles sont d’application pour tout traitement de données personnelles lors de leur récolte, pendant leur introduction et séjour dans une base de données et pendant leur transfert par voie électronique.

    Authenticité des données : c’est à dire la garantie que les données sont conformes à la réalité. L’exactitude de leur contenu doit être certifiée par le médecin qui les a constatées, établies ou qui en est responsable. Le praticien concerné doit être identifié et sa qualification connue grâce à une signature électronique certifiée. De la sorte le praticien traitant le patient sera assuré de l’exactitude des données.

    Intégrité des données : c’est-à-dire la garantie que les données sont bien celles du patient indiqué, qu’elles n’ont pas été altérées et sont donc conformes à l’original. Leur protection contre les attaques extérieures ou intérieures doit être totale et actualisée, c’est-à-dire utiliser des techniques de protection régulièrement adaptées en fonction des nouvelles données scientifiques et des progrès en la matière. Les attaques peuvent tenter de pénétrer dans la base de données, d’en extraire des données, d’y apporter des modifications pouvant aller jusqu’à sa destruction. Un relevé des tentatives d’accès non autorisé doit être tenu et contrôlé.

    Autorisation d’accès : l’accès à tout ou partie d’un dossier médical est fondamentalement conditionné par le statut de « personne soignante, actuellement en charge du patient ». Il est limité aux données dont la connaissance est nécessaire pour l’administration des soins et pendant la durée de ceux-ci (8). Une hiérarchisation en fonction des compétences et spécialisation de chacun doit être établie, de même qu’une sélection des données entre elles.
    Toute demande d’accès à des données médicales personnelles hébergées sur un serveur doit amener la prise en considération de plusieurs critères ou conditions déterminantes :
    L’identité et la qualification du demandeur : il peut s’agir d’un médecin ou d’un professionnel de la santé en charge du patient, d’un médecin de confiance choisi par le patient, ou attaché à un organisme assureur, à une assurance privée ou d’un membre du personnel soignant d’un hôpital, ou du patient lui-même qui souhaite consulter son dossier médical. La signature électronique certifiée doit être utilisée pour vérifier l’identité et la qualité du demandeur lorsque cette demande se fait par voie électronique.
    Le type de données concernées : une sélection doit être faite entre les données : données d’urgence, hypothèses documentées, hypothèses confirmées, hypothèses de travail, données génétiques, psychiatriques, données sensibles…
    Le degré de confidentialité que leur auteur ou le patient leur aura attribué doit être respecté. Le consentement du patient doit être pris en compte et matérialisé numériquement.
    La finalité de la demande doit être clairement définie par le demandeur : gestionnaire du dossier médical global du patient (médecin de famille), médecin appelé à le soigner pour un problème précis (médecin de garde ou médecin spécialiste), situation d’urgence, médecin-conseil d’un organisme assureur, médecin contrôleur, médecin du travail, médecin expert auprès d’une assurance ou d’un tribunal, médecin inspecteur de l’INAMI, etc.
    La durée de cet accès est strictement limitée, pour les médecins en charge du patient, à la période pour laquelle le patient consulte le demandeur. Pour les autres médecins l’accès se limite aux données nécessaires à l’exécution de leur mission légale.
    La conception d’un projet de serveur de données médicales devra intégrer ces divers facteurs dans une grille matricielle au travers de laquelle la demande d’accès sera filtrée afin de protéger la vie privée des patients et de respecter le secret du médecin.

    Traçage des accès. Il est important de conserver une trace probante des transactions électroniques afin de pouvoir prouver, le cas échéant, qu’elles ont eu lieu. Pour y parvenir, seul un notariat électronique peut garantir un traçage des transactions. Ce notariat devrait être réalisé non au sein du serveur mais auprès d’un organisme tiers qui pourra jouer le rôle de témoin de l’échange de documents. L’identité du demandeur lui sera transmise.

    Confidentialité des données : les données personnelles des patients sont couvertes par le secret professionnel du médecin (code pénal art 458, code déontologie art. 55 à 70). C’est la sécurisation et la grille des droits d’accès aux données qui conditionnent leur confidentialité. Les médecins ne sont pas autorisés à confier des données personnelles à des systèmes informatiques qui n’offrent pas ou insuffisamment ces conditions.

    Contenu : seules les données objectives concernant un patient font partie de son dossier et peuvent être conservées dans une base de données médicales nominative. Il est d’importance particulière que le dossier médical informatisé d’un patient soit tenu à jour. Ceci implique l’accès des médecins actuellement en charge du patient à ce dossier et l’accord des parties d’y ajouter les nouvelles données objectives.

    Pérennité de la base de données sur Internet : La durée de conservation des données médicales est actuellement de 30 ans (9) après le dernier contact avec le patient, sauf situation particulière. La conservation du dossier informatisé dans une base de données centrale doit être d’une durée au moins identique. La question se pose donc du devenir des données collectées en cas de disparition de l’organisme collecteur. Une société civile ne peut garantir sa propre durée d’existence. L’on ne peut admettre la collecte de données nominatives dans un but thérapeutique par des sociétés qui ne seraient pas à même d’en assurer la conservation pendant les délais légaux et déontologiques.

    Déclaration des fichiers : La loi 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel prévoit les conditions auxquelles ces traitements doivent satisfaire (10). Le traitement automatisé doit être déclaré auprès de la commission de protection de la vie privée. Cette déclaration doit comprendre notamment la finalité pour laquelle ces données sont recueillies.

    Responsabilité médicale : l’enregistrement par le médecin de données personnelles médicales dans une base de données engage la responsabilité du médecin qui a la charge du patient. Il est donc recommandé de se limiter aux données objectives documentées, datées et dont l’auteur est identifié.

    Standards informatiques : un cadre commun d’interopérabilité pour les échanges et la compatibilité des systèmes doit être mis en œuvre. Il s’agit ici d’une initiative qui relève des pouvoirs publics. De la sorte l’échange de données entre divers utilisateurs sera rendu possible.

    SYSTEMES DESTINES A L’INFORMATION DES SERVICES D’URGENCE

    Il s’agit de renseignements médicaux jugés utiles, accessibles sur Internet par des médecins inconnus qui seraient amenés à donner des soins urgents aux patients participant au système. L’accès se fait habituellement au moyen d’un code en possession du patient.

    Sans nier son utilité dans certains cas, il importe de noter qu’aucune preuve scientifique d’amélioration de la qualité des soins urgents n’a été apportée (11) grâce à cette méthode. En effet, tous les services d’urgences vérifient toujours immédiatement une série de paramètres tels le groupe sanguin, la glycémie, l’ecg, etc. Par contre une information des médecins, urgentistes ou autres, est indiscutablement utile dans d’autres cas urgents tels les réactions anaphylactiques graves, les épilepsies… Une mention de ces pathologies sur un document conservé par le malade auprès de ses documents d’identité répond avantageusement à ce besoin : meilleure sécurité, simplicité d’accès.

    Authenticité des données :

    1. Les données introduites par le patient peuvent être sujettes à caution. En effet le patient n’est pas nécessairement informé quant à leur importance, leur pertinence, leur signification, leur exactitude. Par exemple, s’il peut être vital de connaître les grandes allergies médicamenteuses on ne peut se baser sur une liste d’allergies signalées par le malade qui risque de donner soit des renseignements inexacts, soit trop de renseignements. Du reste les documentations des sociétés concernées « conseillent de se faire aider par son médecin traitant habituel ».

    2. La validation médicale est en effet indispensable. Elle engage la responsabilité du médecin et doit être matérialisée sur le serveur par sa signature.

    3. Si les données sont introduites par un médecin la responsabilité de ce dernier peut être engagée. Le médecin doit au moins avoir la certitude que les données n’ont pu ou ne pourront être altérées. Il doit se limiter aux données objectives documentées et s’identifier.

    4. Le problème de l’actualisation permanente des données n’est pas résolu lorsque le patient en assume la responsabilité. Elle pourrait l’être lorsque cette tâche est à la charge du médecin, qui l’aurait acceptée.

    Confidentialité des données : la protection des données personnelles identifiées doit être assurée pendant leur circulation sur Internet (cryptage et signature certifiée) tout comme durant leur séjour sur le serveur de la base de données : protection contre les accès non autorisés, les attaques de hackers, contre toute modification non autorisée, mais également contre la violation de la vie privée du patient par la société responsable elle-même.
    Un simple code d’accès constitue une protection insuffisante. De plus lorsque le patient est le détenteur du code il pourrait être obligé, sous contrainte morale ou par manque d’information, de fournir le contenu de son dossier dans un but non thérapeutique.

    Responsabilité médicale de l’utilisateur des données :
    Le médecin qui sera amené à utiliser ces données lorsqu’il dispense ses soins, engage dangereusement sa responsabilité s’il base son attitude thérapeutique sur des données qui n’ont pas été validées. D’où besoin de sécurité, d’authenticité et de confidentialité.

    Les problèmes liés à la pérennité de la base de données et à la déclaration des fichiers sont également d’application pour ces systèmes.

    SYSTEMES DE TRANSFERT DE DONNEES CONFIDENTIELLES ENTRE MEDECINS

    L’envoi de documents médicaux sous forme numérique se développe et tend à se substituer progressivement aux classiques échanges postaux. L’attention a été maintes fois attirée sur l’insécurité des échanges par voie électronique. Plusieurs recommandations du Conseil national sont consacrées aux conditions requises en vue d’assurer la sécurité de ce type de transmission (12)(13).
    La communication électronique de documents entre médecins peut être directe ou se faire par l’intermédiaire d’un fournisseur de services de courrier (messagerie électronique).
    Dans les deux cas les règles de sécurité doivent être respectées. Parmi celles-ci la cryptographie et la signature électronique certifiée occupent la première place.
    L’encryptage doit être asymétrique et faire appel à des algorithmes éprouvés ; la clé de cryptage doit être de longueur suffisante. Lors de leur utilisation le logiciel doit contenir toutes les mesures nécessaires à la protection de la clé privée.

    La signature électronique du médecin doit être certifiée conformément aux dispositions légales (14)(15). Cette signature, apposée sur un document numérisé, doit authentifier l’identité et la qualité du médecin au même titre que sa signature manuelle sur papier. Elle offre l’avantage complémentaire de certifier l’intégrité du document signé.
    Dans l’état actuel, malgré les recommandations et législations, les systèmes commerciaux de messagerie électronique ne fournissent pas de signature électronique certifiée conforme à la législation et ne permettent pas l’envoi de documents médicaux en dehors de leur propre cercle de clients. L’échange de données est donc très limité sur le terrain faute d’interopérabilité. Ceci entraîne une limitation sévère dans la distribution électronique du courrier médical et constitue un obstacle sérieux à l’extension et à l’universalisation de ce service. De plus, le recours à des systèmes notoirement insuffisants d’identification des médecins expose à des failles de sécurité.

    Les recommandations du Conseil national (16) restent d’application actuelle :

    1. Seul un médecin, personne physique, peut transmettre et recevoir des données médicales couvertes par le secret professionnel du médecin. Au sein d'une institution, le médecin qui transmet ou reçoit des données médicales, ne peut le faire qu'en son nom. C’est donc la signature personnelle du médecin expéditeur responsable, tout comme sur un document papier, qui doit valider et certifier le contenu du document expédié.
    2. Le cryptage par un système à double clé, encore dénommé système mathématique asymétrique, assure une sécurité satisfaisante.
    3. Le médecin génère lui-même les clés sur son ordinateur personnel au moyen d'un logiciel obtenu auprès d’un fournisseur indépendant.
    4. Afin d'authentifier la signature électronique, la clé publique de signature devra être certifiée par un prestataire de service de certification délivrant des certificats qualifiés et indépendant du serveur de messagerie.
    5. L'accès à la clé secrète est définitivement limité au seul propriétaire de celle-ci.
    6. L'algorithme utilisé doit être connu et de longueur suffisante tant pour sa partie symétrique que pour la partie asymétrique.
    7. Le cryptage et le décryptage des données seront réalisés respectivement dans l'ordinateur de l'expéditeur et du destinataire. En aucun cas, ces opérations ne pourront avoir lieu au sein d'un ordinateur intermédiaire consacré ou lié à la messagerie.

    Le Conseil national a mis sur pied une infrastructure de clés publiques permettant à chaque médecin inscrit d’obtenir une clé certifiée conformément aux dispositions légales et en recommande l’utilisation dans l’échange de données médicales par voie électronique. Chaque médecin est invité à prendre contact avec son Conseil provincial afin d’entamer la génération de son identification numérique certifiée par l’Ordre des médecins et d’inviter son service télématique à utiliser cette identification.

    SERVEURS DE BASES DE DONNEES MEDICALES

    Les données peuvent être conservées selon le cas sur le disque d’un ordinateur individuel, au sein d’un système d’archivage central dans les institutions de soins ou au sein d’un serveur centralisé destiné à la distribution de services.
    Dans tous les cas des mesures de sécurisation fiables doivent être d’application. Elles concernent tant la protection physique des installations tout comme la protection contre la destruction accidentelle de données ou contre les accès non autorisés aux données stockées. De même la pérennité de la base de données doit être garantie.
    L’importance des mesures de contrôle des accès est proportionnelle au nombre et aux qualifications diverses des individus susceptibles d’avoir autorisation d’accès. Il en va de même pour les mesures de protection.

    (1) La commercialisation des informations médicales est-elle « déontologiquement correcte » ? Conseil National de l’Ordre des médecins, France 29-30 juin 2000.
    (2) Loi du 8 décembre 1992 relative à l’égard des traitements de données à caractère personnel
    (3) Arrêté royal portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. 13 février 2001.
    (4) Commission Nationale Informatique et Liberté. France.
    (5) Recommandations relatives à la protection de la confidentialité lors de la transmission de données couvertes par le secret médical. Bull. Conseil Nat., 92 p. 4, 17 février 2001.
    (6) Hanka, R., Buchan, I.E. : Security measures in open communication systems. hanka@medschl.cam.ac.uk
    (7) CEN/TC 251/Wi 6.10: Framework for Security of Health Care Communication.
    (8) Droits d’accès au dossier, Dossier Médical Global informatisé. Bull. Conseil Nat.,84,p. 13, 12 décembre 1998.
    (9) Code de déontologie médicale, art. 46.
    (10) Voir à ce propos, l’avis du Conseil national du 18.01.1997, Bull. Conseil Nat. 75 p. 13.
    (11) Commission Télématique du Ministère de la Santé Publique, 12 novembre 2001.
    (12) Communications électroniques. Bull. Conseil Nat. 69 p.13, 22 février 1995.
    (13) Recommandations relatives à la protection de la confidentialité lors de la transmission de données couvertes par le secret médical. Bull. Conseil Nat, 92 p. 4, 17 février 2001.
    (14) Directive 1999/93/CE du Parlement européen et du Conseil, du 3 décembre 1999, sur un cadre communautaire pour les signatures électroniques.
    (15) Loi relative à l’activité des prestataires de service de certification en vue de l’utilisation de signatures électroniques. 14 juin 2001.
    (16) Recommandations relatives à la protection de la confidentialité lors de la transmission de données couvertes par le secret médical. Bull. Conseil Nat, 92 p. 4, 17 février 2001.

    Informatique16/03/2002 Code de document: a096007
    Carte médicale électronique à détenir par le patient

    Un conseil provincial communique la demande d'avis d'un médecin concernant un projet de carte médicale électronique (CME) à détenir par le patient, porteuse du dossier médical minimum (DMM) dont l'élaboration et la gestion sont réservées au praticien choisi qui en assume la responsabilité.

    Avis du Conseil national:

    Il va de soi que l’introduction des informations médicales par le patient lui-même ne peut garantir l’exactitude de celles-ci. L’introduction des données par le médecin traitant engage sa responsabilité. Il faut donc qu’il soit identifié et que la date d’introduction des données soit précisée. Il doit disposer de l’assurance de l’authenticité des données.

    L’authenticité des données, c’est à dire la certitude que les données présentées sont bien celles du patient ainsi que celle de leur absence d’altération ultérieure doit être garantie tant aux médecins qui auraient introduit des données qu’à ceux qui les utiliseraient.

    Les garanties d’exactitude et d’authenticité découlent du recours à des méthodes universellement admises : encryptage et signature médicale digitalisée, sécurisation du serveur. La protection envers des accès non autorisés par un mot code est notoirement insuffisante et n’est plus admise actuellement.
    L’emploi d’un code n’offre en effet aucune sécurité et sa protection ne peut être que fallacieuse. Elle ne garantit aucune protection de la vie privée.

    S’il est possible d’utiliser le système décrit dans le cadre du travail d’un médecin individuel et à destination d’une clientèle médicale individuelle, on ne peut toutefois, pour les raisons ci-dessus l’étendre à des groupes de population et de médecins sans recourir alors aux techniques de protection largement décrites par le Conseil.

    Le Conseil de l’Ordre est concerné à partir du moment où les médecins sont invités à compléter les données de la carte et à les utiliser pour le traitement du patient. C’est pourquoi le présent avis est transmis au corps médical.

    Informatique19/05/2001 Code de document: a093009
    Cadastre des médecins

    En rapport avec l'insertion, début 2001, d'un article 35 quaterdecies dans l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice de l'art de guérir, de l'art infirmier, des professions paramédicales et aux commissions médicales, le Conseil national examine deux projets émanant du ministère de la Santé publique:

    1. la création d'un serveur central pour l'inscription des médecins par voie électronique;
    2. la création d'un cadastre des médecins reprenant certaines caractéristiques de leur activité professionnelle.
      Tout cela sera consigné dans une banque de données fédérale des professionnels des soins de santé.

    Le Conseil national adresse la lettre suivante à madame M. AELVOET, ministre de la Protection de la consommation, de la Santé publique et de l'Environnement:

    Le Conseil national a été mis en possession d'un document relatif à la récolte et à l'enregistrement des données concernant les médecins.

    Il s'inquiète de l'importance et de la multiplicité des données à enregistrer et tient à vous faire part de sa préoccupation de voir se constituer un tel rassemblement de données personnelles, dont certaines confiées volontairement, en égard du nombre élevé de structures qui pourront y avoir accès. Il s’interroge sur la proportionnalité de ces données face aux finalités de l’enregistrement envisagé.

    Comme exemple parmi d’autres, l’accès du public aux titres professionnels des médecins tel que prévu au § 5 du document en question, peut l’induire en erreur dès lors que ces titres ne correspondent pas toujours aux compétences et aux activités réelles du médecin.

    Nous ne doutons pas que vous partagerez ces préoccupations du Conseil national et que vous voudrez bien le tenir informé de l'évolution de ce projet.

    En vous remerciant d'avance, je vous prie d’agréer, Madame la Ministre, l'assurance de ma haute considération.

    c.c. Monsieur le Docteur Dercq, conseiller général, administrateur général, direction de l’Art de guérir.

    Archives médicales17/03/2001 Code de document: a092009
    Dossier Médical Electronique

    La "Wetenschappelijke Vereniging van Vlaamse Huisartsen" (société scientifique flamande de médecine générale) asbl, a établi un projet de recommandation "Dossier Médical Electronique" et en demande l'examen critique au Conseil national.

    Réponse du Conseil national :

    Sans prendre position quant aux divers éléments constitutifs du document très détaillé que vous avez fait parvenir, le Conseil national tient à souligner la nécessité de voir préciser certains aspects de ce dossier.

    Il importe de définir quels sont les tiers avec lesquels des données pourront être partagées ainsi que la nature des données échangées et le droit d'accès des diverses parties. De même, il serait souhaitable de préciser de quelle manière sera assurée la sécurisation des échanges des données et du contenu du dossier, et notamment des données personnelles du médecin.

    Une bonne gestion du dossier médical doit évidemment bénéficier à l'administration des soins. Il doit également rester d'usage aisé pour le médecin praticien.

    Dans son avis du 12 décembre 1998, dont copie en annexe, relatif au dossier médical global informatisé, le Conseil national a déjà exposé les principes déontologiques essentiels en ce qui concerne

    1. le contenu du dossier
    2. la finalité du dossier médical
    3. les droits d'accès au dossier
    4. la sécurité de transmission
    5. la sécurité des archives.

    Le contenu de cette recommandation s'applique aussi bien au dossier électronique médical version 2001.

    Avis du Conseil national du 12 décembre 1998, BCN n° 84, juin 1999 , p. 14 :

    Le Conseil National a été saisi par un Conseil provincial, d'une demande d'avis émanant de la Société Scientifique de Médecine Générale, relative aux textes provenant du Ministère des Affaires sociales, de la Santé publique et de l'Environnement, en relation avec le dossier médical informatisé.

    A la lumière de ces textes, le Conseil national estime dès à présent nécessaire de rappeler des principes déontologiques essentiels.

    1. Contenu du dossier médical :

    La structure du dossier présenté, purement théorique, peut servir de modèle didactique mais on peut douter des possibilités de son application concrète dans le cadre quotidien de la médecine générale. De plus, le médecin praticien doit conserver la liberté de sa pratique diagnostique et thérapeutique.
    La conception d'un dossier médical regroupant les éléments objectifs - identification, diagnostics successifs, nature des investigations pratiquées - en un dossier centralisé et réservant les éléments subjectifs à un dossier de travail du médecin peut être envisagée dans le cadre des projets discutés. Elle apporte aux médecins une garantie de confidentialité pour les données sensibles.
    Les données fournies par des tiers étrangers à la dispensation des soins ne peuvent en aucun cas être accessibles au patient.

    <

    2.Finalité du dossier médical global :

    Le dossier médical reste, en premier lieu, destiné à consigner les éléments nécessaires au diagnostic et au traitement de la maladie.
    Dans les conditions prévues à l'article 44 du Code de Déontologie, certains des renseignements que contient le dossier médical, peuvent être utilisés à des fins scientifiques.
    L'utilisation du contenu du dossier médical ne peut s'écarter de sa finalité première.
    Si une coordination des différents éléments du dossier du patient venait à s'imposer, celle-ci ne pourrait se réaliser que dans l'intérêt du patient.

    3. Droit d'accès au dossier :

    L'article 39 du Code de déontologie médicale dispose : "c'est le médecin qui a établi et complété à lui seul le dossier médical, qui est responsable de sa conservation et qui décide de la transmission de tout ou partie de ses éléments en tenant compte du respect du secret médical".

    Lorsque plusieurs médecins, personnel infirmier, kinésithérapeutes et/ou paramédicaux, participent aux soins d'un patient déterminé, l'accès au dossier personnel doit être hiérarchisé et limité à :

    • ceux qui ont le patient en charge,
    • ce qu'il est nécessaire de connaître pour l'établissement d'un diagnostic ou d'une thérapeutique ou pour l'administration de soins.

    La durée de cette autorisation d'accès est limitée à la durée de la prise en charge du patient.

    Au cas où un patient constitue un dossier médical personnel à l'intention de ceux qui sont appelés à le soigner, le médecin reste seul responsable des éléments de ce dossier établi par le patient qu'il incorporera dans son propre dossier.

    Lors de l'extraction justifiée de données même anonymisées pour une finalité autre que thérapeutique, l'accès à des éléments du dossier médical en vue de la récolte de données, doit avoir l'accord préalable, chaque fois renouvelé et résiliable, du médecin et du malade. L'exploitation de ces données ne peut se faire que sous l'autorité d'un médecin et avec l'accord du patient.

    4. Sécurité des transmissions

    L'avis rendu par le Conseil national le 22 avril 1995 relatif au respect du secret médical au cours des communications par voie électronique, reste de stricte application.
    Le Conseil de l'Ordre peut se charger de la certification des clés publiques.

    5. Sécurité de la conservation des dossiers informatisés.

    Le médecin est responsable de la conservation de ses dossiers. Ceci vaut également lorsqu'ils sont informatisés. Il a donc l'obligation de constituer des copies (back-up) fiables et conservées en lieu sûr, de protéger l'accès à son PC et de rendre impossible l'accès non autorisé aux données qu'il contient.

    Une copie de cet avis est transmise aux autres Conseils provinciaux.

    Informatique17/02/2001 Code de document: a092004
    Recommandations relatives à la protection de la confidentialité lors de la transmission de données médicales à caractère personnel par le réseau Internet

    Le 22 avril 1995, le Conseil national émettait un avis concernant les conditions de sécurité nécessaires lors de la transmission par voie électronique de données médicales à caractère personnel identifiables (Bulletin du Conseil national n° 69, septembre 1995, p. 13). Après cinq années d'expérience, les recommandations complémentaires suivantes s'imposent.

    Avis du Conseil national :

    Le médecin a l'obligation légale et déontologique de respecter le secret médical. La transmission par voie électronique de données médicales à caractère personnel n'échappe pas à cette obligation.

    1. Seul un médecin, personne physique, peut transmettre et recevoir des données médicales couvertes par le secret professionnel du médecin.
      Au sein d'une institution, le médecin qui transmet ou reçoit des données médicales, ne peut le faire qu'en son nom.
    2. Le cryptage par un système à double clé, encore dénommé système mathématique asymétrique, assure une sécurité satisfaisante.
    3. Le médecin génère lui-même les clés sur son ordinateur personnel au moyen d'un logiciel obtenu auprès d’un fournisseur indépendant.
    4. Afin d'authentifier la signature électronique, la clé publique devra être certifiée par un prestataire de service de certification délivrant des certificats qualifiés et indépendant du serveur de messagerie.
    5. L'accès à la clé secrète est définitivement limité au seul propriétaire de celle-ci.
    6. L'algorithme utilisé doit être connu et de longueur suffisante tant pour sa partie symétrique que pour la partie asymétrique.
    7. Le cryptage et le décryptage des données seront réalisés respectivement dans l'ordinateur de l'expéditeur et du destinataire. En aucun cas, ces opérations ne pourront avoir lieu au sein d'un ordinateur intermédiaire consacré ou lié à la messagerie.

    Avis du Conseil national du 22 avril 1995, BCN n° 69, septembre 1995, p. 13 :

    1. Le Conseil national s'est penché sur le problème du respect du secret professionnel lors de la transmission de données couvertes par le secret, par l'entremise d'une boîte aux lettres électronique.

    Lettres et avis du Conseil national envoyés aux Présidents des Conseils provinciaux et des Conseils d'appel :

    En sa séance du 22 avril 1995, le Conseil national a adopté le texte dont copie ci-jointe des recommandations relatives à la protection de la confidentialité lors de la transmission de données couvertes par le secret médical par l'entremise d'une boîte aux lettres électronique.

    Il vous saurait gré de bien vouloir lui faire connaître votre avis sur les modalités d'application des points 5 et 6, alinéa 1er.

    Recommandations relatives à la protection de la confidentialité lors de la transmission de données couvertes par le secret médical par l'entremise d'une boîte aux lettres électronique

    Le médecin a l'obligation, conformément à l'article 458 du Code pénal, de respecter le secret médical. La transmission par voie électronique de courrier contenant des données à caractère personnel n'échappe pas à cette obligation légale et déontologique.

    1. Seul un médecin, personne physique, peut transmettre et recevoir des données médicales couvertes par le secret professionnel du médecin.
    Au sein d'une institution, le médecin qui transmet ou reçoit des données médicales, ne peut le faire qu'en son nom.

    2. Un système à double clé, encore dénommé système mathématique asymétri¬que, assure une sécurité satisfaisante.

    3. Afin de préserver leur caractère secret, le médecin devra générer lui-même sur son ordinateur personnel les clés qui lui sont propres. Lors de cette manoeuvre, cet ordinateur ne peut être en connexion avec le réseau.

    4. L'accès à la clé secrète est strictement limité au seul propriétaire de celle-ci. Cet accès sera protégé par un mot de passe qui ne pourra être communiqué.

    5. Une copie de la clé secrète sera transmise sur disquette par le médecin au Conseil de l'Ordre dont il relève. L'accès à cette disquette sera protégé par une phrase ou un mot de passe conservé séparément sous enveloppe scellée.

    6. La clé publique et une "empreinte numérique" de celle-ci, signée par le Conseil de l'Ordre, pourront être transmises à une société organisatrice de la distribution du courrier électronique.
    Cette société devra s'engager à ne communiquer cette clé publique qu'aux seuls médecins qui participent aux échanges de données médicales couvertes par le secret. Elle prendra toutes les mesures pour éviter l'emploi de cette clé à d'autres fins.

    7. Il est souhaitable que ces clés publiques soient conservées et transmises aux utilisateurs par l'entremise d'un serveur différent de celui utilisé pour la transmission de données. L'empreinte numérique de la clé publique, qui permet d'en contrôler l'authenticité, sera conservée et transmise par une autorité crédible.

    8. L'encryptage et le décryptage des données seront réalisés respective¬ment dans le PC de l'expéditeur et du destinataire. En aucun cas, ces procédures ne pourront avoir lieu au sein d'un ordinateur intermédiaire (BBS, host computer ou serveur de réseau).

    2. Un Conseil provincial transmet au Conseil national un "Règlement d'utilisation d'un système de communication électronique via un système de boîte contrôle", lui soumis par la société X. en voie de constitution.

    Avis du Conseil national :

    En réponse à votre lettre du 14 décembre relative au système de communication éléctronique X. soumis à votre Conseil par le Docteur Y., nous avons l'avantage de vous communiquer que le Conseil national attache une importance particulière au problème de la sécurité des transmissions de documents médicaux couverts par le secret médical. Plusieurs avis ont déjà été rendus à ce propos (cf. Bull. Conseil national, n° 63, mars 1994, p.19-20 et Bull. Conseil national, n° 65, septembre 1994, p. 22-23; vous trouverez copie de ces avis en annexe). Des recommandations relatives à l'échange entre médecins, par voie électronique, de données couvertes par le secret médical, sont actuellement en préparation au sein du Conseil national.

    La description du système envisagé par X. soulève les remarques suivantes:

    • s'il importe que les systèmes de mailing électroniques soient "ouverts" c-à-d accessibles à tous les utilisateurs, l'accès au système doit cependant rester limité aux médecins, personnes physiques, et exclure les associations ou sociétés qui n'ont d'ailleurs pas la possibilité de fournir une signature. Cette mesure vise à protéger notamment le secret professionnel au sein des établissements de soin;

    • pour rappel, le contrat entre X. et chaque utilisateur devra être approuvé par votre Conseil;

    • la description des standards utilisés est très générale. Afin de pouvoir apprécier la sécurité des systèmes proposés, il importe de connaître:

    • la description et l'identification de l'algorithme d'encryptage utilisé

    • l'identification du software cryptographique

    • l'identification du software de communication utilisé.

    En ce qui concerne les principes de manipulation de données confidentielles, il importe de tenir compte des considérations suivantes :

    Authenticité

    - élaboration de la double clé publique/secrète. Cette élaboration ne peut être réalisée en présence des délégués de X. Aucun risque ne peut être pris en ce domaine; la clé secrète est strictement personnelle et ne peut être partagée. MediRing doit donc fournir l'information nécessaire à l'usager pour lui permettre la construction de la clé sur son PC;

    - X. ne peut être habilité ni à connaître ni à conserver la clé secrète. Pour parer à toute situation d'indisponibilité du propriétaire de la clé secrète, il est recommandé de confier au Conseil provincial une copie sur disquette de la clé secrète et du mot de passe qui y donne accès;

    - il est suggéré que le mot ou la phrase de passe donnant accès à la copie de sécurité soit différent du mot de passe d'usage quotidien;

    - la clé publique sera la seule qui pourra être transmise à X. Ce dernier doit s'engager à ne la transmettre qu'aux seuls utilisateurs médicaux de son réseau. X. doit également obtenir de ceux à qui elle confie ce "trousseau de clés", l'engagement d'en réserver strictement l'emploi à la transmission, entre médecins, de données couvertes par le secret professionnel du médecin.
    Une empreinte digitale de cette clé publique sert à permettre le contrôle de son authenticité par celui qui enverra du courrier au propriétaire de la clé. L'expéditeur devra donc avoir reçu cette empreinte digitale, soit par courrier lui adressé par le propriétaire, soit par une personne ou une autorité fiable;

    - une information complémentaire est souhaitée de la part de X. quant au support informatique sur lequel la clé secrète sera conservée par le propriétaire : carte magnétique, carte à puce) ou s'agit-il d'une clé localisée sur le disque de l'utilisateur? Dans cette dernière hypothèse, il existe un indéniable danger de rupture de la sécurité, étant donné que cette clé ne sera plus protégée que par le mot de passe;

    - il y a lieu de prévoir également l'hypothèse de la transmission via réseau de la clé secrète par inadvertance du propriétaire. Des garanties doivent être données quant à l'impossibilité d'une telle manoeuvre.

    Confidentialité

    - codage et décodage : pas de remarque.

    - rôle de X. : à préciser. Ce rôle devrait consister surtout à former les utilisateurs médecins en vue de l'usage du courrier électronique et de l'application des mesures de sécurité. Il ne peut participer au processus de création des clés car ceci introduirait plus d'insécurité que de solutions des problèmes. Il appartient à X. de proposer une administration adéquate des clés publiques et de se charger de la mise à disposition des logiciels et de tous les protocoles, lesquels doivent être conformes aux exigences du Conseil;

    - central Host computer : il serait opportun de préciser les garanties de fonctionnement et/ou de dédoublement en cas de panne de cet ordinateur central.

    Lorsque la transmission des clés publiques se fait par le réseau, il est souhaitable, pour des raisons de sécurité, que les clés publiques soient conservées sur et transmises par serveur différent.

    Fiabilité

    Pas de remarque.

    Disponibilité

    Pas de remarque.

    Page précédent

    3

    page

     Page suivante