Go to Top

Archivage et métiers régulés (1/2)

                                                                                                                                                        Image : stockmonkeys

Les données ont une durée de vie désignée par l’expression “cycle de vie des données” qui englobe la naissance des données jusqu’à leur durée d’archivage et leur destruction à court, moyen ou long terme, voire leur archivage illimité. Les archivages se font le plus souvent sur cartouches en raison de leur coût réduit par rapport à leur capacité à un instant t et leur longévité.


En fonction des métiers, des types de données et des moyens employés pour les collecter, il existe des cas spécifiques de gestion des cycles. Dans les métiers dits régulés, c’est encore plus précis. Ce dossier en deux parties s’attachera à détailler les obligations les plus marquantes des métiers du milieu médical et bancaire.

Métiers de la santé et pharmaciens : secret professionnel obligatoire

Dans les métiers de la santé, les contraintes liées aux données sont nombreuses. Il y a d’abord des informations confidentielles qui relient le professionnel à son patient : elles ne peuvent pas être manipulées ni stockées n’importe comment. Il y a ensuite des informations à but purement administratif. Enfin, Il y a des informations qui peuvent être extraites des données des patients afin de servir à la recherche, voire aux statistiques des services de santé. Le seul principe fondamental qui reste immuable dans ces métiers et que peu de professionnels exploitent encore systématiquement : le cryptage des données quel que soit leur état à un instant t dans la chaîne de stockage/archivage et de transport. Comment y voir clair ?

Une législation sur la protection des données qui tend à se durcir

Sur le plan de la sécurisation par cryptage des données pour leur stockage, y compris l’archivage, la prise de conscience et la mise en place de régulation a été traitée depuis longtemps par la France qui s’est avérée être le pays le plus avancé dans ce domaine dès la fin des années 1970, par la mise en place de la loi Informatique et libertés du 6 Janvier 1978 qui régule tout ce qui concerne les données personnelles y compris celles de la santé (loi 78-17 articles 8, 34, 35). La loi Kouchner N°2002-303 du Mars 2002 appuie sur la notion d’éthique et de secret médical (déjà défini dans l’article 226-13 du code pénal) pour tout ce qui concerne les patients et condamne jusqu’à 3 ans d’emprisonnement et à 45000 euros d’amende l’hébergement de données de santé personnelles sans être titulaire d’un agrément, voire de non respect du traitement des données dans les conditions de l’agrément par l’organisme agréé…. La loi Informatique et Libertés s’est vue modifiée en Octobre 2005 (décret 2005-1309) et renforcée en 2009.

Aux USA, le Health Insurance Portability and Accountability Act (HIPAA) est né en 1996 : il est composé du HIPAA Privacy Rule qui définit les données personnelles de santé considérées comme privées, Le HIPAA Security Rule définit les standards de sécurisation des données de santé numériques et le HIPAA Breach Notification Rules qui demande aux entités traitant de données personnelles non sécurisée de le déclarer. Un guide complet d’implémentation des règles pour le HIPAA est publié par le NIST. En 2009, toujours aux USA, le Health Information Technology for Economic Clinical Health (HITECH) Act définit les usages des données personnelles (PHI pour Protected Health Information) et notamment l’échange de ces données entre organismes (HIE pour Health Information Exchange) qui doivent être stockées dans un format EHR (Electronic Health Record aux USA et DMP pour Dossier Medical Personnel en France) ou EMR (Electronic Medical Record) interopérable : dès 2015, les hôpitaux et médecins n’utilisant pas le format requis sont passibles de pénalités variant de 1% à 3% sur 3 ans sur les paiements opérés par le Medicare (l’institut de sécurité sociale aux USA).

Un protocole strict d’archivage des données

En France, les règles sur le transport sécurisé et crypté des données obligent les organismes liés au monde de la santé à archiver tous les échanges relatifs aux données des patients sous forme cryptée en incorporant tous les éléments relatifs à l’expéditeur, l’heure d’envoi, et le destinataire, ceci à des fins de traçabilité qui dépendent notamment de la norme ISO 15189:2012 relative aux laboratoires de biologie médicale ; en termes de messagerie électronique, tout expéditeur et/ou destinataire qui ne possède pas une adresse e-mail compatible avec un protocole de transport sécurisé est susceptible de se faire pirater de la même manière que quand il s’agit de l’usage d’une carte bancaire sans que soit employé le protocole https entre l’acheteur et le marchand. Aux Etats-Unis, la règle est la même, basée sur le HITECH Act. En Europe, les démarches tendent à s’appuyer sur le HITECH avec une précision supplémentaire qui consiste à s’assurer que les données personnelles, et pas uniquement de santé, restent toujours sur le sol Européen : des documents sur les lois nationales relatives aux données de santé de chacun des pays de l’UE se trouvent sur le site de la Commission Européenne.

Des durées de conservation variant en fonction du type d’information

En ce qui concerne les durées de conservation, la France met en ligne un service dénommé ASIP Santé qu’on peut retrouver sur le site esante.gouv.fr : il s’agit d’une agence gouvernementale chargée de fédérer et organiser les acteurs de l’e-santé. Dans l’espace Partenaires sont listés tous les ordres de l’ensemble des métiers de la santé qui pointent vers les caractéristiques propres aux impératifs de stockage et de conservation des données médicales des patients. Ainsi, pour les Pharmaciens, on y voit qu’il existe un Dossier Pharmaceutique (DP) qui peut gratuitement être créé pour chaque patient. Ce dossier contient des données sur les médicaments (quantité, date et délivrance) que le patient a utilisés dans les quatre derniers mois. Cet élément n’est accessible par le pharmacien que pendant la durée d’insertion de la carte vitale. Seul le pharmacien y a accès et éventuellement depuis 2013 dans un cadre expérimental et avec l’accord du patient, les urgentistes, anesthésistes et gériatres.

A partir de 2015, les données qui concernent les vaccins administrés seront conservées pendant 21 ans dans le DP, ce qui permettra de simplifier la gestion de cette problématique et de mieux assurer la qualité de la vaccination au niveau national. Il est également prévu un accès DP-Sanitaire permettant aux autorités d’utiliser les données anonymes des patients pour des statistiques.  Sur d’autres plans purement liés à la pharmacie, la durée de conservation des données préconisées par le code de la santé publique parlent de trois ans pour la plupart des actes de types ordonnances en précisant toutefois des durées de 10 ans pour le registre comptables des stupéfiants, et le livre d’ordonnances. Une mention spécifique d’une durée de 40 ans s’applique au registre des médicaments dérivés du sang. L’ordre des pharmaciens recommande que l’ensemble des documents soient gardés sans limite de durée compte tenu du délai de prescription de 30 ans après consolidation de la responsabilité civile professionnelle et de l’absence de prescription en matière de responsabilité disciplinaire.

 

Lire aussi : Archivage et métiers régulés (2/2)