C’est une année charnière pour le dossier électronique du patient, à en croire l’état des lieux dressé sur ce thème par quatre spécialistes, invités jeudi par le Préposé à la protection des données.

Genève est un canton précurseur en la matière, avec le lancement d’un projet pilote, E-toile, dès 2009. Et le déploiement de la plateforme MonDossierMedical.ch en 2013. Si son ergonomie est perfectible, en six ans d’existence, cette dernière a séduit plus de 45 000 patients (qui peuvent désormais insérer eux-mêmes des documents), plus de 3000 médecins et professionnels de santé et plus de 150 pharmacies dans le canton.

«Mais notre statut de pionnier n’a pas vraiment été récompensé», regrette Nicolas Müller, directeur du service de la santé numérique. En effet, une loi fédérale sur le dossier électronique du patient chamboule tout en 2017. «À l’heure actuelle, la plateforme genevoise ne peut pas être certifiée au regard de ce nouveau cadre légal. Pas pour des raisons de sécurité, mais de processus.» Ainsi, pour répondre aux exigences de la nouvelle loi, une migration de MonDossierMedical.ch vers une nouvelle plateforme est prévue entre 2020 et 2021. «Pour les cantons qui n’avaient encore rien mis en ligne c’est très simple. Mais pour Genève c’est un peu plus compliqué, car il faut assurer la continuité des soins pendant la migration.» Une association intercantonale romande, CARA, s’est d’ailleurs constituée pour coopérer sur ce projet, mais aussi dans le domaine de la cybersanté de manière plus générale.

Un chiffre choc est rappelé par Antoine Geissbuhler, médecin-chef du service de cybersanté et télémédecine des HUG: «Les erreurs médicales sont la troisième cause de mortalité après les maladies cardio-vasculaires et le cancer. Il y a trop souvent un problème de coordination des soins lié aux informations.» Il plaide donc pour divulguer «la bonne information à la bonne personne au bon moment, afin de prendre la meilleure décision possible». Et le bon moment, cela peut signifier prévoir un délai pour la mise à disposition en ligne de certains documents, comme des résultats d’examen. «Il est arrivé que des parents prennent connaissance d’un rapport concernant leur enfant avant même le médecin et paniquent. Un accompagnement est nécessaire pour le décryptage des informations médicales.»

La «confiance numérique» ébranlée par des fuites de données

Elle était sans doute l’intervenante la plus critique du panel sur les perspectives de cybersécurité. Le professeur Solange Ghernaouti, directrice du Swiss Cybersecurity Advisory & Research Group, a décrit le contexte dans lequel se développe le dossier médical informatisé: «Une phase d’expérimentation, dans laquelle on découvre les problèmes en même temps que les patients.»

Elle s’interroge: alors que les acteurs impliqués sont tous interdépendants, et font parfois appel à des sous-traitants, «qui va porter la responsabilité de la sécurité? Il faut s’interroger sur toute la chaîne de production. Les problèmes de sécurité arrivent souvent par des problèmes de maintenance.»

«La réalité des faits nous montre qu’il n’y a pas de protection suffisante», estime-t-elle, de nombreux exemples à l’appui. Comme «les scanners de milliers de patients en Suisse qui ont fuité sur internet» selon une information récente de la RTS (sans lien avec le dossier électronique). Ou des médecins qui «s’envoient parfois des messages sur WhatsApp». Mais aussi, un peu plus loin de nous, trois hôpitaux américains qui ont dû fermer leurs portes cette année après avoir été infectés par des ransomwares (des logiciels malveillants qui prennent les données en otage). Ou encore Singapour, victime en 2018 d’une cyberattaque ayant mené au vol des dossiers médicaux de 1,5 million de personnes, dont le premier ministre. «Lorsqu’il y a des pertes de données, elles sont souvent massives. Tout ce qui est connectable est piratable.»

«Souvent des choix politiques ou économiques s’opèrent, en défaveur de la sécurité. Par exemple on paramètre un système pour favoriser l’autonomie de la batterie en priorité», illustre-t-elle.

Selon Solange Ghernaouti, les risques ne se limitent pas à la sécurité, mais aussi à la disponibilité des données – «pas de données, pas de soin?» – et à leur confidentialité: «Ce qui me gêne, c’est que les contrôles d’accès aux données sont souvent mal réglés. On donne par exemple des autorisations d’accès au personnel administratif, pour la facturation, alors que ces personnes n’en ont pas forcément besoin.» Même les labels ne semblent pas trouver grâce à ses yeux. «Cela ne fait que déplacer le problème, quand on focalise sur la conformité, on oublie la sécurité.» Conclusion: «Par principe de précaution, il ne faut pas de fuite en avant dans la technologie. La sécurité, il faut s’en donner les moyens.»