Le numérique en santé, bâtir une confiance et un avenir

Publié par SDmagazine 12 octobre 2020

Si l’enjeu des équipements et des personnels a été central pour combattre le virus de la COVID-19, les opportunités liées au numérique appliqué à la santé (e-santé) ont également été déterminantes dans la réponse à la pandémie. Au cœur de cette crise, les nouvelles technologies ont eu un rôle majeur pour accélérer la prise de décision, freiner l’épidémie, permettre la continuité des soins et donner aux patients davantage d’autonomie dans le dépistage et le suivi de leurs symptômes. Mais la France est encore loin d’une médecine des « 4P » : prédictive, préventive, personnalisée et participative. Dotée d’une stratégie ambitieuse à travers la loi Ma Santé 2022, il faut désormais aller plus loin et plus vite en matière de numérique en santé. Mais à quelles conditions ? Face aux attaques cyber répétées, comment prévenir les atteintes aux systèmes d’information et aux données sensibles de recherche ou des patients ?

Par Louis TUFIN & Mélanie BENARD-CROZAT

Au pied du mur

C’est ce que semble révéler la situation du numérique en santé alors que la France est frappée par la crise de la COVID-19 en mars dernier.

Le Conseil national du numérique (CNNum) qui a depuis remis son rapport relatif à la transformation numérique du système de santé n’est pas surpris. « La crise sanitaire que nous traversons nous a mis face aux réalités : nous avons trop tardé ! (…) Comment pouvait-on espérer, sans portage politique du numérique en santé, sans vision stratégique de lEtat depuis des décennies, aborder cette épreuve suffisamment armés ? De la difficulté à fournir des outils interopérables et souverains à la trop légère formation au numérique en santé, en passant par la fragile confiance des usagers et des professionnels dans ce domaine, la situation de stress à laquelle fait face le numérique en santé français est apparue de façon indéniable. » souligne le conseil.

Mais les experts membres du CNNum relativisent. Ces temps troublés ont aussi permis de mettre en lumière les forces profondes de notre pays : « un usage croissant de certains outils mis à la disposition des citoyens et des professionnels dont la télémédecine est la meilleure illustration : plafonnant à 10 000 consultations par semaine en février 2020, son utilisation a été multipliée par 100 en à peine 1 mois ! Ce sursaut numérique citoyen, nous le devons aussi à un écosystème innovant qui a su apporter des réponses en un temps record, débarrassé des lenteurs administratives ; autant de preuves que, même au pied du mur, nous ne sommes pas rentré dedans. »

Le Ségur de la santé consacre enfin le numérique

La téléconsultation figure parmi les points clés du Ségur de la Santé dévoilé par le ministre de la santé, Olivier Véran, en juillet dernier, qui consacre un volet important au numérique. « Mettre le numérique au service de la santé de tous et tout cela dans l’intét supérieur des patients »apparait ainsi dans les conclusions gouvernementales.

Pour combler le retard accumulé sur le numérique en santé et contribuer à la transformation, la rénovation et l’équipement dans les établissements médico-sociaux, le gouvernement annonce à l’été un investissement total de 6 milliards d’euros, dont 1,4 milliard sur trois ans, pour le numérique.

Une annonce dont se réjouit le Syntec Numérique et TECH IN France. « L’investissement annoncé dans le cadre du Ségur constitue un signal encourageant ; en tout cas, cest un premier pas significatif ! Il faut continuer en ce sens pour en finir avec le cloisonnement des systèmes de santé et proposer la mise en oeuvre de solutions interopérables et sécurisées. » déclare Godefroy de Bentzmann, président de Syntec Numérique.

C’est en effet un tournant historique dans le secteur de la santé en France qui était sous-doté jusqu’alors (moins de 1,5% des budgets consacrés aux investissements hospitaliers contre 3% dans d’autres pays européens) qui devrait permettre à l’écosystème de faire un bond qualitatif considérable et de prendre sa pleine dimension au sein du marché européen et mondial.

Convergence des priorités

Les principaux acteurs s’accordent sur les priorités. Parmi les recommandations du CNNum, du Syntec numérique ou encore de l’Institut Montaigne, figurent le renforcement de la gouvernance du numérique en santé en clarifiant les rôles des institutions et la répartition du pilotage stratégique et opérationnel et en affirmant la place centrale du patient au coeur du système de santé. Ils appellent à bâtir une culture de la confiance dans le numérique, les données de santé et dans les systèmes afin d’assurer l’adhésion des citoyens et des professionnels mais aussi de veiller à leur interopérabilité et à leur sécurité dans le but de les hisser au plus haut niveau des standards européens et internationaux. Enfin, promouvoir un numérique en santé responsable rend nécessaire d’intégrer aux politiques du numérique en santé les problématiques relatives à l’éthique, à l’inclusion numérique et à la responsabilité environnementale.

A cela s’ajoute le déploiement du potentiel de l’IA en santé par l’utilisation éthique de données de santé qualitatives et le déploiement d’un modèle économique pérenne, la capitalisation sur les savoirs et les savoir-faire, former tous les acteurs du système de santé aux technologies numériques et à l’intelligence artificielle tout en favorisant l’acculturation des décideurs à ces outils ainsi que l’anticipation des nouveaux métiers pour une filière numérique en santé solide.

Autre recommandation : prioriser et investir dans les systèmes d’information en santé évolutifs et l’essor d’innovations et enfin, renforcer les mesures de protection en matière de cybersécurité pour les données de santé, dans le respect d’un cadre éthique clair.

Cibles de premier choix

Les SSI des établissements de santé connaissent une fragilité notable alors même que ce secteur s’avère être vital. « La densité d’attaques sur ce secteur résulte d’un sous-investissement chronique en sécurité informatique. Sous la contrainte budgétaire, le développement des applications a été privilégié à la sécurité informatique laissant les établissements à la merci d’attaquants pour lesquelles les entités, dont la rupture d’activité aurait un impact social important, sont des cibles intéressantes », explique les travaux de la commission sénatoriale des affaires étrangères, de la défense et des forces armées.

« Le système dinformation de santé devient aujourdhui un outil indispensable pour assurer une traçabilité des soins médicaux, améliorer le développement de nouveaux services et des travaux de recherche et participer à la réduction des coûts du système de santé français.

Comme toutes les structures, les hôpitaux, établissements de santé, GCS, laboratoires et opérateurs sont vulnérables aux attaques informatiques. Les conséquences peuvent être très négatives aussi bien pour le patient que pour l’établissement de santé en question. » détaille David Ofer, vice-président d’ITrust.

En mai 2017, WannaCry s’en était pris au système de santé britannique (NHS) infectant 16 centres de santé et 200 000 ordinateurs, ce qui avait conduit à annuler près de 20 000 consultations et paralysé plus de 1 200 équipements de diagnostic.

A l’été 2019, 120 sites du groupe de santé FR Ramsay ont été touchés par une cyberattaque. En octobre, le groupe hospitalier DCH (USA) a été contraint de refuser l’entrée de nouveaux patients dans ses trois hôpitaux d’Alabama suite à un rançongiciel.

En novembre 2019, le CHU de Rouen a vu l’ensemble de ses services paralysés pendant plusieurs jours. En juin cette année, c’est l’Université de Médecine de Californie qui a payé 1,14 million de dollars aux pirates informatiques pour récupérer ses données.

En mars 2020, la cellule d’accompagnement cybersécurité des structures de santé (ACSS) de l’Agence du numérique en santé (ANS) alertait sur les cyberattaques que connaissaient les systèmes de santé. La cellule ACSS reçoit en moyenne chaque mois 27 signalements. 88% de ces signalements proviennent des établissements de santé. 46% des incidents relevés ont contraint l’établissement à mettre un place un fonctionnement dégradé du système de prise en charge des patients. Plus inquiétant encore, 5 incidents ont entraîné une mise en danger avérée du patient.

Les laboratoires et les données de recherche représentent aussi des cibles privilégiées pour les hackeurs de haut vol. « Nous avons détecté de nombreuses attaques cyber notamment sur des laboratoires de recherche pendant le plus fort de la crise sanitaire. Ces données représentent des mines d’or pour ceux les détenant. La course aux vaccins qui s’opère actuellement dans le cadre de la COVID-19 est un exemple criant. Au-delà des enjeux financiers de haute couture, il y a aussi des enjeux politiques et géostratégiques très importants. » souligne David Ofer.

La cyber : atout majeur d’un développement réussi de la e-santé

Détection des malwares inconnus, de menaces internes, de comportements imitant l’activité humaine, authentification des utilisateurs et gestion des alertes de sécurité informatique, les applications de l’IA au service de la cybersécurité sont nombreuses. « Socle majeur de la confiance, la cybersécurité doit pouvoir bénéficier de toute la puissance de l’intelligence artificielle. » souligne David Ofer, et d’ajouter « seules des capacités portées par les outils automatisés, disposant d’une telle puissance d’analyse, de détection et de remédiation pourront répondre aux enjeux de sécurité et de protection des données dans le domaine stratégique et vital de la santé. C’est ce que nous faisons au travers de Reveelium développé pour fournir un système expert de détection d’anomalies, de comportements anormaux, basé sur des algorithmes intelligents qu’ITrust développe depuis 5 ans avec l’appui de 3 laboratoires internationaux. »

Le management du risque cyber dans la santé est un enjeu clé pour notre avenir. « Cette cybersécurité exige une analyse et une cartographie des risques dynamiques. Celle-ci doit être la pierre angulaire de tout plan d’action. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risques acceptable en toute connaissance de cause, au bon niveau de décision. » explique Pierre Oger, directeur général et fondateur d’EGERIE et d’ajouter « Le partage est essentiel. Beaucoup de décideurs pensent se fragiliser en partageant l’information. C’est pourtant tout à fait l’inverse. Les défenseurs ont tout à gagner à échanger l’information, et c’est ce que nous proposons : fournir les scenarios d’attaque, les profils des attaquants, les vulnérabilités, les mesures de protection, des cartographies d’analyse de risques et les compiler dans des bibliothèques pour en faire profiter tous les acteurs de la filière. »

Atempo exhorte de son côté à s’enquérir du triptyque « prévention, résistance, assurance afin de détecter et empêcher l’intrusion, la prolifération et retrouver ses données » face aux cyberattaques.

Le DMP à horizon 2022

Autre enjeu au coeur de la E-santé, le développement du Dossier Médical Partagé (DMP). « Afin de favoriser son usage, le DMP doit progressivement intégrer de nouveaux services tels que linterfaçage avec des applis ou des objets connectés, lajout dun carnet de vaccination, la création automatique du DMP pour les nouveau-nés, le développement dun moteur de recherche facilitant laccès aux informations ciblées par les professionnels de santé. »1 explique le rapport « Accélérer le virage numérique ».

Le DMP devrait alimenter à l’avenir le Health Data Hub, créé en novembre 2019. Le développement et l’entraînement des technologies d’intelligence artificielle nécessitent des données. Il s’agit donc dès à présent de les collecter et de commencer à entraîner ces outils d’IA. « Pierre angulaire de la démarche, un catalogue construit de manière progressive et itérative permettra de mettre à disposition des chercheurs, mais aussi des associations de patients et citoyens, des institutions, des start-up, et des différentes parties prenantes du secteur de la santé les bases de données les plus prometteuses. La plateforme technologique garantira un très haut degré de sécurité et ne pourra héberger que des données non nominatives.»2 rassurent les responsables de la plateforme.

Rendre le DMP compatible avec les objectifs du Health Data Hub, c’est aussi ce que vise le nouveau rapport parlementaire présenté par le député Cyrille Isaac-Cybille en juillet dernier avec près de 37 recommandations. « Parvenir à créer 40 millions de DMP d’ici à 2022 permettrait d’avoir une donnée de santé structurée, ordonnée, lisible et utile tant pour le professionnel de santé que pour l’alimentation du Health Data Hub. » souligne Pierre Simon, ancien président fondateur de la Société Française de Télémédecine.

Aussi, pour parvenir à cette fin, l’ouverture du DMP devrait devenir automatique dès 2021, sauf opposition du patient, comme le demande le Ségur de la Santé dans son rapport final.

« Pour que le traitement algorithmique des données de santé soit fiable, il faut que les données du DMP soient représentatives de la population française tout entière sinon des biais peuvent entacher la fiabilité du traitement. On ne peut atteindre cet objectif qu’en rendant automatique l’ouverture du DMP, sauf opposition de la personne. Le déploiement du DMP est une des conditions nécessaires à la poursuite et à la réussite du déploiement de la télémédecine et du télésoin. Ces pratiques professionnelles à distance ne peuvent se développer que si on a accès aux données de santé du patient. » souligne Pierre Simon. « Plus le nombre de DMP sera important, meilleur sera le traitement algorithmique de ces données pour qu’elles soient structurées. D’autre part, et c’est probablement la recommandation la plus innovante, les députés appellent à préparer les citoyens à céder leurs données de santé « désidentifiées » au Health Data Hub, tant celles recueillies en médecine de ville que celles recueillies lors d’hospitalisations. » Il est en effet précisé dans le rapport parlementaire de proposer, au sein de l’espace numérique de santé, un mécanisme permettant au citoyen de gérer ses données de santé et de consentir librement à leur usage à des fins d’innovation et de recherche. Des efforts importants en matière de communication et d’information seront essentiels pour permettre aux citoyens de bien comprendre l’objectif final du DMP, et d’accepter de transférer leurs propres données personnelles de santé à des fins scientifiques.

« La transformation systémique attendue passera par la collecte, le partage et l’utilisation des données de santé dans un cadre souverain et éthique pour de meilleures prises en charge et un pilotage plus précis et réactif de notre système de santé. L’utilisation responsable des données de santé est un préalable pour garantir la confiance des utilisateurs dans ces solutions numériques. » ajoute l’Institut Montaigne.

L’institut recommande donc de s’appuyer sur la mobilisation des acteurs privés pour construire une « troisième voie » éthique et souveraine au niveau européen en matière de données de santé ; de simplifier l’accès aux données de santé dans un cadre sécurisé et permettre au Health Data Hub de gagner en indépendance face à des acteurs américains très intéressés par nos données de santé. Ce qui implique pour ce second point d’utiliser un cloud de confiance porté par un acteur européen et pose à nouveau la question d’une réglementation toujours en attente au niveau national.

Si les traitements de données personnelles effectués à partir du site www.dmp.fr « sont réalisés conformément aux exigences de la règlementation en vigueur relative à la protection des données personnelles et en particulier de la loi du 6 janvier 1978 modifiée par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles. » selon la CNIL, l’hébergement des données de santé suscite de nombreuses interrogations.

Le choix de Microsoft comme hébergeur des données du Health Data Hub a en effet suscité l’indignation. « Le choix de la société Microsoft pour assurer l’hébergement du Health Data Hub a été effectué sans créer un appel d’offres spécifique et a été mis en avant pour des raisons de conformité avec les prérequis de ce projet. […] Ce que révèle aussi ce projet, c’est, d’abord, l’absence de stratégie de politique industrielle dans le numérique.Ce choix dénote aussi une forme de paresse intellectuelle dans la conception même du projet qui s’aligne sur l’offre des Gafam […] sans chercher à créer une architecture alternative. Ce projet aurait dû être l’occasion de mettre en place des mécanismes innovants pour associer des PME européennes dans l’éventail des technologies nécessaires à sa mise en place (pour l’hébergement, la sécurité, l’analyse et le traitement des données). Et l’architecture de ce projet aurait pu être conçue d’emblée pour coordonner différents acteurs européens comme le propose désormais le projet Gaia-X. Si la localisation des données et l’origine des sociétés qui traiteront ces données sont cruciales dans ce cas, l’important sera, là encore, d’éviter que les sociétés européennes qui participent ne fassent massivement appel à des technologies extra européennes au risque de recréer de nouvelles formes de dépendance. […] »3 déplore Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique.

Les dernières déclarations de la CNIL et de Cedric O appelant à « rapatrier » l’hébergement de nos données de santé vers un acteur français ou européen pourrait laisser espérer que les nombreux appels et cris d’alarme aient été enfin entendu.

La défiance semble déjà prendre racine dans ce dossier. « Il est essentiel d’apporter de la confiance dans la qualité de la donnée numérique et la cybersécurité est un moyen de le faire. Il est un axe de communication sur lequel s’appuyer pour rassurer et expliquer comment les systèmes et les données sont protégés. En ajoutant que cela est fait par des entreprises tricolores, le message devrait avoir un tout autre retentissement auprès de la population. » confie David Ofer et de poursuivre « dans certains domaines, nous ne disposons malheureusement plus de savoir-faire sur le sol national ou européen. En revanche, pour ce qui est de la cybersécurité, nous avons des grands groupes et des PME leaders dans leur domaine ! Il est donc possible de réagir. A l’hébergement des données nous pouvons adosser des solutions françaises et européennes de cybersécurité pour garder la maîtrise de nos données ! » déclare t-il.

La e-santé : une valeur ajoutée pour demain

La digitalisation est essentielle pour répondre aux nombreux défis auxquels le système fait et devra faire face : l’explosion des maladies chroniques, le vieillissement de la population, l’évolution du nombre de soignants sur le territoire, la soutenabilité économique du système de santé et les nouveaux défis sanitaires et sociaux.

La E-santé permettrait alors de dessiner le système de santé de demain :les patients sont rendus plus autonomes et gèrent leur propre santé, la circulation des informations médicales est fluidifiée au bénéfice des patients par la dématérialisation des échanges, l’émergence de la télémédecine, l’efficacité des structures de soins est décuplée et l’expérience des patients améliorée grâce au numérique et à l’automatisation. Enfin, la décision médicale et paramédicale est rendue plus fiable et sûre avec l’aide de l’intelligence artificielle (IA). La E-santé pourra aussi apporter un élément de réponse solide à la problématique des déserts médicaux.

« Les données sont essentielles pour l’avenir d’un système de santé plus efficace demain. Dotées d’une forte valeur, elles pourraient être réduites à néant si leur intégrité, leur traçabilité ne sont pas assurées. Il nous appartient donc d’investir dans la protection naturelle de ce qui a aujourd’hui et pour demain, de la valeur à nos yeux. » ajoute David Ofer.

Quant au potentiel économique, le cabinet de conseil en stratégie McKinsey estime que la création de valeur de la E-santé en France pourrait se situerentre 16 et 22 milliards d’euros par an.
Associer le numérique et la sécurité à la santé, pourrait faire de ce secteur, une fierté de la France autant qu’un secteur d’avenir. Il est urgent de ne plus attendre !

Sources :

https://www.institutmontaigne.org/publications/e-sante-augmentons-la-dose

https://blog.atempo.com/fr/blog/stuctures-sante-face-au-covid-19

https://syntec-numerique.fr/sites/default/files/Documents/AlertePresse_SegurdelaSante_280720-_version_finale.pdf

https://cnnumerique.fr/nos-travaux/confiance-innovation-solidarite-pour-une-vision-francaise-du-numerique-en-sante-2020

http://www.telemedaction.org/446790475

1 Accélérer le virage numérique – https://solidarites-sante.gouv.fr/IMG/pdf/190425_dossier_presse_masante2022_ok.pdf

2 Mission de préfiguration – https://solidarites-sante.gouv.fr/IMG/pdf/181012_-_rapport_health_data_hub.pdf

3 Article Le Point – https://www.lepoint.fr/technologie/health-data-hub-le-choix-de-microsoft-et-un-contresens-industriel-10-06-2020-2379394_58.php

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER