L archivage électronique en milieu hospitalier. Isabelle RENARD, Jean-Marc RIETSCH

Transcription

1

2

3 L archivage électronique en milieu hospitalier Isabelle RENARD, Jean-Marc RIETSCH

4

5 l archivage électronique en milieu hospitalier Isabelle Renard, Jean-Marc Rietsch Les Auteurs Jean-Marc Rietsch Pilote de l ouvrage, JM Rietsch est expert des métiers de la confiance et plus particulièrement de l archivage électronique. Ingénieur Civil des Mines, JM Rietsch a débuté sa carrière professionnelle par le développement logiciel et l offre de services pour les PME-PMI. En 1993, il oriente sa carrière vers la sécurité et plus particulièrement la sauvegarde des données informatiques et dépose un brevet sur le sujet. En 2001, JM Rietsch participe au lancement du premier tiers archiveur en France. JM Rietsch est Président de FedISA (Fédération de l ILM du Stockage et l Archivage) créée en 2005 afin de pouvoir répondre aux attentes des utilisateurs dans le domaine. Il est également le fondateur de EIFISA (European Institute for ILM storage & Archiving) société spécialisée dans la formation sur le domaine et à l origine d un premier master sur la dématérialisation et l archivage électronique. Isabelle Renard Isabelle Renard, avocat à la Cour de Paris, a été associée au sein du Cabinet August & Debouzy avocats, responsable du groupe Propriété Intellectuelle et Contrats commerciaux, qui compte une quinzaine d avocats, puis a rejoint le cabinet VAUGHAN. Isabelle Renard, après avoir suivi une formation d ingénieur : ingénieur INPG et docteur ingénieur, a passé une grande partie de sa carrière dans l industrie de l informatique et des services, notamment au sein des groupes Thalès et Unisys en France et aux Etats-Unis. Elle avait rejoint le Cabinet Archibald Andersen en 1999, où elle était avocat associée en charge du département Nouvelles Technologies. Isabelle Renard est également titulaire d un DEA de droit des affaires de l Université de Paris II. Isabelle Renard enseigne par ailleurs le droit des contrats au sein du DESS de droit du multimédia et de l informatique de l université de Paris II depuis sa création en Elle est expert IFEIJ et est l auteur d ouvrages sur la signature électronique et l externalisation :

6

7 Sommaire Préface p. 7 Introduction p. 11 Fiche 1 Besoin d archivage p. 13 Fiche 2 L aspect légal de l archivage numérique p. 14 Fiche 3 Spécificités légales de l archivage en milieu hospitalier p. 21 Fiche 4 Impact de la législation protectrice des données personnelles p. 27 Fiche 5 Contrainte techniques p. 30 Fiche 6 Risques et assurances p. 34 Fiche 7 Stratégie p. 37 Fiche 8 Technologies actuelles p. 40 Fiche 9 Logiciels p. 46 Fiche 10 Outils méthodologiques p. 49 Fiche 11 Tiers archiveur p. 55 Fiche 12 Coûts de l archivage p. 58 Fiche 13 Gestion-archivage des mails p. 61 Référentiel documentaire p. 67

8

9 L archivage électronique en milieu hospitalier Préface 7 Préface L archivage électronique en particulier et la dématérialisation en général sont de véritables su- jets d actualité pour bon nombre d organisations tant publiques que privées. Ceci s explique certes par une augmentation extrêmement forte du volume de données électroniques gérées au quotidien mais aussi par une évolution des technologies et surtout des processus d entreprise voire des obligations tant légales que réglementaires. Les plus récentes évolutions en la matière sont sans doute celles relatives au monde de la finance, sachant que celui de la santé est tout aussi impacté comme nous le verrons dans le présent ouvrage. Par ailleurs il ne faut surtout pas se limiter à considérer la problématique de l archivage électronique comme relevant de la simple dématérialisation des techniques traditionnelles d archivage. Outre l influence des nouvelles obligations, ce nouveau type d archivage doit être pris en compte très en amont dans le cycle de vie de l information, dès l instant où les données peuvent être considérées comme figées suite ou non à une notion de validation. La loi française est très claire sur le sujet, pour que des données électroniques puissent avoir une quelconque valeur juridique il faut entre autre apporter la preuve de leur intégrité tout au long de leur parcours, de la création à l archivage. Le paradoxe de l archivage électronique consiste à devoir travailler avec des nouvelles technologies à l évolution rapide bien connue. Il est ainsi d autant plus difficile d opérer un choix destiné à engager l établissement sur plusieurs années, s agissant d archivage et par définition de moyen et de long terme. Nous verrons dans la suite de notre exposé qu il existe cependant des moyens très efficaces pour répondre à ce paradoxe comme celui de recourir à un tiers pour opérer son archivage électronique, sous réserve que ce dernier satisfasse à un minimum de conditions techniques et organisationnelles. L accès à l information constitue une nouvelle richesse pour l établissement sous réserve que cette information soit fiable. Pourquoi ne pas profiter de ces évolutions pour donner une nouvelle valeur à la donnée archivée, fiable par définition, en la rendant tout simplement plus accessible. En effet à partir du moment où l information existe sous forme électronique et que son intégrité est garantie, les seules modifications qu elle puisse subir sont celles relatives à un changement de support, voire un système d accès plus sophistiqué en matière d indexation. Dès lors l information, même archivée, peut rester accessible extrêmement facilement et renforcer d autant le système d information de l établissement et par là même sa réactivité en permettant de disposer de la bonne information au bon moment, comme vu précédemment. Au-delà de la simple technique il est également indispensable de considérer d autres aspects très différents comme les aspects juridiques, organisationnels ou normatifs sans oublier un minimum de communication et de conduite du changement. Sans être compliqué cet environnement devient néanmoins vite complexe. D où la nécessite de pouvoir effectivement sensibiliser et informer l ensemble des utilisateurs potentiellement concernés.

10 8 L archivage électronique en milieu hospitalier Préface Pourquoi un rapprochement MIPIH - FEDISA : Par rapport à l évolution des besoins, des contraintes associées et des techniques, rien ne permet aujourd hui de répondre de façon vraiment satisfaisante aux véritables préoccupations des utilisateurs en matière de gestion et de conservation de l information électronique. Ce constat a conduit en 2005 à la création de la FedISA, Fédération de l ILM1, du stockage et de l archivage. Afin de répondre véritablement aux besoins identifiés FedISA s est fixé pour principales missions de : sensibiliser les responsables concernés aux nouvelles technologies et aux obligations afférentes (obligation de conservation, de continuité d activité, de traçabilité, ) ; informer les utilisateurs sur les nouvelles technologies en effectuant une véritable veille tant technologique que juridique, normative ou encore organisationnelle et ce à un niveau national et international ; donner au responsable de tels projets les éléments permettant de pleinement les justifier par rapport aux risques encourus (légaux et financiers) et autres avantages compétitifs comme une meilleure réactivité ; participer à la création de nouveaux métiers comme responsable de projets de dématérialisation ou d archivage électronique et contribuer à leur formation ; collaborer à la mise en place de nouvelles «certifications», à la définition de référencements spécifiques, de nouveaux processus ; entretenir des liens avec les organismes oeuvrant dans les environnements de la sécurisation et de la valorisation de l information en générale. Par rapport à ce qui précède et compte tenu des objectifs du MIPIH, de répondre aux demandes de plusieurs établissements adhérents relatives à l archivage électronique de document à valeur probante dans un contexte de mutualisation, la synergie entre ces deux organisations devenait quasi évidente. Présentation MIPIH Le MIPIH (Midi-Pyrénées Informatique Hospitalière) est une structure publique de coopération inter-hospitalière créée le 12 Mars 1994 suite à une réflexion commune des hôpitaux adhérents au CRIH Midi-Pyrénées (Centre Régional d Informatique Hospitalière) et du CHU de Toulouse. Lors de sa constitution le MIPIH a retenu le cadre juridique du Groupement d Intérêt Public (GIP) afin de poursuivre et pérenniser l activité d édition et de services informatiques du CRIH Midi-Pyrénées. Cette structure de coopération Inter-hospitalière a pour objet, au bénéfice de ses membres : la création et la gestion de services communs ; l exercice de toute activité concourant à la mise en œuvre, au fonctionnement, au développement et à la coordination de l informatique et des systèmes d échanges et traitement d informations des Etablissements Publics de Santé ou des Etablissements Participant au Service Public Hospitalier et des Etablissements Sanitaires et Sociaux ainsi que les Réseaux. Le MIPIH est un des trois éditeurs de l offre CONVERGENCE-PROFILS, sa clientèle se décompose en adhérents et clients. Plus d une centaine adhérents directs ou indirects participent à l orientation stratégique du MIPIH. Une trentaine de CH et CHU-CHR sont devenus clients au travers de Marchés Publics ou de Structures de Coopération Interhospitalière. A ce jour plus de 170 Centres Hospitaliers dont 10 Centres Hospitaliers Régionaux utilisent au moins une applica- 1 ILM Inforation Lifecycle Management, gestion du cycle de vie du document

11 L archivage électronique en milieu hospitalier Préface 9 tion CONVERGENCE-PROFILS développée par le MIPIH. Regroupant 190 collaborateurs pour un budget annuel de 20 Millions d Euro, le MIPIH développe des actions de partenariat avec plusieurs structures institutionnelles : GIE CONVERGENCE-PROFILS, Groupement PH7, Diffuseurs, Editeurs ; ainsi que des entreprises privés : Intégrateurs, SSII, Constructeur de matériel Informatique, Editeurs de logiciels. Le présent ouvrage est né du besoin de concrétiser cette complémentarité et de répondre à la nécessité d informer. Il s adresse essentiellement aux décideurs et autres responsables afin de leur permettre de trouver rapidement le minimum à connaître pour aborder de telles problématiques. Ainsi cet ouvrage est destiné avant tout à bien baliser le terrain en matière d archivage électronique tout en éliminant les idées fausses qui ne manquent malheureusement pas dans un tel contexte. La pluralité des métiers est une des constantes de cette nouvelle problématique. Sont ainsi directement concernés : l utilisateur qui connaît son secteur d activité ; le responsable informatique qui appréhende cette nouvelle donnée technique ; l archiviste dont c est le cœur de métier ; l expert technique en archivage qui tient le rôle d accompagnateur de ces projets ; le juriste qui met en lumière les risques juridiques et les encadre ; les institutionnels qui identifient des besoins et définissent des normes communes ; le tiers archiveur qui se charge de l hébergement mais aussi de l organisation de cet archivage. Comment faire pour que toutes ces compétences puissent travailler efficacement ensemble, tel est également l un des objectifs du présent ouvrage destiné à montrer les différentes interactions et le rôle imparti à chacun des intervenants. Pierre Magioni Directeur du MIPIH Jean-Marc Rietsch Président de FEDISA Ce document fait suite à une série d ouvrages dont nous nous sommes inspirés, déjà écrits sur ce thème dont le premier «L archivage électronique à l usage des dirigeants» (Eric Caprioli, Marie-Anne Chabin, Jean-Marc Rietsch) a ensuite été développé sous forme d un livre édité chez Dunod «Dématérialisation et archivage électronique» puis adapté au droit monégasque. Plus récemment un nouveau livre blanc «Protection du patrimoine informationnel» (Eric Caprioli, Paul de Kervasdoué, Jean-François Pépin, Jean-Marc Rietsch) tente de montrer que finalement la sécurité informatique, l archivage et l intelligence économique œuvrent dans le même sens qui consiste à protéger le patrimoine de l entreprise au sens de l information.

12

13 L archivage électronique en milieu hospitalier Introduction 11 Introduction L archivage électronique, un mal nécessaire? Absolument pas, il doit être pris comme un moy- en particulièrement efficace destiné à gagner en performance et ce pour toute entreprise ou établissement hospitalier quelle que soit sa taille. Les processus liés à l archivage électronique permettent en effet un accès simplifié à une plus grande quantité d information, totalement impossible par le passé. Au prix d une nouvelle organisation, l archivage électronique ne doit pas être vu comme une «simple» dématérialisation de l archivage traditionnel, parlons plutôt d archivage actif ou encore dynamique permettant l accès à la bonne information et au bon moment. Les exigences de l archivage électronique sont en fait multiples, contrairement à un archivage traditionnel. Un bon archivage électronique doit en effet permettre : d assurer la traçabilité, l intégrité, la sécurité, la pérennité des données ; de répondre aux exigences légales et réglementaires de conservation et de restitution ; de relever le défi de l obsolescence technologique récurrente ; de faciliter l accès à l information. Ajoutons à cela le fait que tout doit bien évidemment être réalisé au meilleur coût! De façon plus générale, la dématérialisation, autrefois simple concept, touche aujourd hui pratiquement tous les domaines. L Etat est particulièrement moteur sur ce sujet en proposant au travers de ses différents services et entités représentatives plusieurs dizaines de téléprocédures dont les plus connues sont historiquement télétv@ et téléir. Depuis janvier 2005 de nombreux appels d offres publics peuvent se faire de façon dématérialisée. En ce qui concerne plus particulièrement le monde de l entreprise, la dématérialisation des factures est maintenant une réalité. Les télédéclarations se développent également très rapidement avec les experts comptables comme principaux artisans. Ce phénomène s étend même jusqu au niveau des particuliers ou l on voit arriver la carte d identité électronique ou encore la carte de vie citoyenne. Tout cela est rendu possible grâce à l usage de la signature électronique qui après un démarrage pour le moins chaotique semble enfin avoir trouvé sa voie, entraînant dans son sillage l horodatage, l archivage électronique et la gestion de la preuve électronique. Ce sont en effet des volumes colossaux d informations dématérialisées qu il va falloir maintenant conserver en toute sécurité pendant plusieurs dizaines d années, voire davantage. Pour preuve la loi sur le dossier médical du patient et plus récemment encore la reconnaissance de l acte authentique électronique qui nécessite une conservation à vie des documents ainsi traités! Encore une fois la notion même d archivage a changé dans la mesure où il faut totalement balayer cette vision ancienne, pourtant bien ancrée dans les esprits, de l archive conservée dans des cartons poussiéreux. Du fait de la dématérialisation, l information reste facilement accessible et doit le rester tout au long de son cycle de vie, de sa création à son archivage historique puis à sa destruction. Cela veut dire que même rendue au statut d archive la donnée doit être accessible facilement, voire disponible en ligne.

14 12 L archivage électronique en milieu hospitalier Introduction Désormais, l archivage est à prendre en compte dès la création de la donnée ce qui provoque certains bouleversements dans les anciennes habitudes. Autrefois l on pouvait facilement définir la notion de données vivantes ou mortes. Ainsi une donnée était réputée vivante si elle restait accessible en ligne et modifiable alors qu à l inverse elle était dite morte si figée et archivée et par conséquent moins facile d accès. Cette époque est en train de disparaître et encore une fois l archivage prend une orientation tout à fait nouvelle dans la mesure où il devient partie intégrante et surtout active du cycle de vie de la donnée. La particularité de la donnée archivée est de ne plus être modifiable tout en demeurant accessible tant qu elle présente une utilité. C est le cas par exemple d un mail qui, autrefois, aurait pu être considéré comme une donnée morte car figée. Face à cette profonde mutation le chef d entreprise se trouve fort démuni, ne sachant pas par quel bout prendre le problème, d où la tentation fort compréhensible d attendre! Pourtant les enjeux sont de taille qu ils soient, financiers, juridiques, réglementaires, organisationnels, sécuritaires, géopolitiques, L objectif du présent document est ainsi d aider les responsables d établissement, face à cette problématique posée par la dématérialisation à outrance et à la nécessité d archiver des masses de plus en plus importantes d informations. De ne pas oublier également qu il va falloir être capable de retrouver rapidement cette information au besoin. Chacune des fiches qui suivent a été conçue de façon à pouvoir être lue indépendamment et comporte trois parties : contexte, enjeux et recommandations. Ce choix a été dicté par un souci d efficacité destiné à permettre au lecteur de trouver rapidement les premiers éléments de réponse aux problèmes qu il se pose. A contrario, ceci provoque immanquablement certaines répétitions ou renvois le cas échéant à d autres fiches complémentaires. A l intérieur de chaque fiche on pourra retrouver un certain nombre de focus (sous forme d encadrés) au sujet de certains autres points tout aussi importants mais qu il ne nous était pas possible de traiter ici plus en détail. 1 Besoins d archivage 2 Aspect légal de l archivage numérique 3 Spécificités légales de l archivage en milieu hospitalier 4 Impact de la législation protectrice des données personnelles 5 Contraintes techniques 6 Risques et assurances 7 Stratégie 8 Technologies actuelles 9 Logiciels 10 Outils méthodologiques 11 Tiers archiveur 12 Coûts de l archivage 13 Gestion-archivage des mails Un référentiel documentaire présent à la fin du présent document permettra à ceux qui le désirent de pouvoir approfondir tel ou tel aspect. Nota : Le présent document ne traite pas des problématiques d archivage numérique liées au fonctionnement de back office de l hôpital, telles que la télétransmission des factures ou la dématérialisation des procédures d achat de fourniture par les établissements publics de santé. Il est dédié à l archivage des documents liés au cœur de métier de l établissement hospitalier.

15 L archivage électronique en milieu hospitalier Fiche Fiche 1 Besoin d archivage Contexte L archivage peut être vu comme l organisation raisonnée d une conservation sécurisée de l information créée aujourd hui afin de pouvoir être réutilisée demain. De plus en plus ce besoin d archivage est ressenti comme une nécessité pour les établissements hospitaliers mais surtout devient une obligation. Ainsi l archivage répond en fait à trois besoins distincts : le premier, qui est le plus important, est le besoin pour l établissement de prouver ce qu il a fait ou ce qu il n a pas fait ; il doit justifier de son activité vis-à-vis de ses patients, des autorités de tutelle, vis-à-vis de l Etat, vis-à-vis d un audit interne ; il doit en outre, lors d un contentieux, produire les pièces nécessaires à la défense de ses droits et de ses intérêts ; le second besoin correspond à la réutilisation des données dans la conduite de son activité comme des études déjà réalisées et réutilisables dans le cadre d un nouveau projet, au lieu de recréer l information, opération qui peut coûter cher et faire perdre un temps précieux ; le troisième besoin est pour l établissement l intérêt de préserver sa mémoire, tant pour constituer une culture d entreprise, que pour communiquer envers ses patients, ses partenaires, ses salariés, la société. Les besoins d archivage sont d autant plus forts que l information produite et archivable est toujours plus prolifique ; qu elle se présente sous des formes multiples (données structurées ou non, images, sans oublier le papier) ; et que l environnement réglementaire est souvent très contraignant. Enjeux Les enjeux de l archivage ou de l absence d un archivage raisonné et efficace sont multiples : organisationnel, autant que faire se peut il est nécessaire d optimiser la structuration des données afin d en faciliter la gestion et de maîtriser la redondance de l information, détruire les données inutiles ou périmées qui alourdissent le système, faciliter l accès à l information tout en respectant des droits d accès établis de façon stricte ; juridique, le principal risque est de ne pas pouvoir produire les données requises par un audit ou un juge dans la forme requise ; non seulement les données doivent avoir été archivées mais elles doivent présenter des caractéristiques d authenticité, d intégrité et de non répudiation leur permettant d être retenues comme élément de preuve valide ; logistique, les données ont été bien archivées techniquement mais il est pratiquement impossible d y accéder car elles n ont pas été caractérisées pour pouvoir effectuer des recherches et les moteurs de recherche ne produisent que du «bruit» inexploitable ; ou encore, les données existent mais ne sont pas intelligibles (on a perdu le moyen de les décoder et de les interpréter) ; sécuritaire, des données confidentielles (données stratégiques, personnelles) risquent d être divulguées parce qu elles ne sont pas ou insuffisamment protégées, ou encore parce qu elles auraient dû être détruites ;

16 14 L archivage électronique en milieu hospitalier Fiche 1 technique, l enjeu technique est double à la fois dans l espace avec les problèmes d interopérabilité entre systèmes, et dans le temps avec le défi de pérennité des données sur le long terme, face à l obsolescence récurrente des formats, supports et outils de restitution ; financier, l enjeu financier est double également : coût d une amende ou d une condamnation judiciaire et dans une moindre mesure, mais à ne pas négliger tout de même, le temps perdu à la recherche d information ou investissement perdu dans des outils non maintenus dans le temps. En fait retenons que les enjeux de l archivage peuvent se résumer aux conséquences pour l établissement, de ne pas pouvoir retrouver les informations qu il a produit à un moment de son activité, alors qu il a besoin de les communiquer ou de les réutiliser. Recommandations Quand on parle d archivage, la première tâche d un établissement est d évaluer ses besoins, c est-à-dire archiver quoi pourquoi et pour combien de temps? Pour l évaluation de ces besoins, il est recommandé de répondre de manière appropriée aux six questions suivantes : Quelles sont les données à archiver parmi l ensemble des données produites? Les données à archiver sont celles qui correspondent à un processus achevé ; elles sont validées et ne doivent plus être modifiées, afin de tracer un événement à une date donnée. Les données à archiver représentent en général une minorité de l ensemble des données produites dans le cadre des activités de l établissement. Il faut donc élaborer une cartographie globale des données à archiver, c est-à-dire des données à identifier et à capturer dans un système d archivage, par ordre de priorité : archives vitales pour l établissement : en plus des données courantes qui sont sauvegardées régulièrement, d autres données, plus anciennes, sont elles aussi indispensables à l établissement pour redémarrer après un sinistre ; données à caractère légal et réglementaire : être en règle vis-à-vis de l administration fiscale, des organismes sociaux, de la CNIL, etc. ; données supportant les intérêts de l établissement en cas de contentieux ; information exploitable pour l activité future ; mémoire historique. Quelle est la criticité des données? Chaque type de données ou de document possède plusieurs caractéristiques qui permettent d organiser son archivage, notamment : la sensibilité de l information, confidentielle, unique et difficile à reconstituer, ou au contraire information de routine ou de confort, etc. ; la fréquence et l urgence de la consultation selon les types de documents ou de données (notion de disponibilité). Ce critère permet également d optimiser le stockage. Quelles exigences de conservation? Le système d archivage doit assurer la maintenance des données jusqu à la fin du cycle de vie de l information. Cette durée peut aller de quelques mois à plusieurs décennies, voire plus d un siècle. La durée de conservation est déterminée soit en application des textes réglementaires, soit par analogie avec ces textes en fonction du risque de contentieux, soit par métiers en fonction de la réutilisation prévisible de l information archivée.

17 L archivage électronique en milieu hospitalier Fiche 1 15 Quelles exigences d intégrité et de sécurité? Si les données doivent être restituées dans un environnement juridique ou dans le cadre d un audit, il est impératif qu elles soient intègres et que leur utilisation ait été tracée depuis la date de leur archivage voire depuis leur création comme vu en introduction. En fait la loi de mars 2000 (voir fiche 2 Aspect légal de l archivage numérique) fait ressortir quatre éléments fondamentaux : intelligibilité de la donnée ; intégrité du contenu depuis son origine ; identification de l auteur ou des auteurs de l information ; pérennité de l information. A propos de l intégrité Ne pas recueillir d information constitue un problème d indisponibilité, tandis qu obtenir des informations fausses ou mutantes est un souci d intégrité. Ce dernier point est très important et à traiter avec d autant plus d attention que la durée de conservation des données sera longue et donc les risques plus nombreux. L intégrité est ainsi définie comme la propriété qui assure qu une information n est modifiée que par les utilisateurs habilités dans les conditions d accès normalement prévues. On recherche donc par l intégrité, l absence de modification volontaire ou involontaire des flux et des traitements. L article 4.f du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 instituant l Agence européenne chargée de la sécurité des réseaux et de l information définit l intégrité des données comme : «la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n ont pas été modifiées» Si l intégrité représente un critère de sécurité de base, il en est néanmoins le plus diffus et donc le plus difficile à mettre en œuvre sur la totalité de la cible du traitement de l information. L intégrité se subdivise normalement en deux sous ensembles distincts pour s approcher davantage de la mécanique du traitement de l information : l intégrité des flux de données, l intégrité des traitements. En général, les atteintes à l intégrité sont d origine malveillantes. Les cas d accidents ou d erreurs sont beaucoup plus rares. Selon le CLUSIF (Club de la Sécurité des Systèmes d Information Français), sur une période de plus de 10 ans, la malveillance s accroît de près de 15 % par an, principalement au détriment de l intégrité des données et des traitements. Le monde de l Internet est en effet un champ d expérimentation mondial pour l atteinte à l intégrité des données, des messages et des traitements. Cependant il existe plusieurs interprétations possibles de l intégrité suivant que l on se place du côté purement technique ou plutôt du côté organisationnel et juridique. Par principe l intégrité technique d un document électronique est mise en cause dès l instant où un seul des bits constituant le document est modifié. A l inverse l intégrité au sens juridique d un document consiste à conserver le sens de l information qu il contient sans s attacher nécessairement à la forme. Ainsi le fait de modifier un accent dans un texte ne va pas en changer fondamentalement le sens alors que cela suffira à lui faire perdre son intégrité technique.

18 16 L archivage électronique en milieu hospitalier Fiche 1 Afin d apporter une solution à cette difficulté d interprétation, le Forum des droits sur l internet et la Mission Économie Numérique ont recommandé dans leur rapport 2006 que la notion d intégrité du document telle que prévue par l article du Code civil soit assurée par le respect cumulé des trois critères suivants : lisibilité du document, stabilité du contenu informationnel, traçabilité des opérations sur le document. Les enjeux de l intégrité des flux et des traitements sont fondamentaux, spécialement à l heure d Internet dans la mesure où il est indispensable de pouvoir faire «confiance» aux données constituant l élément essentiel du patrimoine informationnel. En effet la perte d intégrité peut présenter des dangers vitaux comme par exemple des mutations de données du groupe sanguin d un dossier médical partagé (stocké dans un centre d hébergement des dossiers médicaux) ou bien d un identifiant patient etc. Les cas pratiques donnant lieu ou non à des recours juridiques sont très nombreux et inquiétants, du fait de leur croissance exponentielle depuis plus de quinze ans. Quelle volumétrie à traiter? Un type de document ( facture, , comptes rendus du comité de direction, etc.) peut représenter des volumes très variables parmi l ensemble des données de l établissement. Ainsi la maîtrise des volumes est utile pour : définir les priorités de gestion (les types de données et de documents les plus volumineux seront prioritaires) ; estimer les besoins en stockage (critère à combiner à la durée de conservation) et donc une partie des coûts. Quel accès? La question de l accès comporte deux volets : les droits d accès, définis en fonction du profil des utilisateurs, accès à tout ou partie des informations, restrictions d accès, évolution dans le temps ; la possibilité de recherche d information via des mots-clés (indexation automatique ou manuelle) ou à l aide d un moteur de recherche, assorti ou non d un thésaurus.

19 L archivage électronique en milieu hospitalier Fiche 2 17 Fiche 2 L aspect légal de l archivage numérique Enjeux La dématérialisation des documents revêt un double enjeu au plan juridique : Le premier est celui de la valeur probante d un document dématérialisé si un élément de celui-ci est contesté (origine, contenu, date) ; Le second est lié à la nécessité de respecter les règles de «compliance» qui se sont multipliées récemment. Par exemple la législation protectrice des données personnelles, ou la réglementation très spécifique du Dossier Médical Partagé (DMP). Les risques attachés à ces enjeux ne sont pas les mêmes. Dans le premier cas, le risque est celui de la mise en cause de la responsabilité d un établissement hospitalier qui serait incapable de démontrer la véracité d un document numérique, ou de retrouver l origine ou la date de celui-ci. Dans le second cas, l établissement hospitalier peut se voir appliquer les sanctions prévues par la règle de compliance considérée. Par exemple, s agissant de la protection des données personnelles, des sanctions financières et pénales. Cette réflexion est structurante dans l analyse de risque/coût préalable à la conception du système d archivage, car les choix techniques ne seront pas les même selon que les contraintes probatoires, ou les contraintes de compliance de tel ou tel type d information seront faibles ou fortes. Qu est-ce que l archivage «légal»? L archivage «légal» est une impropriété de langage. L archivage numérique n est pas défini par la loi et en cas de litige sur la valeur juridique d un document archivé, seul le juge décidera du point de savoir si le document est probant, en fonction des éléments qui lui seront présentés. Cette expression est pourtant largement utilisée, mais elle doit être comprise dans le sens où elle désigne un système dont les caractéristiques principales répondent aux exigences posées par la loi pour attribuer une valeur probante à un écrit numérique. Il est très important de s entendre sur le mot «système» : si le système est une baie d archivage et que celle-ci a été conçue pour rendre un service d archivage «légal», la garantie n est donnée que pour les documents qui sont, à un moment donné, rentrés dans le système. Si les documents en question ont subi de nombreuses transformations avant d être versés dans le système d archivage et que ces transformations ne peuvent être tracées, alors il ne servira à rien d avoir mis en œuvre une baie d «archivage légal» car on sera incapable de retracer le cycle de vie du document depuis sa création et de garantir que l information qu il véhicule n a pas été altérée avant son versement dans la baie d archivage.

20 18 L archivage électronique en milieu hospitalier Fiche 2 On voit apparaître ici une notion fondamentale, qui est celle de la gestion du cycle de vie : l archivage est «légal» s il permet de maîtriser le cycle de vie du document dans son entier, et pas seulement une portion de celui-ci. La valeur juridique du document numérique L «écrit numérique» est un concept récent, qui a été introduit dans le droit français par la Loi n du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique, dont les dispositions ont été intégrées au Code Civil. Aux termes de l article 1316 du Code civil : «La preuve littérale, ou preuve par écrit, résulte d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission» L écrit numérique est donc fondamentalement différent de l écrit papier en ce que l information est dissociée du support. Dans un écrit papier, objet statique et intangible, l information et le support sont intimement liés, et l origine et la date du document s induisent de son apparence visuelle. Dans un document numérique, les éléments constitutifs de l information signifiante, de la date du document et de son origine devront être «attachés» à l enregistrement et constitueront ce que l on appelle couramment les «métadonnées» de l archive. L article du Code Civil définit les conditions à remplir pour qu un écrit numérique ait une valeur probante : «L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité». Il s infère de l article du Code Civil que la qualité de la conservation de l écrit est une condition de la validité de la preuve, mais la loi ne traite pas des modalités d archivage. En pratique, un écrit numérique résultera de l intégration de différents éléments et de différentes technologies qui auront contribué à la création du document définitif. La valeur juridique de ce document sera assurée dès lors que le processus mis en œuvre permettra d en identifier l origine, et de garantir son intégrité depuis sa création et tout au long de son cycle de vie. L apport de la signature électronique (voir focus signature dans fiche 5 Contraintes techniques) L article Code Civil définit la signature électronique comme : «l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache». La signature d un écrit numérique passe par l utilisation de procédés techniques adéquats et fiables. Ceux qui sont préconisés par les textes européens reposent sur les technologies cryptographiques dites à clés publiques (ou asymétriques, ou encore PKI) distribuées et garanties par des entités qui jouent un rôle de «tiers de confiance» dans le dispositif. Le tiers de confiance («Prestataire de Service de Certification Electronique», ou «PSCE» dans les textes juridiques ) attribue à une personne les moyens qui vont lui permettre d apposer une signature électronique sur des enregistrements numériques : la personne signe le document considéré au moyen d une «clé privée» qu elle est seule à détenir (par exemple logée sur une carte à puce), et le destinataire vérifie l intégrité du document et l identité du signataire au moyen d informations qui sont fournies et garanties par le tiers de confiance. Il se trouve que la signature électronique assure de façon parfaite les fonctionnalités qui permettent d accorder une valeur probante à un écrit numérique, car le document fait l objet d un calcul d empreinte [donc son intégrité peut être vérifiée], et possède un identifiant qui est pro-

21 L archivage électronique en milieu hospitalier Fiche 2 19 pre au signataire [ce qui procure au document une garantie d origine]. La signature électronique présente un intérêt évident lors des transactions en ligne, car elle permet d identifier de façon fiable un interlocuteur distant. Elle n est pas néanmoins un passage obligé, dès lors que le système mis en œuvre donne des garanties suffisantes de pouvoir identifier l origine du document et d assurer l intégrité du document et de l information signifiante. Peut-on dématérialiser tous les documents? Quelques rares actes sont restés réfractaires à la dématérialisation. Aux termes de l article du Code Civil, les seuls cas où le papier reste indispensable et où la dématérialisation est impossible, même avec une signature électronique, sont les actes sous seing privé relatifs au droit de la famille et des successions, et les actes sous seing privé relatifs à des sûretés personnelles ou réelles, de nature civile ou commerciale, sauf s ils sont passés par une personne pour les besoins de sa profession. Il s en suit que dans le cadre d un établissement hospitalier, tous les documents peuvent a priori être créés et stockés sous forme numérique. Les contraintes à respecter par le système d archivage Les fonctionnalités du système Pour être «légal», un système d archivage devra assurer un certain nombre de fonctionnalités. Certaines de ces fonctionnalités s induisent de la loi, d autres des textes normatifs. Les critères légaux Ceux-ci, on l a vu, sont définis par l article du code civil. Il s agit : De la capacité à identifier l origine du document, c est-à-dire son imputabilité à un auteur désigné, personne physique ou morale. En pratique, il est conseillé d assurer cette fonctionnalité en associant à l enregistrement numérique une «métadonnée» qui comprendra, entre autre, cette information sur son origine ; De la garantie d intégrité du document tout au long de son cycle de vie. Le Forum des Droits sur l Internet décline cette qualité en trois fonctions (voir focus intégrité dans fiche 1) : la lisibilité, la stabilité du contenu informationnel (c est-à-dire sa fidélité par rapport au document d origine et la capacité de détecter toute modification des documents stockés), la traçabilité des opérations effectuées sur le document, c est-à-dire la capacité d enregistrer toutes les opérations effectuées sur les documents stockés (auteur de l opération, date et heure de l opération). Les critères normatifs Le recours à une norme d archivage a des conséquences importantes au plan juridique. En effet, d après la jurisprudence (Cour de cassation, Chambre civile, 4 février 1976, Bull. civ, II, n 49), l existence d une norme dans un domaine est représentative d un état de l art. Or, l état de l art est la notion à laquelle les tribunaux se réfèrent en cas de litige portant sur une matière technique : la mise en place par un établissement hospitalier de systèmes techniques qui sont à l état de l art caractérise sa diligence, et est de nature à atténuer sa responsabilité en cas de litige. Il existe à ce jour de nombreuses normes relatives à l archivage (voir fiche 10 Outils méthodologiques). Certaines de ces normes précisent les spécifications techniques à respecter et ex-

22 20 L archivage électronique en milieu hospitalier Fiche 2 plicitent les critères légaux précédemment identifiés, d autres (comme MOREQ) sont relatives à l organisation de l archivage. Les normes insistent notamment sur une fonctionnalité essentielle de tout système d archivage sur le long terme, qui est la pérennité de celui-ci, qui implique l utilisation de standards indépendants des applications et des environnements informatiques. La politique d archivage (voir focus PA fiche 10 Outils méthodologiques) La politique d archivage est le document qui décrit les objectifs attendus du système d archivage et l ensemble des procédures mises en œuvre pour atteindre ces objectifs et garantir la fiabilité du système. La politique d archivage et la déclaration des pratiques d archivage associée décrivent : les contraintes juridiques et réglementaires associées à chaque type d information archivée ; les choix structurants qui ont été opérés ; les moyens qui permettent d assurer la traçabilité des opérations et l intégrité des archives et de façon plus large, la sécurité de l ensemble du système et du service d archivage. La politique d archivage est une pièce indispensable de la défense de l entreprise en cas de litige, en ce qu elle démontre les diligences mises en œuvre pour s assurer de sa qualité et de sa fiabilité, et qu elle guide la démarche de l expert qui serait le cas échéant mandaté pour analyser les aspects techniques du litige. La politique d archivage doit être régulièrement mise à jour. Le règlement judiciaire d un litige portant sur la validité juridique d un Document Notre système juridique, au travers de dispositions contenues tant dans le Code Civil que dans le Nouveau Code de Procédure Civile, a laissé au juge un pouvoir d appréciation important quant à la validité de la preuve, notamment numérique, qui lui est soumise : Art Code Civil : «Lorsque la loi n a pas fixé d autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu en soit le support.» Art 287 NCPC : «Si la dénégation ou le refus de connaissance porte sur un écrit ou une signature électroniques, le juge vérifie si les conditions, mises par les articles et du code civil à la validité de l écrit ou de la signature électronique sont satisfaites.» Ces dispositions signifient que dans le cadre d un litige qui porterait sur la validité d un document numérique, ce qui importe pour la partie qui a produit le document contesté est de pouvoir démontrer que celui ci a été établi grâce à un système fiable qui permette d identifier l origine et de garantir l intégrité du document tout au long de son cycle de vie. Cela suppose l existence d une documentation claire, synthétique et structurée sur les méthodes et technologies mises en œuvre pour atteindre ce résultat : c est la Politique d Archivage.

23 L archivage électronique en milieu hospitalier Fiche 3 21 Fiche 3che 3 Spécificités légales de l archivage en milieu hospitalier Contexte L archivage des données personnelles médicales en milieu hospitalier se rattache à deux problématiques distinctes : Le Dossier Médical Partagé (ou DMP). Tous les établissements hospitaliers devront à terme, au même titre que l ensemble des professionnels de santé, s organiser pour accéder au DMP d un patient, le modifier et le cas échéant l archiver ou le faire archiver. Ce sujet est encore en pleine gestation. Il a nécessairement un impact sur le SI de l établissement, mais il n est pas au cœur de sa problématique d archivage ; Le Dossier Patient, qui contient les informations relatives à tout patient soigné au sein de l établissement. Le Dossier Patient est au cœur de la problématique de l archivage en milieu hospitalier, avec des logiques et des contraintes qui sont très spécifiques à ce milieu. Le présent document porte sur la problématique spécifique à l établissement hospitalier, qui est celle de l archivage du Dossier Patient. Deux catégories de personnel ont accès aux données du patient : le personnel administratif, et le personnel soignant. Leurs façons d accéder aux données archivées sont radicalement différentes. Le personnel administratif peut en effet accéder aux données dans le cadre de systèmes d authentification compatibles avec les règles de l art (voir focus ci-après). Le personnel soignant est une population dont il est au contraire très difficile de sécuriser les modalités d accès : accès ouvert aux postes de travail, partagé par plusieurs personnes, avec des impératifs de rapidité d accès peu compatibles avec des techniques d authentification forte. Par ailleurs, la généralisation du wifi dans les unités de soin favorise la mobilité du personnel soignant mais impacte la sécurité. Ce contexte particulier doit être présent à l esprit lors de la conception du système d accès aux données archivées par l hôpital. A propos de l identification authentification Authentifier une personne procède d une démarche élaborée consistant à certifier le lien entre la personne et son identification. Il est important de pouvoir protéger l information en identifiant aussi parfaitement que possible les personnes y ayant accès afin entre autres de respecter la confidentialité des données. Identifier quelqu un consiste à établir l identité de la personne c est à dire son caractère permanent et fondamental tandis qu authentifier revient à certifier l exactitude de son identité. L article 4.e du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 définit l authentification comme «la confirmation de l identité prétendue d entités ou d utilisateurs».

24 22 L archivage électronique en milieu hospitalier Fiche 3 La dualité de ces deux notions d identification et d authentification est chose importante en matière de contrôle d accès afin d authentifier la personne après l avoir identifié. Cela touche le système d information mais aussi le contrôle d accès physique à tel ou tel bâtiment. Au sujet du terme authentification En réalité, le terme authentification ne s applique qu aux objets et l on parle régulièrement, par exemple, d authentifier une œuvre d art. Ainsi, l usage de ce terme en informatique est souvent employé à tort pour signifier «identification». L origine de cette erreur provient d un anglicisme lié au terme anglais authentication, faux ami qui veut dire à la fois «identification» et «authentification». Mais en français, seul le terme «identification» convient pour déterminer si un objet ou une entité est bien untel ; il s agit d une certaine façon d un véritable contrôle d identité. À l inverse, l «authentification» sert à déterminer si un objet, et non plus une personne, a les caractéristiques prétendues. Le principe est en général d identifier la personne grâce à un système d identifiant (login) assorti d un mot de passe. Malheureusement rien n indique de façon certaine qu il s agit bien de la bonne personne. En effet même si l identifiant et le mot de passe sont corrects, il se peut très bien que l utilisateur qui se connecte les ait dérobés à leur propriétaire. Afin de pallier cet inconvénient majeur en terme de sécurité, on aura en général recours à ce que l on a coutume d appeler un système d «authentification forte» consistant à vérifier avec quasi certitude que la personne qui s identifie est bien celle qu elle prétend être. Nous reprenons ci-après les sept systèmes d identification/authentification les plus utilisés, à savoir : 1. Identifiant (login) et mot de passe (password) : dispositif le plus courant mais très peu sûr. 2. Identifiant et OTP (One-Time Password) : L utilisateur dispose d un token ou «calculateur» qui lui fournit un mot de passe (à usage unique et à durée limitée) au moment où il se connecte. Pour pouvoir utiliser son calculateur, il doit tout d abord y introduire un mot de passe. 3. Le certificat électronique sur carte à puce ou clé USB : L utilisateur dispose d un certificat électronique stocké sur son support et activé grâce à un code PIN. Cette solution nécessite l existence d une infrastructure PKI afin de pouvoir délivrer et suivre la vie des certificats. 4. La clé «Confidentiel Défense» : Il s agit en fait d une déclinaison particulière du cas précédent. En général le support est multifonctions et permet ainsi le stockage de certificat X509, de données, de ressource cryptographique (pour le chiffrement à la volée du disque dur et des flux applicatifs). Afin de contrer les risques des «key loggers» (enregistrement des touches frappées à l insu de l utilisateur), le code PIN doit être composé directement sur la clé sans passer par le clavier (exemple du dispositif utilisé par la Gendarmerie Nationale où la souris fait office de lecteur de carte et dispose d un clavier numérique pour frapper le code PIN). 5. La carte à puce avec identifiant et mot de passe : Ce système correspond à une version allégée de la troisième solution dans la mesure où elle ne nécessite pas d infrastructure PKI. L authentification de l utilisateur est faite directement à partir de l annuaire d entreprise (par exemple en s appuyant sur le protocole LDAP (Lightweight Directory Access Protocol). 6. Les solutions biométriques qui utilisent des lecteurs biométriques (iris de l œil, index, configuration de la face, contour de la main, etc.) pour contrôler les accès. Cependant le critère choisi est plus ou moins facile à mettre en œuvre et présente une force variable. De fait la configuration de l index avec ses points de contrôle reste encore aujourd hui le mécanisme biométrique le plus abouti. La police scientifique de la fin du XIXème siècle avait fait le bon choix avant que des lecteurs électroniques du doigt ne soient mis au point, cent ans plus tard! Trois possibilité sont offertes afin de conserver les données à comparer au moment de

25 L archivage électronique en milieu hospitalier Fiche 3 23 la lecture biométrique, à savoir : au niveau du poste de travail, au niveau d une carte cryptographique ou au niveau d un serveur (se pose alors le problème légal du stockage de données biométriques centralisées en un seul endroit). 7. Le RFID (Radio Frequency Identification) actif : Cette technologie permet d identifier l utilisateur sans contact physique, à quelques mètres de distance. Le badge de l utilisateur possède une alimentation propre qui lui permet de dialoguer avec une antenne connectée au poste de travail. Ce dernier détecte alors l arrivé ou le départ d un utilisateur sans aucune autre action particulière de sa part si ce n est d indiquer son mot de passe, au moins une fois. En résumé, l authentification d une personne est basée sur l un au moins des trois critères suivants : Ce que sait la personne, par exemple un mot de passe ; Ce que possède la personne, un token ou un certificat électronique ; Ce qu est la personne, aspect biométrique. Enjeux Avec l utilisation massive des nouvelles technologies pour gérer les données des patients, l hôpital gagne en efficacité, optimise la gestion des dossiers et dispose d une meilleure visibilité sur ses patients. En contrepartie, un dysfonctionnement du système d information qui sous tend cet ensemble, et notamment le système d archivage, serait lourd de conséquences : En terme d image, si ce dysfonctionnement entraîne une désorganisation visible du système de soins ; En terme financier : préjudice moral (accès à des informations confidentielles par des tiers) ; préjudice corporel (altération d un dossier patient conduisant à une erreur de diagnostic ou de soin), ou encore impossibilité d accéder au système. Enfin, si la confidentialité et la sécurité des données de santé sont insuffisamment assurées, l hôpital n est pas à l abri des sanctions financières et/ou pénales prévues par les textes relatifs à la protection des données personnelles. A propos de la confidentialité En matière de sécurité la confidentialité est une caractéristique très importante abordée également au niveau du contrôle d accès. En fait la confidentialité revêt à la fois la notion de secret et de diffusion restreinte à un petit nombre de personnes. La confidentialité représente une propriété qui assure que dans les conditions normalement prévues, seuls les utilisateurs autorisés (ou habilités) ont accès aux informations concernées. La principale limite de la confidentialité tient au fait qu une personne ne peut être tenue pour responsable d aucune divulgation si les éléments révélés étaient déjà dans le domaine public ou si elle en avait déjà connaissance ou pourrait les obtenir de tiers par des moyens légitimes. Les informations confidentielles sont évidemment importantes : confidentialité médicale (personne atteinte du VIH etc.), confidentialité de votre code de carte bancaire, mot de passe personnel pour le contrôle d accès physique et (ou) logique dans l entreprise, secrets liés à la tactique militaire, etc. Comme évoqué précédemment la confidentialité intervient également au niveau du contrôle