Les avantages du cloud et ceux de la télémédecine ne sont plus à démontrer et le premier répond parfaitement aux impératifs de fonctionnement du second.

La télémédecine qui a été définit par le législateur comme « (…) une forme de pratique médicale à distance utilisant les technologies de l’information et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de santé, parmi lesquels figure nécessairement un professionnel médical et, le cas échéant, d’autres professionnels apportant leurs soins au patient. Elle permet d’établir un diagnostic, d’assurer, pour un patient à risque, un suivi à visée préventive ou un suivi post-thérapeutique, de requérir un avis spécialisé, de préparer une décision thérapeutique, de prescrire des produits, de prescrire ou de réaliser des prestations ou des actes, ou d’effectuer une surveillance de l’état des patients[1] ». La télémédecine présente de nombreux intérêts que ce soit pour le patient dont le suivi se trouve optimisé ou pour les praticiens qui peuvent bénéficier simplement de l’ensemble des informations nécessaires pour effectuer leur travail dans les meilleures conditions.

Si en parallèle on appréhende la notion de cloud comme étant la mise à disposition de services informatiques de manières transparente vis-à-vis des techniques mises en œuvre et au travers des technologies de l’information, il est logique de penser que ce modèle informatique soit parfaitement adapté à la télémédecine. Pourtant, si l’utilisation du cloud se veut intuitive et accessible à tous, il n’en reste pas moins construit sur la base de technologies dont la mise en œuvre peut s’avérer inadaptée aux moyens d’accès nomades ainsi qu’au cadre légal, réglementaire et déontologique de l’application de la médecine. Il conviendra donc de bien mesurer les enjeux liés au déploiement de services de télémédecine dans le cloud.

Accès aux services de télémédecine

Du point de vue du gouvernement Français, les enjeux liés à la télémédecine sont la réduction des difficultés d’accès aux soins pour les personnes isolées, l’organisation face aux défis épidémiologique et la gestion des inégalités en termes de répartition des professionnels sur le territoire national ; le tout dans le respect de contraintes budgétaires liées à la gestion d’un service de santé publique.

La définition même de la notion de cloud intègre cette capacité d’être utilisée par tous et de n’importe où. Mais il ne faudrait pas oublier que, pour accéder aux services du cloud, il faut être connecté à Internet ; et que cette connexion passe par l’utilisation de terminaux relativement couteux et de débit réseaux inégalement répartis sur le territoire français. A l’heure où l’on parle d’une couverture 4G pour 40% de la population, il ne faut pas oublier que la couverture géographique ne correspondrait qu’à 20% du territoire. Pire, certaines zones géographiques ne sont encore couvertes qu’entre 55% et 79% en 2G. De même, si la couverture ADSL, au travers des lignes téléphoniques historiques, dépasse la barre des 85% dans l’ensemble des départements français, il reste tout de même de 2% à 15% des départements non éligibles à la télémédecine par les moyens technologiques « domestiques » ; entendons par là, peu couteux.

Le premier enjeu du cloud sera donc de se rendre accessible à 100% de la population. Cette couverture ne sera possible que par l’intermédiaire des gestionnaires des réseaux informatiques : les opérateurs de Telecom.

Disponibilité des services de télémédecine

Les services de télémédecine sont de divers ordres. Ceux liées aux relations Patient-Médecin et ceux correspondant aux échanges Médecin-Médecin. Dans tous les cas, la disponibilité est un point essentiel au rendu du service. C’est justement un des domaines dans lequel le cloud excelle. Il permet d’assurer qu’un service tourne en permanence, la plupart du temps avec des garanties de niveaux de service de 99,999%, et que les données stockées sont protégées de la destruction par des mécanismes techniques divers. Il faudra cependant être un peu technicien pour réaliser que préserver les données contre la destruction (l’effacement) n’est pas obligatoirement synonyme d’assurance contre la corruption. Comme c’est le cas dans le milieu bancaire, par exemple, le cloud devra faire la preuve que les données qu’il héberge sont conformes aux originales et non-répudiables. Enfin, si l’on revient quelques instants sur les notions de garanties de niveaux de service, un calcul rapide nous indiquera qu’une disponibilité de 99,999% (par an) rend néanmoins acceptable, pour le fournisseur de cloud, une indisponibilité momentanée de 8 heures consécutives.

Les contraintes relatives à la disponibilité des données et des services peuvent donc être solutionnées naturellement grâce au cloud. Encore faut-il qu’elles aient été bien identifiées et notifiées dans le cadre du contrat d’utilisation des services.

Applications et processus liés à la télémédecine

Parmi les principaux actes de télémédecine[2] on peut citer l’établissement de diagnostic, le suivi et la surveillance des patients, la préparation de décisions thérapeutiques et consultations d’avis expert mais aussi la prescription et réalisation de soins. La production d’e-ordonnance est, à ce jour, encore interdite car il n’est pas possible de garantir l’authenticité du document. Sous réserve que les besoins fonctionnels soient décrits et applicables sans l’action physique d’un professionnel de santé au patient, la mise en œuvre de services informatiques liés à chacun de ces actes de télémédecine est tout à fait envisageable. Cela peut être réalisé hors cloud, comme c’est actuellement le cas de la plupart des applications informatiques du domaine de la Santé, et dans le cloud, sous réserve que les mécanismes de production des services répondent aux besoins en terme de fonctionnalités, de disponibilité, de confidentialité et d’intégrité des données de santé.

Les services cloud de type messagerie, partage de documents, visioconférence sont d’ores et déjà disponibles pour le grand public au travers de prestataire Internet connus. Leur mises en œuvre dans le cadre de la télémédecine est donc tout à fait envisageable ; sous réserve qu’ils respectent les critères de confidentialité sur lesquels nous reviendront plus tard. Les services qui seront spécifiques à un métier, un type d’acte ou de processus pourront aussi bien trouver leur place dans le cloud nonobstant les contraintes liées aux traitements des données de santé.

Différents modèles de services cloud sont disponibles et pourront être conjointement utilisés dans le cadre de la télémédecine. Un service collaboratif se tournera plutôt vers le modèle « Software as a Service » (SaaS) alors qu’un développement d’application spécifique pourra être mise en œuvre selon le modèle « Platform as a Service » (PaaS). La propriété de « puissance à la demande » du cloud assure la mise à disposition transparente et pratiquement temps-réel de ressources informatique (puissance de calcul et stockage) au moment où le processus fonctionnel le réclame ; par exemple, en imagerie médicale. Le choix du prestataire de service sera réalisé en fonction des adéquations fonctionnelles de sa solution mais aussi des réponses apportées aux problématiques de sécurité et de confidentialité des données hébergées.

Confidentialité et intégrité des données de santé

Dans le cadre de l’utilisation du cloud comme de toutes technologies touchant à l’exercice de la médecine, la dématérialisation des informations de santé les rend sensibles aux problématiques de confidentialité et d’intégrité. On définit la confidentialité comme le « caractère réservé d’une information ou d’un traitement dont l’accès est limité aux seules personnes admises à la (le) connaitre pour les besoins du service, ou aux entités ou processus autorisés »[3]. L’intégrité d’une donnée ou d’un processus est la « propriété assurant qu’une information ou un traitement n’a pas été modifié ou détruit de façon non autorisée ». Remarquons que la confidentialité et l’intégrité des données, qu’elles soient de santé ou pas, est un critère important lors de l’évaluation de la mise en place de tout service dans le cloud.

Concernant la confidentialité, le chiffrement des flux et des données est un impératif pour maintenir un niveau de confidentialité élevé. Des technologies de connexion point-à-point ou de tunnel (IPsec, SSL, VPN…) au dessus de connexion non sécurisées doivent être déployées afin d’assurer que les données transitent de manière confidentielles du patient au professionnel de santé. De plus, il conviendra d’assurer un chiffrement fort des données au niveau des systèmes de stockage ; notamment, afin d’assurer que seuls les personnes autorisées peuvent y accéder.

Pour garantir l’intégrité, la gestion des accès aux données de santé nécessitera la mise en œuvre de système d’authentification forte. Que ce soit pour la production ou la consommation de données, il conviendra d’utiliser des techniques plus complexes que le simple couple habituel « identifiant / mot de passe » comme par exemple l’utilisation de certificats numériques ou des empreintes biométriques. En l’occurrence, et pour l’heure, l’accès aux données de Santé par des professionnels est conditionné par l’utilisation d’une Carte Professionnelle de Santé (CPS) ou d’un dispositif équivalent, agréé par l’ASIP. Bien que diffusée gratuitement au praticien, le coût de tels dispositifs et leur disponibilité chez les fournisseurs de service en ligne orienteront fortement le choix des prestataires.

La CNIL porte une attention particulière au regard du traitement des données à caractère personnel. On notera par exemple qu’un groupement des CNIL européennes a entrepris une action en justice contre un des acteurs majeurs du cloud vis-à-vis de sa gestion des données personnelles. Selon les avis remis par la CNIL et l’ASIP, le Ministère de la Santé délivre, ou non, les agréments aux hébergeurs de données de santé. Tout cloud n’est donc pas automatiquement éligible à la mise en œuvre de service de télémédecine. Les contraintes techniques liées aux besoins de confidentialité et d’intégrité doivent pouvoir être auditées. Les choix d’implémentation de solutions de télémédecine seront donc naturellement plutôt tournés vers des offres de cloud privé.

Le cloud, un ensemble de nuages pour un ensemble de métiers

Les contraintes inhérentes aux métiers de la santé impactent fortement les décisions fonctionnelles et techniques qui doivent être prise pour « aller dans le cloud ». Il n’y a pas un cloud mais bien plusieurs ; comme autant d’implémentations techniques possible d’un besoin exprimé. On distinguera notamment les « cloud souverain » des « cloud public » par leur capacité à assurer le stockage des données dans des espaces géographiques respectant les contraintes règlementaires.

Si les métiers diffèrent, les contraintes sont assez souvent similaires. Que ce soit dans le domaine de la Santé, du Nucléaire, de la Banque, de l’Aéronautique, de la Défense ou encore du Commerce, la confidentialité, l’intégrité et l’accès aux données sont au cœur des préoccupations des gestionnaires de ces données. Ce faisant, elles deviennent des enjeux cruciaux pour l’adoption du cloud. L’une des clés de la réussite d’un projet cloud est la capacité à le considérer dans son ensemble tout en gardant à l’esprit les particularités inhérentes aux besoins métier.

 

========
Sébastien Truttet est co-fondateur et directeur opérationnel de Nadra Technologies

 

[1] Article L6316-1

[2] http://www.sante.gouv.fr/deploiement-de-la-telemedecine-tout-se-joue-maintenant.html

[3] Source : Instruction générale interministérielle sur la protection du secret et des informations concernant la défense nationale et la sûreté de l’État n° 1300/SGDN/ PSE/SSD du 25 août 2003– Voir : Arrêté du 23 juillet 2010 portant approbation de l’instruction générale interministérielle sur la protection du secret de la défense nationale – NOR: PRMD1019225A