Retour d`expe rience CH de Chartres
Transcription
Retour d`expe rience CH de Chartres
Colloque Sécurité des informations en établissement de santé 16 Juin 2015 - Blois Retour d’experience CH de Chartres J’interviens en tant que délégué régional de la Fédération Hospitalière de France et en tant que chef d’établissement puisque je dirige le Centre Hospitalier de Chartres. Aujourd’hui, chacun de nous, quel que soit son niveau de responsabilité, voit bien que l’informatique est devenue un outil majeur dans les échanges d’information et dans la pratique quotidienne. Cette révolution s’est produite en plusieurs étapes. Les premiers promoteurs de l’informatique- c’était, à titre principal des informaticiens ; plus rarement des médecins, peinaient à trouver des volontaires pour développer les usages. Je me souviens des nombreux professionnels réfractaires à cet outil C’était il n’y a pas si longtemps. Certains se plaignaient même du bruit du ventilateur de l’unité centrale. Excuse détournée pour ne pas avoir à l’utiliser. Certes, il y a encore des professionnels qui répugnent au clavier ou à l’écran tactile mais ils sont devenus, en l’espace de ces dix dernières années, très minoritaires. Au point qu’aujourd’hui les besoins d’usage dépassent les capacités de déploiement de nos équipes informatiques et nos moyens financiers. En tant que chef d’établissement, je considère que notre informatique – j’utilise à dessein ce terme réducteur plutôt que celui de système d’information car je considère que les usages et les logiciels ne font pas totalement système aujourd’hui. Je reviendrai sur ce point-. L’informatique donc, assure un rôle stratégique croissant et majeur à la fois dans la prise en charge de nos patients ; dans les relations inter professionnelles et dans la gestion de l’Hôpital. Comme les autres professionnels ayant connu la révolution en cours dont je viens de parler, les directeurs d’hôpital ont suivi le même cheminement. Et, pour faire carrière, mieux valait s’intéresser à la gestion des ressources humaines ou aux affaires financières qu’à l’informatique ou à la gestion des risques, sujet qui nous rassemble aujourd’hui. Nous nous y sommes intéressés, pour beaucoup d’entre nous, soit par nécessité - parce qu’il n’était décidément pas possible d’utiliser le papier et le crayon pour toutes les taches- soit par l’intérêt démontré par d’autres. Nous sommes, en quelque sorte, la première génération spontanée de l’informatique moderne ; c'est-à-dire de l’informatique de réflexion qui se substitue à l’informatique du début de l’histoire (années 80 et 90) qui était, avant tout, une informatique de production. Je dis, quitte à forcer le trait, génération spontanée car nombre d’entre nous ne sont pas nés avec ces outils et force est de constater que ces outils sont arrivés et arrivent encore en ordre dispersé. Ainsi, ils sont mis en œuvre pièce par pièce avec des fournisseurs différents car l’offre n’est pas suffisamment mature pour faire système. On va d’abord mettre en place un dossier patient informatisé et être condamné à acquérir d’autres outils d’autres origines par exemple pour la prise en charge plus spécialisée en réa ou pour le circuit du médicament. Cela crée un risque de rupture dans la chaine de l’information censée suivre le patient. Quant aux usages, il faut, en toute humilité, 1 Colloque Sécurité des informations en établissement de santé 16 Juin 2015 - Blois reconnaître qu’ils vont plus vite que notre réflexion. Cela va de l’usage des mails qui s’échangent et se transmettent sans annuaire sécurisé entre le lieu de travail et le lieu de résidence ou de villégiature. Il y a aussi la connexion d’objets multiples (à commencer par le smart phone personnel que le directeur a eu pour noël). Cela passe aussi par l’atelier biomédical qui développe de son côté les liaisons à distance sans en référer au service informatique. Il en va aussi des échanges relatifs aux patients dans l’établissement et, de plus en plus, au-delà de nos établissements alors que nous ne disposons pas d’un outil fiable pour l’identification des patients. Enfin j’observe qu’après s’être cassé les dents sur les banques, les hackers et pirates s’attaquent à des structures a priori plus faibles et les hôpitaux ne sont pas épargnés. Pour un chef d’établissement de santé déjà très fortement mobilisé par les risques majeurs inhérents à la mission sanitaire, le risque informatique n’est pas le bienvenu car il se surajoute. Il faut reconnaître que nous restons assez timides et les investissements et les moyens consacrés par nos établissements à la construction d’un véritable système d’information qui conditionne, il faut en être convaincu, à la fois l’efficience et la réduction des risques, restent modestes. Mais nous ne pouvons-nous défausser de nos responsabilités d’autant qu’un élément nouveau apparaît : nos établissements échangent et donc deviennent de plus en plus interdépendants, y compris dans la responsabilité. Si l’un des établissements n’est pas engagé dans une politique de sécurité et s’il ne la respecte pas, il met en danger tous les autres. Dans un contexte où les systèmes d’information sont de plus en plus connectés (tablettes, smartphones, …) et ouverts vers l’extérieur, ceci doit pouvoir se faire dans un cadre sécurisé et maîtrisé. Ainsi, selon moi, la priorité est la sécurisation à la fois, des processus de soins, cœur de métier de notre Hôpital ; ainsi que les usages numériques qui permettent l’échange et le partage d’informations avec d’autres systèmes d’information de santé ou avec les autres professionnels de santé (réseaux de soins, praticiens libéraux, autres établissements). Le Centre Hospitalier de Chartres se focalise principalement sur la confidentialité et la disponibilité de l’information ; ce choix est lié à la sensibilité des données de santé et à la nécessité de les avoir à disposition afin de prodiguer des soins de qualité. La justesse des informations et la production de traces associées à leur manipulation sont aussi des objectifs à atteindre. Ces objectifs répondent aux critères nationaux de la Certification de la Haute Autorité de Santé, aux orientations données par le programme Hôpital Numérique ainsi qu’aux objectifs régionaux fixés par le Contrat Pluriannuel d’Objectifs et de Moyens conclu avec l’Agence Régionale de Santé. A cela, s’ajoutent les exigences de la Politique de Sécurité des SI de l’Etat parue en juillet 2014 que doivent aussi respecter les hôpitaux. Les données de notre établissement sont exposées à des menaces et des risques réels notamment de vol et de négligences pouvant engager notre responsabilité. C’est pourquoi il est nécessaire de recenser l’ensemble des risques qu’encourt notre établissement. Ainsi, j’ai demandé à mes équipes de réaliser une cartographie des risques liés au système d’information. Ceci me permet, avec le directeur des systèmes d’information, de prioriser les actions pour maîtriser ces risques et d’avancer par paliers. En regard de ces risques, nous avons la responsabilité vis-à-vis de nos patients et vis-à-vis de l’État, de garantir un niveau de sécurité suffisant pour protéger les 2 Colloque Sécurité des informations en établissement de santé 16 Juin 2015 - Blois données qui nous sont confiées. Par exemple, aujourd’hui, pour améliorer les objectifs liés à la traçabilité, nous mettons en place les connexions au SI via cartes CPE / CPS et capitalisons en expérience sur tous les tests que nous réalisons. A mon sens, une démarche sécurité est une démarche d’amélioration continue au même titre que la démarche qualité. Afin de conduire la démarche, j’ai mis en place une gouvernance dans notre établissement désignant Mme Emmanuelle Fouju, Directrice adjointe en charge du PREF, en tant que référent sécurité des systèmes d’information. Elle dispose d’une expérience qualité qui lui permet de conduire efficacement la démarche sécurité. Par ailleurs, j’ai choisi d’inclure de manière systématique la sécurité au sein de la Commission des SI de l’établissement. J’ai la volonté d’apporter mon soutien aux démarches entreprises pour améliorer la sécurité et ainsi de contribuer au respect des préconisations nationales. C’est aussi pourquoi j’ai sollicité, au nom des établissements publics de la région Centre, le GCS TéléSanté Centre afin que des travaux soient engagés autour de la PSSIE. Je me tiens aussi à l’écoute des incidents qui se produisent dans l’établissement et veille à leur suivi et traitement. Les REX de l’Hôpital dont ceux liés à la sécurité sont placés comme indicateur qualité. Par ailleurs, j’ai demandé à recevoir les alertes sécurité émises par le GCS TéléSanté Centre afin de me tenir informé des incidents qui se produisent dans les autres établissements et de bénéficier de conseils préventifs ou curatifs. Enfin, je veux souligner que le respect des prérequis d’hôpital numérique, qui sont les marqueurs de notre engagement en matière de sécurité, conditionnent l’obtention de soutiens financiers indispensables car, avant de percevoir les bénéfices de nos investissements il faut accroître nos efforts sans gain immédiat. Dans le contexte budgétaire actuel, le soutien financier de cet effort est le bienvenu. A nous de nous mettre à la hauteur requise. En conclusion, je suis persuadé que la sécurité des SI est l’affaire de tous, que nous avons chacun notre rôle à jouer, à notre niveau. Et nous, directeurs, nous devons d’être les promoteurs de cette démarche et communiquer sur les enjeux. Nos patients et nos équipes doivent avoir confiance dans nos systèmes d’information, ceci a un impact direct sur la qualité et la sécurité des soins. La sécurité est, en somme, le ciment qui permet de passer réellement de l’informatique au système d’information ; c’est à dire de développer les échanges dans un espace de confiance et, partant, notre efficience collective au service du patient. Raoul Pignard Directeur Général du CH de Chartres et Délégué Régional FHF 3