Retour d`expe rience CH de Chartres

Colloque Sécurité des informations en
établissement de santé
16 Juin 2015 - Blois
Retour d’experience CH de Chartres
J’interviens en tant que délégué régional de la Fédération Hospitalière de France et en tant que chef
d’établissement puisque je dirige le Centre Hospitalier de Chartres.
Aujourd’hui, chacun de nous, quel que soit son niveau de responsabilité, voit bien que l’informatique
est devenue un outil majeur dans les échanges d’information et dans la pratique quotidienne.
Cette révolution s’est produite en plusieurs étapes.
Les premiers promoteurs de l’informatique- c’était, à titre principal des informaticiens ; plus rarement
des médecins, peinaient à trouver des volontaires pour développer les usages. Je me souviens des
nombreux professionnels réfractaires à cet outil C’était il n’y a pas si longtemps. Certains se
plaignaient même du bruit du ventilateur de l’unité centrale. Excuse détournée pour ne pas avoir à
l’utiliser. Certes, il y a encore des professionnels qui répugnent au clavier ou à l’écran tactile mais ils
sont devenus, en l’espace de ces dix dernières années, très minoritaires. Au point qu’aujourd’hui les
besoins d’usage dépassent les capacités de déploiement de nos équipes informatiques et nos moyens
financiers.
En tant que chef d’établissement, je considère que notre informatique – j’utilise à dessein ce terme
réducteur plutôt que celui de système d’information car je considère que les usages et les logiciels ne
font pas totalement système aujourd’hui. Je reviendrai sur ce point-. L’informatique donc, assure un
rôle stratégique croissant et majeur à la fois dans la prise en charge de nos patients ; dans les
relations inter professionnelles et dans la gestion de l’Hôpital.
Comme les autres professionnels ayant connu la révolution en cours dont je viens de parler, les
directeurs d’hôpital ont suivi le même cheminement. Et, pour faire carrière, mieux valait s’intéresser
à la gestion des ressources humaines ou aux affaires financières qu’à l’informatique ou à la gestion
des risques, sujet qui nous rassemble aujourd’hui.
Nous nous y sommes intéressés, pour beaucoup d’entre nous, soit par nécessité - parce qu’il n’était
décidément pas possible d’utiliser le papier et le crayon pour toutes les taches- soit par l’intérêt
démontré par d’autres.
Nous sommes, en quelque sorte, la première génération spontanée de l’informatique moderne ;
c'est-à-dire de l’informatique de réflexion qui se substitue à l’informatique du début de l’histoire
(années 80 et 90) qui était, avant tout, une informatique de production.
Je dis, quitte à forcer le trait, génération spontanée car nombre d’entre nous ne sont pas nés avec ces
outils et force est de constater que ces outils sont arrivés et arrivent encore en ordre dispersé. Ainsi,
ils sont mis en œuvre pièce par pièce avec des fournisseurs différents car l’offre n’est pas
suffisamment mature pour faire système. On va d’abord mettre en place un dossier patient
informatisé et être condamné à acquérir d’autres outils d’autres origines par exemple pour la prise en
charge plus spécialisée en réa ou pour le circuit du médicament. Cela crée un risque de rupture dans
la chaine de l’information censée suivre le patient. Quant aux usages, il faut, en toute humilité,
1
Colloque Sécurité des informations en
établissement de santé
16 Juin 2015 - Blois
reconnaître qu’ils vont plus vite que notre réflexion. Cela va de l’usage des mails qui s’échangent et se
transmettent sans annuaire sécurisé entre le lieu de travail et le lieu de résidence ou de villégiature. Il
y a aussi la connexion d’objets multiples (à commencer par le smart phone personnel que le directeur
a eu pour noël). Cela passe aussi par l’atelier biomédical qui développe de son côté les liaisons à
distance sans en référer au service informatique. Il en va aussi des échanges relatifs aux patients dans
l’établissement et, de plus en plus, au-delà de nos établissements alors que nous ne disposons pas
d’un outil fiable pour l’identification des patients. Enfin j’observe qu’après s’être cassé les dents sur
les banques, les hackers et pirates s’attaquent à des structures a priori plus faibles et les hôpitaux ne
sont pas épargnés.
Pour un chef d’établissement de santé déjà très fortement mobilisé par les risques majeurs inhérents
à la mission sanitaire, le risque informatique n’est pas le bienvenu car il se surajoute.
Il faut reconnaître que nous restons assez timides et les investissements et les moyens consacrés par
nos établissements à la construction d’un véritable système d’information qui conditionne, il faut en
être convaincu, à la fois l’efficience et la réduction des risques, restent modestes.
Mais nous ne pouvons-nous défausser de nos responsabilités d’autant qu’un élément nouveau
apparaît : nos établissements échangent et donc deviennent de plus en plus interdépendants, y
compris dans la responsabilité. Si l’un des établissements n’est pas engagé dans une politique de
sécurité et s’il ne la respecte pas, il met en danger tous les autres.
Dans un contexte où les systèmes d’information sont de plus en plus connectés (tablettes,
smartphones, …) et ouverts vers l’extérieur, ceci doit pouvoir se faire dans un cadre sécurisé et
maîtrisé.
Ainsi, selon moi, la priorité est la sécurisation à la fois, des processus de soins, cœur de métier de
notre Hôpital ; ainsi que les usages numériques qui permettent l’échange et le partage d’informations
avec d’autres systèmes d’information de santé ou avec les autres professionnels de santé (réseaux de
soins, praticiens libéraux, autres établissements).
Le Centre Hospitalier de Chartres se focalise principalement sur la confidentialité et la disponibilité de
l’information ; ce choix est lié à la sensibilité des données de santé et à la nécessité de les avoir à
disposition afin de prodiguer des soins de qualité. La justesse des informations et la production de
traces associées à leur manipulation sont aussi des objectifs à atteindre. Ces objectifs répondent aux
critères nationaux de la Certification de la Haute Autorité de Santé, aux orientations données par le
programme Hôpital Numérique ainsi qu’aux objectifs régionaux fixés par le Contrat Pluriannuel
d’Objectifs et de Moyens conclu avec l’Agence Régionale de Santé. A cela, s’ajoutent les exigences de
la Politique de Sécurité des SI de l’Etat parue en juillet 2014 que doivent aussi respecter les hôpitaux.
Les données de notre établissement sont exposées à des menaces et des risques réels notamment de
vol et de négligences pouvant engager notre responsabilité. C’est pourquoi il est nécessaire de
recenser l’ensemble des risques qu’encourt notre établissement. Ainsi, j’ai demandé à mes équipes
de réaliser une cartographie des risques liés au système d’information.
Ceci me permet, avec le directeur des systèmes d’information, de prioriser les actions pour maîtriser
ces risques et d’avancer par paliers. En regard de ces risques, nous avons la responsabilité vis-à-vis de
nos patients et vis-à-vis de l’État, de garantir un niveau de sécurité suffisant pour protéger les
2
Colloque Sécurité des informations en
établissement de santé
16 Juin 2015 - Blois
données qui nous sont confiées. Par exemple, aujourd’hui, pour améliorer les objectifs liés à la
traçabilité, nous mettons en place les connexions au SI via cartes CPE / CPS et capitalisons en
expérience sur tous les tests que nous réalisons. A mon sens, une démarche sécurité est une
démarche d’amélioration continue au même titre que la démarche qualité.
Afin de conduire la démarche, j’ai mis en place une gouvernance dans notre établissement désignant
Mme Emmanuelle Fouju, Directrice adjointe en charge du PREF, en tant que référent sécurité des
systèmes d’information. Elle dispose d’une expérience qualité qui lui permet de conduire
efficacement la démarche sécurité. Par ailleurs, j’ai choisi d’inclure de manière systématique la
sécurité au sein de la Commission des SI de l’établissement.
J’ai la volonté d’apporter mon soutien aux démarches entreprises pour améliorer la sécurité et ainsi
de contribuer au respect des préconisations nationales. C’est aussi pourquoi j’ai sollicité, au nom des
établissements publics de la région Centre, le GCS TéléSanté Centre afin que des travaux soient
engagés autour de la PSSIE.
Je me tiens aussi à l’écoute des incidents qui se produisent dans l’établissement et veille à leur suivi et
traitement. Les REX de l’Hôpital dont ceux liés à la sécurité sont placés comme indicateur qualité. Par
ailleurs, j’ai demandé à recevoir les alertes sécurité émises par le GCS TéléSanté Centre afin de me
tenir informé des incidents qui se produisent dans les autres établissements et de bénéficier de
conseils préventifs ou curatifs.
Enfin, je veux souligner que le respect des prérequis d’hôpital numérique, qui sont les marqueurs de
notre engagement en matière de sécurité, conditionnent l’obtention de soutiens financiers
indispensables car, avant de percevoir les bénéfices de nos investissements il faut accroître nos
efforts sans gain immédiat. Dans le contexte budgétaire actuel, le soutien financier de cet effort est le
bienvenu. A nous de nous mettre à la hauteur requise.
En conclusion, je suis persuadé que la sécurité des SI est l’affaire de tous, que nous avons chacun
notre rôle à jouer, à notre niveau. Et nous, directeurs, nous devons d’être les promoteurs de cette
démarche et communiquer sur les enjeux. Nos patients et nos équipes doivent avoir confiance dans
nos systèmes d’information, ceci a un impact direct sur la qualité et la sécurité des soins.
La sécurité est, en somme, le ciment qui permet de passer réellement de l’informatique au système
d’information ; c’est à dire de développer les échanges dans un espace de confiance et, partant, notre
efficience collective au service du patient.
Raoul Pignard
Directeur Général du CH de Chartres
et Délégué Régional FHF
3