Intervention de Gérard Bapt

Cette journée d'audition, menée il y a déjà un an, avait été particulièrement riche et de qualité. Le compte rendu qui vient d'en être fait montre bien que les questions soulevées par le développement du numérique en santé avaient bien été posées. Le domaine de la santé n'échappe pas à la révolution du numérique, c'est une opportunité mais qui n'est pas sans dangers. La loi de modernisation de notre système de santé, adoptée en première lecture à l'Assemblée nationale, et maintenant transmise au Sénat, traite de nombre de sujets très polémiques. Mais, sur le plan du numérique de santé, elle constitue un socle sur lequel, Mesdames et Messieurs les sénatrices et sénateurs, vous pourrez très largement vous appuyer. Le résultat du travail a été largement consensuel à l'Assemblée nationale. Avec l'apport des amendements correcteurs par rapport au projet de loi initial, il présente maintenant un certain nombre de garanties.

S'agissant du DMP, sorte monstre du Loch Ness, une preuve supplémentaire de son échec réside dans la note que nous avons reçue de l'Agence des systèmes d'information partagés de santé (ASIP-Santé) : « À la fin du mois de mars 2015, on dénombre, sur l'ensemble du territoire national, 534 000 dossiers créés avec l'accord ou à la demande des patients par les établissements de santé ou les professionnels de santé. Dans l'ensemble de ces DMP créés, on note qu'il y a eu 154 877 consultations de leur DMP par les patients […] ». On voit donc que moins d'un patient sur trois a consulté son dossier depuis son ouverture. On ne nous fournit cependant pas le nombre de médecins qui ont consulté, alors que c'était l'objectif principal ; on ne nous le fournit pas parce qu'il est ridicule, je le sais par ailleurs. Souvent ces dossiers sont vides ou quasiment vides ; ce sont les établissements qui les créent, mais les médecins ne les remplissent pas et les hôpitaux n'ont souvent pas de système intranet intégré permettant de verser automatiquement des documents dans ces dossiers.

Nous avons finalement trouvé une issue au DMP en le confiant à l'assurance maladie, qui a une longue expérience en informatique de santé, avec la conservation et l'exploitation des données : système national d'informations inter-régions d'assurance maladie (SNIRAM) et programme de médicalisation des systèmes d'information (PMSI). L'assurance maladie pourra ainsi déployer un DMP redéfini : il ne sera plus un dossier médical « personnel », mais un dossier médical « partagé ». Ce dossier sera ainsi partagé entre le praticien et le patient, de même qu'entre équipes de soins. Il le sera aussi, avec un cadre formalisé, après avis de la CNIL, dans un parcours de soins coordonné qui intègrera les acteurs médico-sociaux et sociaux, ce qui est une grande novation. L'accès à un certain nombre de données de santé deviendra donc ainsi possible, avec un certain nombre de précautions et un droit d'opposition, en demandant le consentement exprès du patient lorsqu'il s'agit de sortir de la sphère de l'équipe de soins.

La seconde question qui s'est posée, avec un énorme retard, est celle de la messagerie sécurisée. Lorsque l'ASIP-Santé avait été créée, elle avait deux missions fondamentales : le DMP, avec l'échec que l'on constate, et la messagerie sécurisée. On a vu que le pilotage du DMP allait être confié à la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS). Or, très certainement pour ne pas concurrencer le déploiement poussif de ce DMP de première génération, la messagerie sécurisée n'avait toujours pas vu le jour. Le projet de loi confie le pilotage du système de messagerie sécurisée conjointement à l'ASIP-Santé et à la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS). Les missions de l'ASIP-Santé rétrécissent donc considérablement. Cette messagerie sécurisée deviendra un système d'interconnexion des différentes messageries sécurisées qui existent déjà par ailleurs. Des centres hospitaliers universitaires (CHU), des unions régionales des professionnels de santé (URPS), des agences régionales de santé (ARS) ont souvent déjà développé leur propre système de messagerie. Il s'agit maintenant de les mettre en relation pour qu'elles puissent correspondre.

La troisième question traitée par le projet de loi, abordée par Catherine Procaccia, est celle de la sécurité et de la confidentialité. Elle est très importante pour les patients. En l'état du texte, le projet de loi permet l'opposition du patient à ce que les données soient transmises, ce qui gêne le suivi du parcours de soins. La sécurité est un problème important, car très peu de grands CHU disposent de délégués à la sécurité capable d'intervenir en cas d'effraction des systèmes. L'exemple pouvant être cité en est l'IRM de M.Michael Schumacher, qui a, parait-il, été consulté quatre-vingt-trois fois, sans possibilité de traçabilité des personnes de l'établissement qui l'ont consulté… J'ai été à l'origine d'un amendement disposant que tout défaut ou accident de sécurité des systèmes d'information hospitaliers ou publics doit être signalé. Jusqu'à présent, chacun « met son mouchoir dessus », personne ne sait ce qui s'est passé chez son voisin. Il s'agit de prévenir, de tirer les conséquences de ces défauts ou accidents. On cite l'exemple de cet hôpital de la Gironde qui a pratiquement arrêté de fonctionner pendant trois jours, l'ensemble de son système informatique ayant bogué.

Le projet de loi présente une avancée notable sur la question de l'identifiant de santé, une base législative devant permettre l'utilisation du NIR, comme l'a rappelé Catherine Procaccia. Il aborde aussi la question des hébergeurs, qui étaient autrefois soumis à un agrément du comité français d'accréditation (COFRAC). Ils devraient désormais ressortir simplement à une procédure de certification, en accord avec la règlementation européenne. Là aussi, les problèmes de sécurité n'avaient pas été résolus. J'ai été à l'origine de l'adoption d'un amendement fixant des conditions de maintien en sécurité des données de santé par les hébergeurs ainsi certifiés.

Le big data avait entraîné une levée de boucliers, à mon sens justifiée, dans le projet de loi initial, l'ancien président du Collectif inter-associatif sur la santé (Le CISS), M.Christian Saut, l'ayant qualifié de « close data » en lieu et place d'un « open data ». Alors que tout le monde était stupéfait du monstre technocratique qui résultait de la rédaction initiale, les dispositions relatives à l'accès aux données de santé ont totalement été réécrites, faisant maintenant l'unanimité des acteurs : Institut des données de santé (IDS), patients, équipes de recherche, entreprises…

Le déploiement des systèmes d'information dans les hôpitaux, dans le cadre des groupements hospitaliers de territoire (GHT), qui est un élément important du projet de loi, doit répondre à des conditions d'interopérabilité et non plus d'unicité du système, comme cela était prévu dans le projet initial. Pourquoi aurait-il fallu constituer un système d'information unique pour les hôpitaux se réunissant dans un même GHT ? Comme ils disposent déjà de systèmes propres qui fonctionnent, il suffit de les mettre en relation. Actuellement, les plateformes d'interopérabilité sont peu onéreuses et vont être certifiées dans le cadre de la messagerie sécurisée.

J'ai interrogé en vain la ministre de la santé sur le devenir de l'ASIP-Santé. Le projet de loi comporte déjà des dispositions relatives au regroupement de certaines structures et agences. Ainsi l'Institut de veille sanitaire (InVS), l'Institut national de prévention et d'éducation pour la santé (INPES) et l'Établissement de préparation et de réponse aux urgences sanitaires (EPRUS) se regrouperont dans un organisme unique : l'Institut pour la prévention, la veille et l'intervention en santé publique. J'estime que l'ASIP-Santé, qui a perdu ses fonctions de base sur le DMP et la messagerie sécurisée, devrait également pouvoir être regroupée, soit avec l'Agence nationale d'appui à la performance des établissements de santé et médico-sociaux (ANAP), soit avec l'Agence technique de l'information sur l'hospitalisation (ATIH), soit au sein du secrétariat général des ministères chargés des affaires sociales, où existe déjà une délégation à la stratégie des systèmes d'information de santé (DSSIS). L'ASIP-Santé verra son budget et ses effectifs rétrécir, mais conserverait une existence juridique, avec une direction générale et un conseil d'administration. Il reste donc au Sénat à prendre des initiatives…

Le projet de loi de modernisation de notre système de santé présente donc des avancées importantes en matière de numérique de santé. Il reste à les faire financer et expertiser, dans des formes assurant la sécurité. Ce n'est pas évident, car, le plus souvent, nous manquons d'experts et d'expertise, les agents de sécurité dépendant quelquefois de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).