a Dr rer. biol. hum., chef de la division Numérisation / eHealth, FMH; b avocat et expert en informatique, FSDZ Rechtsanwälte & Notariat AG, Baar; c collaborateur scientifique Numérisation / eHealth, FMH
Autrefois, il était tout à fait normal d’acheter des disques puis des CD et de les écouter autant de fois qu’on le voulait. C’était la même chose avec les logiciels, qu’on installait sur son ordinateur personnel une fois les droits d’utilisation obtenus. Aujourd’hui, les fournisseurs de logiciels proposent de plus en plus souvent leurs programmes uniquement sous forme de services et mettent leurs applications à disposition en ligne pour une durée déterminée via le cloud computing. Ils restent propriétaires et détenteurs des droits sur les programmes d’application, qui n’ont plus besoin d’être installés sur des terminaux. Ce type de prestations est qualifié de logiciel service (SaaS pour Software as a Service) et, selon le même principe, il est possible de proposer des plateformes ou des infrastructures informatiques complètes sur le cloud (infrastructure service, IaaS; plateforme service, PaaS). Pour les utilisateurs, l’avantage de ce concept est de ne plus devoir se préoccuper de l’infrastructure requise pour une exploitation sécurisée de l’application. La seule condition à remplir: avoir un accès internet qui fonctionne. De la même manière, c’est aussi aux prestataires de services à distance de veiller à une exploitation sécurisée et au respect de la protection des données ce qui, en soi, n’est pas un inconvénient: le prestataire a fondamentalement de meilleures dispositions pour actualiser ses systèmes et les exploiter selon un standard de sécurité élevé [1].
Systèmes informatiques pour cabinets médicaux sur le cloud
Les prestations sous forme de logiciel service se généralisent aussi dans le domaine de la santé. Cette évolution est animée par l’énorme augmentation des volumes de données et la complexité croissante des infrastructures, qui doivent répondre entièrement aux exigences de la protection et de la sécurité des données dans ce domaine sensible. Les fournisseurs de logiciels pour cabinets médicaux optent désormais pour des modèles de licence sur le cloud, au détriment de solutions installées localement sur les ordinateurs du cabinet. Pour le corps médical, cela signifie de nouveaux enjeux et de nouvelles obligations au moment de conclure un contrat avec un fournisseur de logiciels: en plus des exigences en matière de protection des données, de sécurité de l’information, de secret professionnel et médical et de propriété des données, il est essentiel de réglementer correctement le sort des données en fin de contrat.
Comme les contrats proposés par les fournisseurs comportent des réglementations différentes et parfois insuffisantes, la FMH a élaboré des exigences minimales que tous les prestataires de services à distance (cloud) devraient remplir de manière uniforme lorsque des médecins font appel à ce genre de services. Ces exigences minimales sont donc, pour les médecins, des consignes de leur organisation professionnelle pour la conclusion de contrats conformes à la loi (garantie d’exercer en conformité avec la loi) et, pour les fournisseurs, une ligne directrice pour que leur nouvelle offre de logiciel service réponde aux exigences élevées du corps médical tout en restant conforme aux modalités du contrat. L’exploitation de logiciels à distance pour cabinets médicaux comprend nécessairement les éléments suivants, qui doivent donc être couverts par le contrat:
– Licence d’exploitation (octroi des droits d’utilisation des structures informatiques et des applications);
– Prestations d’entretien, de maintenance et de support du prestataire de services à distance pour les applications utilisées dans les cabinets (dépannage et analyse des causes de la panne, hotline, helpdesk, mises à jour);
– Garantie de la poursuite du développement des applications mises à disposition (adaptations aux changements dans la loi, p. ex. TARMED);
– Puissance d’exploitation des serveurs des fournisseurs de services à distance (disponibilité, chiffrement du transport, chiffrement des données sauvegardées, obligation de mettre en œuvre des mesures de sécurité techniques et organisationnelles lors de l’enregistrement de données de patient sensibles, etc.);
– Réglementation de la restitution des données de patients, gérées en toute confiance par le corps médical, en cas de résiliation de contrat et conclusion d’un nouveau contrat avec un autre prestataire de services à distance sans entraves de la part du fournisseur précédent;
– Garantie du logiciel applicatif (dès que l’application sur le cloud proposée au corps médical devient importante pour le système, c.-à-d. dès que l’application concernée est utilisée par un grand nombre de médecins; garantie de la possibilité de poursuivre son développement en cas de faillite, de dépôt de bilan suite à un surendettement ou de décision de stopper le développement du logiciel par le fournisseur actuel de l’application).
Figure 1: Projet de contrat de la FMH pour les services à distance (SaaS)(en bleu: exigences minimales de la FMH, en gris: Service Level Agreements individuels du fournisseur).
Le projet de contrat nouvellement élaboré par la FMH pour les services sur le cloud comprend un ensemble d’exigences minimales contractuelles que le corps médical peut appliquer avec des fournisseurs lors de l’utilisation de tels services. Ces exigences doivent, en particulier, être inscrites dans les conditions générales d’utilisation, qui reposent sur des dispositions standard répandues et éprouvées (comme les CG de la CSI de 2015 [2], les modèles de contrats SVD de SWICO). Cela permet au corps médical de continuer d’exercer la médecine conformément à la loi en utilisant des solutions informatiques à distance (cloud). Ces dispositions seront examinées ces prochains mois avec l’Association des spécialistes suisses pour l’informatique médicale (VSFM) afin de garantir une large acceptation et la standardisation de ces clauses contractuelles minimales dans la branche. Les exigences minimales de la FMH définissent entre autres la participation de tiers pour fournir un service, la manière de gérer les incidents de sécurité et la restitution des données au terme du contrat. En pratique, ces points ne sont pas ou pas encore suffisamment réglementés. Les exigences garantissant la protection et la sécurité des données par le prestataire de services à distance doivent également être fixées. Ces conditions minimales sont nécessaires pour répondre aux spécificités du secret médical ou des obligations de documenter du corps médical. Par ailleurs, cette structure de contrat offre la possibilité au fournisseur de logiciels ou de services à distance de définir lui-même ses prestations individuelles sous forme de Service Level Agreements (SLA).
Le projet de contrat va maintenant être présenté aux fournisseurs de logiciels, qui ont déjà manifesté un vif intérêt pour une réglementation uniforme, et il sera ensuite publié par la FMH au cours de l’été 2019.
Les médecins et les cabinets de groupe qui feront gérer à l’avenir leurs applications sur le cloud ont tout intérêt à mener les négociations contractuelles avec leurs fournisseurs sur la base des exigences minimales développées en tant que dispositions standard par la FMH afin de garantir les mêmes conditions au sein du corps médical pour ce genre de services et de respecter les obligations légales régissant un traitement conforme à la loi des données de patient sensibles.
Correspondance
Dr Reinhold Sojer Chef de la division Numérisation / eHealth FMH Elfenstrasse 18 Case postale 300 CH-3000 Berne 15 Tél. 031 359 12 04 reinhold.sojer[at]fmh.ch
Références
1 Kessler T. Sécurité de l’information avec le cloud computing. Bull Med Suisses. 2017;98(45):1493–4.
2 Conférence suisse sur l’informatique, CG de la CSI, 2015 [online]. http://www.sik.ch/agb-f.html [accessed: 17 March 2019].
