Docteur François-André ALLAERT

Professeur Liliane DUSSERRE

1. Introduction

L'utilisation de la téléexpertise en pratique quotidienne impose que toutes garanties aient été prises pour que soit assurée la qualité et la sécurité de ce service médical.

Ces garanties portent non seulement sur la fiabilité du système dans l'absolu, c'estàdire sa capacité à satisfaire de manière reproductible aux objectifs et aux fonctions pour lesquels il est proposé, mais aussi sur sa sécurité d'emploi dans l'environnement médical, administratif et informatique où il sera mis en oeuvre.

Comme pour tout système d'informations, la sécurité d'un système de téléexpertise requiert une analyse des risques auxquels il est exposé et le choix des solutions organisationnelles ou techniques permettant d'assurer sa confidentialité, son intégrité, sa disponibilité et les procédures nécessaires à son audit.

Dans cet article nous nous préoccupons de téléexpertise c'estàdire l'aide à la décision médicale apportée à un médecin par un autre médecin situé à distance, à partir des éléments d'information de caractère multimédia qui lui sont transmis par un dispositif télématique. Nous n'étudions donc pas la téléassistance ni la télésurveillance où le transfert d'information se fait entre un médecin et un patient qui n'est pas assisté d'un médecin auprès de lui. Nous excluons également les aspects de messagerie médicale électronique lorsque cette messagerie n'a pas pour objet une demande d'avis mais qu'il s'agit d'un simple transfert d'information entre deux médecins dans le cas, par exemple, du suivi d'un patient. Nous éviterons le terme de téléconsultation et de télédiagnostic qui ne permettent pas de savoir s'il s'agit d'une teléexpertise ou d'une téléassistance.

2. Les risques d'un système de téléexpertise

De manière schématique, les risques d'un système de téléexpertise peuvent être regroupés en trois grandes catégories selon leur origine: les accidents, les erreurs et les malveillances.

2.1 Les accidents

Les accidents peuvent correspondre à une destruction partielle ou totale, ou à une dysfonction des matériels, des logiciels et de l'insuffisance de l'environnement dans lequel fonctionne la téléexpertise.

La destruction peut avoir des origines très variées. Hormis les catastrophes majeures comme l'incendie ou I'inondation, le matériel peut être confronté à des chocs ou à des chutes, au déversement de liquides, souvent alimentaires dans les machines, à des contacts physiques avec des support caloriques, à des expositions solaires importantes, à l'existence de champs électromagnétiques intenses, à l'arrachage des câbles de connexion... Absolument tout, même l'évènement le plus absurde a priori peut se produire, en majeure partie du fait de I'inconscience des personnels quel que soit leur statut.

Les dysfonctionnements des matériels et des logiciels sont également à prendre en compte même si leur survenue est souvent imprévisible. Ils peuvent être liés soit aux équipements nécessaires au système de télé-expertise soit à des pannes du réseau qui assure les transferts d'images et d'autres données.

Un type d'accident souvent peu cité mais non des moindres est la carence des personnels techniques chargés de la manipulation du système ou de sa maintenance: départ sans préavis, arrêt maladie...

2.2 Les erreurs

Les erreurs peuvent survenir lors de la saisie des informations, de leur transmission par le système de télé-expertise, de la manipulation des fonctions d'exploitation ou résulter d'une inadéquation du système à ses conditions d'utilisation.

L'erreur de saisie la plus redoutable lors de l'utilisation d'un système de téléexpertise est la mauvaise indexation qui empêche le regroupement des images fournies à des fins diagnostiques et des éléments cliniques nominatifs qui peuvent l'accompagner. Une erreur de manipulation dans les documents papiers initiaux attribuera par exemple les signes cliniques d'un patient à un autre patient avec les conséquences qui peuvent en découler. De même, une confusion entre les patients, peut faire attribuer des diagnostics à d'autres patients que ceux concernés. Ces risques d'erreur sont limités lorsque le système est utilisé en temps réel mais leur probabilité de survenue croit dès qu'il fonctionne en temps différé selon un mode de messagerie sur centre serveur. D'autres erreurs peuvent également survenir lors de la saisie des éléments cliniques des patients, et notamment des codes diagnostiques si le système utilise ce type d'information. Leurs conséquences varieront en fonction de la nature de l'erreur et du cas soumis à la téléexpertise.

Les erreurs de transmission sont inhérentes à la nature des réseaux utilisés et des informations transmises. Une perte de quelques bits d'information peut n'altérer que faiblement la qualité d'une image transmise alors qu'elle peut modifier fondamentalement la signification d'un résultat chiffré. Une altération de la définition des images transmises est pratiquement sans conséquence sur l'examen d'une pièce anatomique par exemple alors qu'elle peut rendre impossible l'analyse d'une image microscopique ou de RMN.

Les erreurs de manipulation prennent aussi des formes variées: oubli d'expédition d'une demande d'avis, écrasement des demandes d'avis avant transmission et sauvegarde, destruction des archives... Toutes les erreurs possibles dans l'exploitation d'un système d'information peuvent survenir lors de l'utilisation d'un système de télé-expertise. La difficulté dans ce domaine est de "faire la part entre l'erreur, la négligence. Ie laxisme, la faute professionnelle et l'acte malveillant " comme l'indique L. LAMERE.[ ]

Les erreurs de conception d'une application de téléexpertise sont théoriquement rares si son adéquation au service censé être rendu a fait l'objet d'une validation préalablement à sa mise en oeuvre. [ '] Cependant, les contraintes induites par les conditions d'environnement rencontrées en pratique quotidienne peuvent avoir été sous estimées. Une utilisation trop intense peut dépasser les capacités de traitement du microprocesseur, saturer les mémoires ou le réseau de transmission des informations. De même, certains éléments délicats du système comme les dispositifs de prise de vue peuvent ne pas supporter des manipulations trop rapides, trop fréquentes ou trop brutales et nécessiter un renouvellement fréquent. Dans ces erreurs de conception, les erreurs d'ergonomie des stations de travail sont aussi à prendre en compte. Elles peuvent être la cause d'une fatigue anormale des personnels chargés du fonctionnement du système, source d'absences fréquentes ou de troubles de l'humeur ou de l'attention qui favorisent les erreurs précédentes.

2.3 Les malveillances

Les malveillances possibles heureusement rares mais toujours possibles, indissociables de la nature humaine. Elles s'expriment par le vol ou le sabotage du matériel, les détournements ou le sabotage de biens immatériels.

Le vol de matériel est une malveillance banale. Dans un système de téléexpertise les trois éléments principaux, dispositif de prise de vue, écran haute définition et ordinateur sont des éléments susceptibles d'intéresser beaucoup de monde. Les voleurs peuvent être aussi bien des personnels de la structure, des patients hospitalisés que des visiteurs. Un moment d'inattention peut permettre la disparition rapide d'une partie importante du système Le sabotage est par contre plus rare et essentiellement d'origine interne.

Le détournement des biens immatériels dans un système de téléexpertise correspond à la copie des fichiers d'archives ou des logiciels de gestion du système. La première conduit à un viol de confidentialité, la seconde à une atteinte à la propriété intellectuelle ou industrielle. Ces détournements s'effectuent soit sur place soit par I'intermédiaire du réseau.

Le sabotage des biens immatériels correspond soit à la destruction physique directe de toute ou partie de I'ensemble des fichiers et des logiciels comme de leurs sauvegardes, soit à leur destruction indirecte par I'intermédiaire d'instructions informatiques introduites dans les logiciels (virus, bombes logiques, vers), ou encore à des usurpations d'identité permettant d'avoir accès aux fonctions d'exploitation du système informatique. Par les échanges interactifs qu'il implique avec l'extérieur, un système de téléexpertise apparaît particulièrement exposé aux intrusions et aux usurpations d'identité. Ce dernier type de sabotage serait particulièrement lourd de conséquences pour la téléexpertise: un individu pourrait se faire passer pour un médecin demandeur d'avis ou pire comme un médecin référant apportant des réponses.

3. La sécurité d'un système de téléexpertise

Face à la multiplicité des risques il convient d'assurer les trois fonctions principales de la sécurité confidentialité,intégrité et disponibilité des informations ainsi que les procédures permettant leur audit régulier.

3.1 La confidentialité du système de téléexpertise

Selon les définitions données par les différents organismes de normalisation (ISO, CEN, INFOSEC/ITSEC), la confidentialité est " la propriété qui assure que seuls les utilisateurs habilités, dans les conditions normalement prévues, ont accès au système ". Son corollaire est la protection de la vie privée des individus dont les données personnelles font l'objet d'un traitement automatisé.

Dans un système de téléexpertise, les possibilités d'atteinte à la confidentialité sont nombreuses. Elles peuvent s'exprimer par le vol de tout ou partie du système, des erreurs de manipulation adressant des informations à d'autres personnes que celles auxquelles elles étaient destinées, des accès indiscrets, des usurpations d'identité, des copies indues de fichiers, des interceptions de transmission ...

Toutes ces éventualités imposent la protection physique et la protection logique du système.

La protection physique requiert l'implantation du système informatique dans une zone protégée, idéalement une salle borgne, pourvue de détecteurs antiintrusion, fermée par une porte blindée équipée d'une serrure de sécurité ou d'un dispositif électronique de type digicode ou lecteur de carte à microprocesseur. Dans la pratique quotidienne ces éléments de sécurité sont rarement réunis surtout lorsque les systèmes d'informations sont situés dans des structures ouvertes comme les services médicaux où circulent de nombreuses personnes. Pour éviter les vols de matériels, il existe une précaution de base, simple et relativement efficace qui consiste à les fixer sur leur support.

La sécurité logique comporte soit une protection des accès par des mots de passe, soit ce qui est beaucoup plus performant, un dispositif de lecture de carte à microprocesseur de professionnel de santé. Ce dernier procédé devrait être généralisé prochainement dans l'ensemble des hôpitaux du secteur public et du secteur privé. D'autres dispositifs complémentaires peuvent être préconisés comme l'arrêt automatique du système dès qu'il n'est plus utilisé durant une à deux minutes. Il est alors nécessaire de le relancer en prouvant son droit d'accès. Une très grande partie des atteintes à la confidentialité se produit sur des systèmes laissés en fonctionnement sans surveillance, par étourderie ou négligence.

Au niveau du réseau, des dispositifs antiintrusion type firewall doivent être également mis en place pour lutter contre les risques de " piratage "à distance.

Cependant, quelles que soient la pertinence et la puissance des solutions techniques apportées à la protection des informations, leur effet sera nul si elles ne s'accompagnent pas d'un très important effort de sensibilisation des personnels en matière de confidentialité. Ils doivent être avertis des lourdes sanctions qu'encourent ceux qui de manière directe ou indirecte, volontairement ou involontairement, contribuent à la divulgation d'informations médicales nominatives notamment au regard des articles 22613, 22621 et 22622.

Art 22613. " La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 100 000 F d'amende".

Art 22621 "Le fait, pour toute personne détentrice d'informations nominatives à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de tout autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative ou l'acte réglementaire autorisant leur traitement automatisé ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende".

Art 22622. "Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de tout autre forme de traitement, des informations nominatives dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de I'intéressé, ces informations à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni d'un an d'emprisonnement et de 100 000 F d'amende

La divulgation prévue à l'alinéa précédent est punie de 50 000 F d'amende lorsqu'elle a été faite par imprudence ou négligence".

Ce sont, hélas, les personnels utilisateurs du système d'information, chargés de sa maintenance ou de sa protection qui sont la source habituelle des difficultés. Une confidence imprudente, le prêt ou l'égarement de sa carte d'accès et de son code personnel, ou simplement un certain laxisme dans l'observation des règles de sécurité peuvent être considérés comme des fautes graves au vu de leurs conséquences. La responsabilité des personnels ne peut cependant être engagée que s'ils ont bénéficié au préalable d'une information sur leurs devoirs en ce domaine ce qui est rarement le cas. Une telle information devrait être l'objet d'explications orales et écrites lors de l'entretien d'embauche. Le caractère solennel de l'engagement du personnel envers le respect de la déontologie et du droit de l'information médicale pourrait être matérialisé par la signature d'un document contractuel.

Conscients de leur responsabilité dans la bonne garde des informations qui leur sont confiées, les personnels peuvent devenir un élément clé de la protection des données nominatives. Ils maintiendront ainsi une constante vigilance sur les matériels et leur accès, et n'hésiteront pas à interpeller avec tact mais fermeté, toute personne dont le comportement serait suspect.

3.2 L'intégrité d'un système de téléexpertise

L'intégrité est "la propriété qui assure qu'une information n'est modifiée que par les utilisateurs habituels dans les conditions normalement prévues".

Les sources d'atteinte à l'intégrité des données sont multiples et recouvrent notamment toutes celles décrites pour les atteintes à la confidentialité puisque l'accès aux données ou aux logiciels en sont l'étape préliminaire. A ces éléments il faut ajouter le contrôle des écritures, des traitements et des transmissions des données.

Le contrôle des accès en écriture requiert non seulement l'ouverture des droits d'accès en fonction de I'identification et de l'authentification des personnes mais également la signature de toute modification d'une donnée préexistante ou de tout apport d'information supplémentaire.

Dans une transaction de téléexpertise, I'ensemble des informations cliniques et des images transmises pour avis devra dans l'avenir être signé électroniquement par l'intermédiaire de la carte de professionnel de santé de manière à ce que le médecin demandeur d'avis ne puisse répudier leur expédition en cas de conflit médicolégal avec le médecin référant. De même ce dernier devra signer sa réponse. En complément, pour éviter tout litige sur les délais de réponses, ou sur des demandes et réponses multiples qui pourraient interférer, cellesci devraient comporter la date et l'heure auxquelles elles ont été faites. Tous les éléments d'une transaction de téléexpertise, données cliniques, images, réponses fournies, date et heure, seront ensuite mis sous scellés électroniques et enregistrées sur support informatique non effaçable pour éviter qu'ils ne puissent être modifiés et constituer d'éventuels présomptions de preuve en cas de contestation. La solution serait l'existence d'un tiers certificateur des transactions mais leur grand nombre quotidien et le volume des informations circulantes peuvent faire hésiter devant la lourdeur du processus.

Le traitement des données requis par la transmission des images ou des données est également une source possible d'atteinte à leur intégrité. Comme nous l'avons évoqué, les conséquences de ces atteintes sont fonction de leur importance et du domaine dans lequel elles surviennent; les solutions techniques devraient être adaptées en fonction du degré d'atteinte tolérable. Si aucune altération n'est acceptable, les fonctions de cryptographie peuvent apporter un contrôle efficace. A l'émission, la totalité de l'information transmise est transformée par un algorithme de calcul en une valeur donnée et ce même algorithme est appliquée aux informations reçues. La moindre variation entre l'information expédiée et l'information reçue produit d'importantes différences dans les résultats du chiffrement avant et après transmission, elle est alors facilement repérée. L'inconvénient de cette méthode est qu'elle est très sensible et peut conduire à rejeter comme différentes des informations comportant des modifications infinitésimales ne portant que sur un seul pixel d'une image haute définition par exemple. Une méthode plus classique consiste à expédier de manière redondante l'information et à effectuer des contrôles de parité sur chaque donnée reçue. Son inconvénient majeur est d'être beaucoup plus longue et tout aussi sensible que la technique de cryptage. Par contre elle permet d'identifier avec précision l'information altérée.

La grande difficulté aujourd'hui réside dans les processus de compression et de décompression des images utilisés pour accélérer leur transmission sur les réseaux. Des recherches doivent être poursuivies dans ce domaine afin de cerner si les altérations qu'elles produisent sont strictement aléatoires ou si elles dépendent des algorithmes de calcul qu'elles utilisent.

En raison de l'altération possible des données transmises, tout système de téléexpertise doit être validé avant sa mise en service afin de juger si l'éventuelle atteinte à l'intégrité de l'information peut retentir sur la qualité du service fourni. Pour les anatomopathologistes, une validation du système RESINTEL a été ainsi réalisée entre Boston et Dijon pour démontrer que les diagnostics produits sur les lames de verre ou sur les images transmises étaient les mêmes ( 1 ) et que les altérations dues aux processus de transfert n'intervenaient pas sur leur qualité intrinsèque, en particulier la couleur.

3.3 La disponibilité d'un système de téléexpertise

La disponibilité est "I'aptitude d'un système d'information à pouvoir être employé par les utilisateurs habilités dans les conditions d'accès et d'usage normalement prévues".

L'indisponibilité d'un système d'information résulte soit d'atteintes majeures à son intégrité au niveau des données, des logiciels ou des matériels telles qu'elles viennent d'être décrites, soit d'une défaillance de I'organisation technique et humaine nécessaire à son fonctionnement .

L'organisation d'un système de téléexpertise ne peut se limiter à la mise en service d'une station de travail reliée à un réseau de télécommunication. Dès qu'un système de téléexpertise vise à sortir du cadre de l'expérimentation pilote, il suscite des questions qui peuvent sembler triviales par rapport à son intérêt scientifique. La qualité des réponses qui leur seront apportées conditionnera cependant son efficacité et sa pérennité. Nombre de réalisations informatiques pourtant dignes d'intérêt ne sont jamais parvenues à dépasser le cadre expérimental pour avoir négligé ces questions d'organisation lors de leur conception.

Les défaillances des matériels et des logiciels d'un système de téléexpertise doivent pouvoir être compensées rapidement ce qui suppose des stocks disponibles et des contrats de maintenance prévoyant des délais d'intervention rapides, 7 jours sur 7.

Les personnels médicaux, paramédicaux et techniques doivent être organisés pour assurer la permanence des services proposés. Ceci implique l'organisation de tour de garde et d'importantes contraintes horaires pour les personnels. Le moyens nécessaires pour assurer la disponibilité d'un système de téléexpertise sont en fait comparables à ceux requis pour un service d'urgence avec une contrainte complémentaire: la grande spécialisation du médecin de garde. En effet si au niveau d'un service d'urgence les internes sont aptes à effectuer un premier tri des patients, à prendre en charge une grande partie d'entre eux et à demander un avis spécialisé pour les autres, il n'en est pas de même pour un système de téléexpertise. Le médecin qui demande un avis attend une réponse d'un expert, présentant la qualification et l'expérience nécessaire.

Avant de mettre en oeuvre un système de téléexpertise, une réflexion de fond doit être entreprise par la direction générale et la commission médicale de l'établissement hospitalier sur sa capacité à satisfaire à l'organisation qu'il requiert. Lorsqu'un tel service sera proposé aux praticiens extérieurs, publics ou privés, son indisponibilité ou son incapacité à répondre dans les délais impartis seront de nature à engager la responsabilité de l'établissement hospitalier au titre d'une faute dans le fonctionnement normal du service.

Cette organisation suppose en particulier d'importants moyens financiers qui nécessiteraient une valorisation des actes de téléexpertise soit dans le cade de la nomenclature, soit dans celui de l'évaluation médicoéconomique des services réalisée par le PMSI.

3.4 Les procédures d'audit d'un système de téléexpertise

L'audit est la condition nécessaire à la qualité d'un système d'information et à sa pérennité. Les procédures visant aux contrôles de l'accès au système, de l'intégrité des informations qu'il traite et à sa disponibilité doivent être analysées avant la mise en oeuvre du système. Cet audit peut être mené soit par des personnes internes à I'établissement, soit ce qui est le plus souhaitable, extérieures à l'établissement. Il sera conduit par l'intermédiaire d'interviews des personnels et de jeux de tests. Les interviews sont destinés à préciser l'adéquation entre I'organisation théorique proposée et le fonctionnement réel de l'hôpital, les difficultés déjà présente dans ce fonctionnement et le degré de sensibilisation des personnels à la sécurité des informations. Les jeux de tests ont pour objet de reproduire les pires scénarios auxquels devra faire face le système de téléexpertise. Ils sont réalisés en situations réelles pour juger de la réactivité de l'organisation et son efficacité

Par ailleurs, tout système tendant naturellement vers l'entropie, des procédures d'audit du système de télé-expertise doivent également être réalisées régulièrement après sa mise en oeuvre.

Elles porteront notamment :

sur le maintien des sécurité d'accès. Il s'agit d'un maillon faible du système de sécurité en raison des difficultés psychologiques qu'il suscite entre les personnels. Le refus de partager son code secret est en effet malheureusement souvent vécu comme un manque de confiance.

le nombre d'expertises réalisées et les délais de réponse;

la pertinence des réponses données face aux résultats finaux des investigations et à l'évolution clinique du patient.

La principale difficulté de cet audit réside dans sa présentation aux personnels en charge du système de télé-expertise pour qu'il ne soit pas vécu comme une défiance vis à vis de leur capacité et de leur dévouement. Au contraire, ces personnels, quel que soit leur statut et leur grades doivent être préalablement convaincus que cette procédure ne vise qu'à valoriser leur travail en leur permettant de maintenir voire d'améliorer le haut niveau de qualité qu'ils ont atteint. La réalisation de cet audit par des personnes extérieures à l'établissement facilite souvent les relations mais des procédures d'autoévaluation par les personnes en charge du système peuvent également apporter des résultats significatifs en terme de qualité.

4. Conclusion

La sécurité d'un système de téléexpertise va au delà de la protection physique ou logique d'un logiciel informatique parce qu'il n'est pas un simple outil technique au service du médecin mais bien un véritable service médical impliquant une logistique rigoureuse et un environnement humain motivé.

Dans cette optique, tous les éléments de sécurité technique mis en oeuvre serait des protections utiles et nécessaires mais non suffisantes si elles n'étaient accompagnées, d'une véritable sensibilisation des personnels.

La sécurité d'un système d'information ne découle pas d'une accumulation hétéroclite de dispositifs techniques mais de l'état d'esprit d'individus responsables qui s'appuie sur la technique pour servir et protéger les intérêts des patients dont ils ont la charge.

_________________________

] J.M. LAMERE Sécurité des systèmes d'information, Dunod, 1991.

i] ALLAERT F.A., WEINBERG D., DUSSERRE P., YVONS P.J., DUSSERRE L., COTRAN P. Evaluation of a telepathology system between Boston (USA) and Dijon (France): glass slider versus telediagnostic TV Monitor JAMlA Proceedings SCAMC, 199S, 596600.