La Tribune La Tribune OpiMed - sommaire  sommaire
OpiMed
OpiMed - accueil


HORODATAGE et F.S.E.

Le communiqué de FULMEDICO 11/10/99

Le communiqué du GIE SesamVITALE 15/10/99

Le courrier de Jean-Jacques Fraslin et la réponse d'André Loth 19/10/99

La réponse de Nicolas Crêtaux 24/10/99


11 octobre 1999: Le flicage des patients et des praticiens par la télétransmission...

Déjà pistés par les portables, dénoncés grâce aux cartes bancaires, demain avec Sesam-Vitale c'est Big Brother qui surveillera les relations du médecin avec son patient. Quand les caisses d'assurance maladie auront imposé à l'ensemble des partenaires de santé la télétransmission des feuilles de soin, chaque régime connaîtra le parcours médical de ses ouailles, à la minute près. Ainsi, l'organisme saura à quel instant a été consulté le médecin, à quelle heure l'ordonnance a été délivrée par le pharmacien et le moment précis où le kinésithérapeute a prodigué ses soins. Tant pis pour le patient imprudent, dehors en dehors des heures de sortie d'un arrêt maladie, qui a signé électroniquement sa piste.

Déjà, certains logiciels de télétransmission utilisent pour numéroter les feuilles de soins électroniques la date et l'heure de l'acte électronique. Ainsi la feuille n° 276150117 déchiffrée indique au régime concerné, que l'assuré a vu le prestataire de santé le 276eme jour de l'année à 15 heures 4 minutes et 17 secondes. Quelques logiciels (DB Med, Transcam) utilisent ce mode de numérotation très indiscret. La majorité des éditeurs a heureusement opté pour un compteur plus anonyme, s'incrémentant lors de chaque acte.

Plus grave, comme le révèle la lecture du dernier cahier des charges Sesam-Vitale (page 107 de l'annexe 3 du cahier des charges 1.20c), il est précisé que la date d'élaboration de la FSE est un groupe au format AAAAMMJJHHMN. Avec la même précision que pour les consultations et visites à domicile, seront indiquées les heures et minutes des prescriptions, prestations, date de fin d'arrêt de travail, de demande d'entente préalable. Certains progiciels renseignent déjà ces champs horaires lors de la création des feuilles électroniques. Bien que les régimes soient actuellement dans l'incapacité technique de traiter ces données, ces pages viennent d'être actualisées. Le format de la date de naissance de l'assuré qui était initialement du même type, a quand même été biffée !

Avec Sesam Vitale, les professionnels de santé doivent prendre en charge la saisie des feuilles de soin. Bientôt ils deviendront à leur insu, les auxiliaires du contrôle médical. Le fait que potentiellement la feuille de soin électronique puisse donner aux régimes, l'information sur l'instant où elle a été générée, met en cause la confidentialité de la relation médecin malade, mais représente aussi un danger sur le plan plus général des libertés individuelles.

L'association FULMEDICO (Fédération des Utilisateurs de Logiciels Médicaux et Communicants), demande au GIE, maître d'oeuvre du système Sesam Vitale, d'anonymiser l'horaire des FSE. Elle conseille aux médecins télétransmetteurs, de s'assurer que leur progiciel respecte la confidentialité des horaires de consultation. Si tel n'est pas le cas, les médecins sont incités à arrêter toute télétransmission jusqu'à modification par leur éditeur, du mode de génération des feuilles de soins électroniques.

Réagissez, donnez votre opinion, laissez votre contribution en remplissant notre formulaire Ecrivez sur OpiMed

RETOUR


15 octobre 1999 : Le GIE Sesam Vitale, dans un communiqué, reconnaît que certains logiciels ne respectent pas la cahier des charges, mais réfute le flicage des praticiens via la FSE. Le GIE confirme l'existence de ces champs de flicage horaire, afin d'autoriser une évolution future vers Edifact, mais minimise leur importance en précisant qu'ils ne sont pas techniquement transmis dans les FSE actuelles. Par contre, le jour où la télétransmission se fera à la norme Edifact, compte tenu des incertitudes sur l'avenir conventionnel, de l'obscurité qui règne sur les fonctionnalités des API Sesam-Vitale, un réveil du flicage horaire n'est pas impossible..., afin d'autoriser une évolution future vers Edifact, mais minimise leur importance en précisant qu'ils ne sont pas techniquement transmis dans les FSE actuelles. Par contre, le jour où la télétransmission se fera à la norme Edifact, compte tenu des incertitudes sur l'avenir conventionnel, de l'obscurité qui règne sur les fonctionnalités des API Sesam-Vitale, un réveil du flicage horaire n'est pas impossible...

Dans le cahier des charges actuel du CNDA, les champs "dates" sont au format Edifact 203 c'est à dire AAAAMMJJHHMN. Or comme la norme Edifact est souple, rien n'interdisait que ces champs dates soient au format Edifact 102 AAAAMMJJ. Des FSE générées avec des champs dates AAAAMMJJ, sont eux aussi parfaitement compatibles avec la norme Edifact et le passage à l'an 2000. La question reste donc entière, pourquoi dans le cahier des charges 1.20 c, les champs dates prévoient-ils, les heures et minutes?

Le GIE ne peut donc pas expliquer clairement aux professionnels de santé la raison exacte de la présence des champs HH et MN. professionnels de santé la raison exacte de la présence des champs HH et MN. La douteuse compatibilité avec l'évolution Edifact ne pouvant plus être invoquée, afin de lever la suspicion de flicage horaire des professionnels de santé par ce moyen, il ne reste plus au GIE Sesam Vitale lors de la mise à jour prochaine du cahier des charges, d'adopter le format Edifact 102 AAAAMMJJ pour les dates de FSE, prestations, fin d'arrêt maladie, etc...


RETOURCOMMUNIQUE Le 15/10/99

« Ni heure ni minute clans les Feuilles de Soins Electroniques ! »

Selon des déclarations dont la presse s'est fait l'écho, l'Assurance Maladie pourrait, à travers le système SESAM-Vitale « connaître le parcours médical de ses ouailles à la minute près ». Selon ces mêmes déclarations, « l'organisme saura à quelle heure l'ordonnance a été délivrée par le pharmacien et le moment précis où le kinésithérapeute a prodigué ses soins ». Et il est demandé officiellement « d'anonymiser l'horaire des Feuilles de Soins Electroniques ».

Cette demande légitime a été prise en compte dès la conception du système SESAM-Vitale: les Feuilles de Soins Electroniques transmises aux Caisses ne comportent ni heure ni minute.

Il est vrai que la communication sur cet aspect technique n'a pas été suffisamment claire aussi bien de la part du GIE SESAM-Vitale que de la part de l'Assurance Maladie. Nous profitons donc de la question soulevée pour apporter plus de précisions :

Le numéro des Feuilles de Soins Electroniques n'utilise ni date ni heure.

Les Feuilles de Soins Electroniques transmises à l'Assurance Maladie comportent une date de création, mais pas une heure.

Seule l'heure d'envoi des Feuilles de Soins Electroniques transite sur le réseau.

La surveillance des patients à l'heure et à la minute près par le système SESAM-Vitale est impossible. Explications :

Le numéro des Feuilles de Soins Electroniques n'utilise ni date ni heure. Selon les déclarations, le numéro de Feuille de Soins Electronique « 276 150 117 » indiquerait « au régime concerné, que l'assuré a vu le prestataire de santé le 276eme jour de l'année à 15 heures 01 minutes et 17 secondes. » D'où un « flicage des patients et des praticiens par la télétransmission ».

Or, le cahier des charges SESAM-Vitale (page 11 de l'annexe 1 dans sa version 1.20b) indique que le logiciel doit numéroter les feuilles de soins électroniques dans l'ordre (la valeur augmente de 1 à chaque création de FSE), dans une zone qui peut comporter jusqu'à 9 chiffres. Exemple: la FSE n° 0000002000 sera bien la 2000éme feuille créée par le Professionnel de Santé. Il n'est donc absolument pas prévu que cette numérotation des feuilles de soins électroniques s'appuie sur la date et l'heure. Si certains éditeurs de logiciels ont choisi un tel mode de numérotation, contraire au cahier des charges SESAM-Vitale (qui s'appuie par ailleurs sur des arrêtés ministériels préalablement validés par la CNIL), il leur appartiendra d'apporter eux-mêmes les modifications nécessaires.

Les Feuilles de Soins Electroniques transmises à l'Assurance Maladie comportent une date de création, mais pas une heure. Le cahier des charges demande au progiciel d'attribuer une date à la création de chaque Feuille de Soins Electronique, ce que tous les Professionnels de Santé font déjà sur la feuille de soins papier.

Cette date électronique utilise 12 caractères (AAAAMMJJHHMMSS) conformément à la norme d'échange internationale EDIFACT. Mais les 4 derniers caractères (HHMMSS) sont optionnels et peuvent être remplacés par des 'zéros'. En effet, les informations d'heure et de minute ne sont pas transmises aux Caisses d'Assurance Maladie car le format d'échange des Feuilles de Soins Electroniques n'accepte que 8 caractères pour cette date: AAAAMMJJ.

Seule l'heure d'envoi des Feuilles de Soins Electroniques transite sur le réseau. La seule information d'heure qui accompagne les FSE se trouve dans l'en-tête des flux SMTP (l'enveloppe du flux regroupant des Feuilles de Soins Electroniques). Exactement comme le cachet de la Poste qui précise, sur les enveloppes, l'heure de levée du courrier.

Cette information ne permet pas de connaître l'heure d'un acte, car:

elle correspond à l'heure d'envoi des lots de Feuilles de Soins Electroniques (et non à celle de l'acte),

elle ne sera jamais significative: il est facile de régler soi-même l'horloge d'un ordinateur ou d'un lecteur de cartes, et il est impossible de mettre tous les ordinateurs des Professionnels de Santé à la même heure.

SESAM-Vitale est novateur et perfectible.

Le GIE SESAM-Vitale et l'Assurance Maladie veilleront à une parfaite, clarté de ce point du cahier des charges. Toute ambiguité sera levée dans la prochaine version de ce cahier des charges, à paraître en novembre.

Le service Communication du GIE SESAM-Vitale

Réagissez, donnez votre opinion, laissez votre contribution en remplissant notre formulaire Ecrivez sur OpiMed

RETOUR


19 10 99

Amgit Web : Dans l'affaire du flicage des FSE, ce sont les progiciels qui donnent les informations sur l'horaire des FSE, soit à l'initiative de l'éditeur par le mode de numérotation des FE (DBMed), soit en complétant les champs MN (Transcam) comme le prévoit expressément le cahier des charges CNDA-GIE.

Les API sont les routines qu'utilisent les développeurs dans leurs programmes pour gagner du temps de programmation. Ces API ou "interface pour la programmation d'application" dont de petits modules qui permettent aux programmes de tirer le meilleur parti de certains périphériques (adressage direct des instructions aux périphériques).

Une API peut-elle de manière autonome, c'est à dire sans que l'ordre en soit donné implicitement par le progiciel utilisateur, envoyer des informations officieuses ?

Non, sinon ce n'est plus une API, et le GIE Sesam Vitale n'est pas le KGB. J'imagine que les éditeurs qui ont intégré ces API, et qui ont testé pendant plusieurs mois in situ ces routines, connaissent très bien le type, le nombre et la nature exacte des fichiers sortant du progiciel via les API. Sinon ce serait de l'incompétence et leurs responsabilités seraient engagées.

Supposer que les API SV fassent autre chose que les routines officielles documentées dans le cahier des charges, semble effectivement plus du domaine du fantasme. Imaginer qu'un logiciel espion installé illégalement sur plusieurs centaines de milliers de poste de travail, puisse ne pas être découvert un jour, qu'il n'y jamais aucune fuite d'un des investigateurs du complot, me semble aussi utopique.

S'il y a d'autres pièges, la lecture attentive du cahier des charges doit les révéler. Le déchiffrement de l'annexe 6 bis portant sur la "gestion consolidée du parc des postes de travail", est donc vitale pour les professionnels de santé.

Cette gestion est-elle déjà opérationnelle ? Le module de service Sesam-Vitale ne semble pas très transparent. La notion même de prestataire est assez floue. Il est écrit que ce prestataire doit indirectement tous les mois, envoyer au GIE un fichier consolidé contenant des informations sur chaque configuration de son parc ( il est amusant de noter que Windows 98 ou Linux, ne sont pas prévus dans les OS). Ce prestataire peut être le SAV, le distributeur ou même l'éditeur, ce qui impliquerait que chaque mois mon progiciel enverrait automatiquement (sur le RSS ?) et sans m'en avertir un fichier mystérieux.

Dr Jean-Jacques Fraslin


Docteur,

Vous m'avez transmis des commentaires, publiés sur une liste de diffusion, dans lesquels vous faites valoir à juste titre que le cahier des charges SESAM-Vitale n'implique aucun horodatage des feuilles de soins mais où vous vous inquiétez du contenu de l'annexe 6 dudit cahier des charges.

Vous avez parfaitement raison en ce qui concerne les API et l'horodatage : les API ne peuvent pas aller chercher des données quelque part dans un logiciel quelconque pour les transmettre ensuite clandestinement à je ne sais qui. D'ailleurs le format de la B2 ne prévoit aucune place pour des données d'horodatage. Il reste, comme a pu le faire observer tel ou tel paranoïaque de service, que ces données pourraient théoriquement être dissimulées dans des parties chiffrées de la B2 (signature, ou codes de prestation). Ce serait techniquement possible mais cela relèverait de la folie furieuse. Faut-il rappeler d'ailleurs que les industriels qui ont développé des produits intégrés soumis à homologation peuvent avoir accès aux secrets des API et du logiciel lecteur (sous réserve d'un engagement de confidentialité) et que la CNIL a naturellement accès à tout ?

Quant aux mystérieux fichiers ".mif", visés à l'annexe 6 du cahier des charges SV et sur lesquels vous vous interrogez, il s'agit d'une idée qui a été - à tort à mon avis - abandonnée, faute d'un accord de principe du Centre national des professions de santé (accord qui avait été demandé en préalable par le comité directeur du GIE SV). Il s'agissait de connaître les configurations des postes de travail des PS (c'est-à-dire, limitativement, l'OS, la version des API du logiciel de télétransmission, la version du logiciel lecteur et le type de lecteur) dans un but exclusif de gestion des migrations et non pas évidemment dans un but d'espionnage ni même d'analyse du marché, le tout sous le contrôle de la CNIL. L'envoi de ce fichier ne devait s'effectuer que lors des évolutions de configuration (y compris à la mise en service) et ce sous réserve de l'accord du professionnel (il était prévu qu'un message proposant l'envoi de ce fichier et décrivant son contenu soit implémenté par l'éditeur de logiciel). Devant l'absence d'accord du CNPS, il a été suggéré que le fichier pourrait être adressé à un intermédiaire choisi par le professionnel, mais en pratique cette idée est restée elle aussi lettre morte et ne figure dans le cahier des charges qu'à l'état de voeu pieux.

Je continue de penser qu'il faudra un jour revenir à l'envoi semi-automatique (sous réserve de l'accord du professionnel) d'un tel fichier à un organisme capable d'effectuer des statistiques sur le "parc", voire de prévenir un professionnel que sa configuration doit être mise à jour (dans son propre intérêt et dans celui de ses patients !). Il me semble que le GIE SV est tout désigné pour être cet organisme, dans des conditions contrôlées par la CNIL (et par des représentants des professionnels de santé). Le GIE pourrait d'ailleurs sous-traiter cette mission (et la payer donc) à un organisme distinct et spécialisé, si le contrôle en apparaissait plus facile (solution à étudier).

Une telle décision ne pourrait être prise qu'avec l'accord des représentants des professionnels, pour des raisons faciles à comprendre, tant la méfiance, légitime ou irraisonnée - ou les deux - demeure grande en ces matières (relations souvent conflictuelles entre les PS et l'assurance maladie + crainte du piratage informatique).

Le caractère sensible de ces fichiers de configuration réside dans l'intérêt commercial qu'ils pourraient présenter pour des opérateurs (vendeurs de matériels informatiques ou de logiciels), en supposant que certains d'entre eux soient peu scrupuleux. Bien entendu, cela n'a rien à voir avec l'idée paranoïaque et proprement absurde qu'un service public comme l'assurance maladie irait "espionner" le contenu des postes de travail des professionnels de santé, en s'exposant ainsi aux peines (lourdes) prévues par le code pénal pour les infractions au secret professionnel ou aux dispositions de la loi informatique et liberté (le contenu des FSE est décrit d'une part dans l'annexe d'un arrêté ministériel ayant obtenu un avis favorable de la CNIL et d'autre part dans le format officiel, dit B2, des feuilles de soins). A supposer même que des responsables de l'assurance maladie veuillent espionner les professionnels par des moyens illégaux (ce qui est, encore une fois, tout bonnement absurde), on voit mal comment le secret pourrait être conservé sur de tels agissements ; en outre, la CNIL peut expertiser elle-même ou faire expertiser quand elle le souhaite le contenu des fichiers transmis à l'assurance maladie (ces fichiers sont conservés tels qu'ils ont été reçus sur des disques optiques numériques) !

La maîtrise médicalisée des dépenses de santé suppose non pas de l'espionnage mais une connaissance de l'activité des professionnels de santé : ainsi en a décidé le Législateur et tel est l'objet de la loi du 4 janvier 1993 relative au codage des actes et des pathologies. C'est la loi. Encore n'est-elleaujourd'hui que partiellement appliquée (les textes réglementaires pris pour l'application de cette loi ne visent à ce stade que les médicaments et les actes de biologie) et la Cour des Comptes a récemment exprimé ses doutes quant à la capacité actuelle des caisses à bien exploiter toute cette information. Si certains, comme j'ai pu le lire ici ou là, contestent ce principe et y voient une forme de "flicage", s'ils considèrent en outre que les professionnels et établissements de santé devraient être les seuls ordonnateurs de dépenses publiques dispensés de tout contrôle et que les caisses devraient payer "en aveugle", c'est leur opinion mais ça n'est pas ce que dit la loi.

Permettez moi d'ajouter que si les mêmes qui contestent toute forme de contrôle budgétaire ("comptable" comme ils disent) des dépenses d'assurance maladie par le Parlement, refusent aussi toute forme de contrôle médical par les caisses, ça demeure de la libre expression d'opinions, mais ça s'appelle aussi de la démagogie corporatiste et de la mauvaise foi, ou de l'inculture économique et civique.

Pour sa part, l'assurance maladie applique la loi... et rien que la loi. Elle n'a ni besoin ni intention de recourir à des procédés illégaux pour assurer sa mission de contrôle (ce n'est pas un gros mot, c'est la première exigence de la démocratie lorsqu'il s'agit d'argent public). Les professionnels sont parfaitement fondés à exiger, de la part de l'assurance maladie, transparence et rigueur dans lesdites procédures de contrôle ; ils sont également fondés à mettre en place leurs propres procédures d'évaluation (c'est le rôle assigné par la loi aux Unions régionales de médecins libéraux, notamment), mais je souhaite bien du plaisir aux professionnels de santé qui préfèreraient le genre de contrôle qu'exerceraient sur eux des organismes d'assurance privés, libres de choisir les professionnels avec lesquels ils passeraient convention, dans l'hypothèse où l'assurance maladie publique aurait échoué à remplir sa mission de maîtrise des dépenses.

Codage légal oui ; horodatage ou autre espionnage illégal, non.

Vous pouvez faire état de ce mail si vous le jugez utile.

Cordialement,

André LOTH


Ma réponse à A. Loth   Nicolas Crétaux 24/10/99

Réagissez, donnez votre opinion, laissez votre contribution en remplissant notre formulaire Ecrivez sur OpiMed

RETOUR


La Tribune La Tribune OpiMed - sommaire  sommaire
OpiMed
OpiMed - accueil

© MediaMed - 774.2 page remise à jour 03 07 02