DMP : retour sur un fiasco

29/11/2007 à 00h00

Objectifs irréalistes, moyens trop limités, expérimentations bâclées, professionnels de santé partagés et patients difficiles à motiver... Le lancement du dossier médical personnel était voué à l'échec.

Les faits

Une mission de l'Inspection générale des affaires sociales (Igas), des finances (IGF) et des télécommunications (CGTI) vient de rendre son rapport d'étape sur le DMP (dossier médical personnel). Ses conclusions sont accablantes. Ce grand projet souffre de multiples dysfonctionnements. Le gouvernement vient d'ouvrir une phase de consultations.

L'analyse

Le dossier médical personnel (DMP) ne devrait pas voir le jour avant... 2014 ! Trois ans après le lancement officiel de ce chantier complexe ?" l'acte de naissance du DMP est inscrit dans la loi du 13 août 2004 relative à l'assurance maladie ?", le gouvernement prend acte de son échec. Un fiasco que dénonce le rapport de la mission Igas-IGF-CGTI chargée de dresser un bilan sur l'avancement et le pilotage du projet. Ce dernier a été mené dans la précipitation. Ce qui a eu un impact négatif sur toutes les dimensions du projet : technique, organisationnelle et culturelle. Les expérimentations, pourtant décisives, ont été conduites dans l'urgence. Pour cette phase de test, 17 sites pilotes répartis dans 13 régions et 100 établissements de soins ont été retenus. ' Dans le meilleur des cas, les expérimentations se sont déroulées entre août et décembre 2006 ; l'une d'elles n'ayant duré que quinze jours ! ', précise Pascale Romenteau (Igas), corédactrice du rapport. ' Elles ne se sont pas révélées concluantes. Trop peu de dossiers ont été ouverts et consultés par les professionnels de santé. 'Lancé sans que la viabilité du modèle économique de la fonction d'hébergement ait été vérifiée, l'appel d'offres pour désigner un hébergeur de référence a achevé de démotiver les industriels qui avaient beaucoup investi dans les expérimentations. Le gouvernement, qui veut relancer le chantier sur des bases saines, vient donc de déclarer sans suite cet appel d'offres et annonce l'ouverture d'une phase de concertation avec tous les acteurs concernés jusqu'en mars 2008. Elle devrait permettre de traiter les dysfonctionnements évoqués.La consultation du contenu du dossier implique la sécurisation de l'accès aux données. D'emblée, la mise en place d'un dispositif d'authentification a été sous-estimée. Recommandée dès le début du projet par la Cnil (Commission nationale de l'informatique et des libertés), puis imposée par le décret du 15 mai 2007 pour la sécurisation des échanges d'informations en milieu médical, la carte de professionnel de santé (CPS) est choisie comme système d'authentification et est attribuée pour l'accès des professionnels au DMP.

Contraintes de sécurisation négligées

Alors que le déploiement de cette carte n'en est encore qu'à ses prémices, la phase d'expérimentation du DMP a malgré tout vu le jour en mai 2006 avec une échéance fixée à... décembre 2006 ! En huit mois, il fallait convaincre les professionnels de santé et les patients de participer à l'opération. Il fallait mettre en place une plate-forme d'échanges sécurisée, lancer la création des dossiers des volontaires, former les utilisateurs... Rien de moins. C'est donc pour gagner du temps que certaines régions pilotes ont fait l'économie des contraintes de sécurité. On a ainsi pu constater des envois d'identifiants de patients par courrier électronique, des mots de passe transmis par téléphone depuis certains centres d'appel, des DMP mis en ligne sur le site d'hébergeurs et accessibles avec une simple identification par login et mot de passe !Pourtant, quand on parle de sécurité, on ne peut pas omettre la question de l'identifiant. Car, pour créer un dossier unique, il faut un nouveau numéro, unique lui aussi. Dans les cas du DPM, c'est le NIS (numéro d'identifiant santé), qui a vocation à être aussi pérenne que son cousin germain le NIR (numéro d'inscription au répertoire). Si ce dernier n'a pas été retenu c'est, d'une part, parce qu'il est réservé à une utilisation exclusive dans le cadre de l'assurance maladie, d'autre part, parce qu'il est facilement reconstituable à partir des données d'état civil. Donc pas suffisamment sécurisé pour un usage externe. La Cnil propose donc d'appliquer au NIR un algorithme de hachage afin d'obtenir le NIS. Contraintes imposées : l'algorithme retenu devra éviter les doublons (plusieurs identifiants attribués au même patient) et les collisions (un identifiant affecté à plusieurs patients).A ce jour, le décret pour une création d'identifiant est toujours attendu. Pour la phase d'expérimentation, la livraison du NIS a été confiée à la Caisse des dépôts et consignation via la caisse primaire d'assurance maladie de Marseille. Une opération qui, à elle seule, a pris jusqu'à trois semaines par dossier !

Modalités d'hébergement et d'accès mal définis

Concernant l'hébergement, le rapport souligne notamment que les concepts performants déjà en place dans certains pays n'ont pas été explorés. Ainsi, les approches retenues par le Danemark et Israël auraient pu être étudiées. Les Danois utilisent un mécanisme de structuration et de sécurisation des échanges entre professionnels avec un fonctionnement assez similaire à celui de notre dossier pharmaceutique. Les Israéliens, par contre, s'appuient sur la notion d'hébergement réparti, à savoir une indexation des informations patients, stockées par les établissements et les professionnels de santé, et accessibles via un moteur de recherche réservé à cet usage. Lors de la phase d'expérimentation, le choix technique d'un hébergement centralisé a été privilégié sauf dans certaines régions, comme la Franche-Comté et Rhône-Alpes, où l'on s'est inspiré de dispositifs existants basés sur l'indexation. Mais si, pour la mise en ligne des données textes, le choix du type d'hébergement relève plus d'un choix tactique que technique, l'hébergement de l'imagerie (scanners, IRM, radios...), lui, se retrouve confronté à un grave problème de dimensionnement de l'infrastructure. On pourrait donc imaginer un fonctionnement basé à la fois sur une indexation de l'imagerie et une centralisation des synthèses patients. Enfin, s'il est établi que le professionnel de santé sera identifié grâce à sa carte, on ne sait toujours pas comment le patient accédera à son dossier (via une clé USB ?). Un décret sur la création de l'identifiant NIS et un autre sur les modalités d'accès patient sont en préparation.Pour les nouvelles phases d'expérimentation, un calendrier plus réaliste que le précédent est prévu, qui envisagera les trois étapes qui viennent d'être évoquées : sécurisation, hébergement, accès. Un des objectifs est d'obtenir de vrais retours d'expériences, les premières expérimentations n'ayant permis de tirer aucun enseignement en terme de manipulation. Encore faut-il que l'ensemble des acteurs s'accorde sur une description définitive de la structure du contenu du DMP ! La seule façon de mettre ce ' dossier mal parti ' enfin sur les rails...

Les principales causes de l'échec

Un calendrier irréaliste : dans la loi de 2004, il est indiqué que chaque patient disposera d'un DMP avant le 1^er juillet 2007... Or, les projets étrangers comparables prévoient tous une durée de développement d'au moins dix ans.

Un coût sous-évalué : la mission considère que le coût global de 1,1 milliard d'euros sur cinq ans (soit 18 euros par habitant) estimé par le GIP-DMP est de trois à dix fois moindre que celui des chantiers similaires à l'étranger.

Une gouvernance qui fait défaut : le projet introduit un nouvel acteur, le GIP-DMP, dans le paysage déjà foisonnant des systèmes d'information de santé. Ce choix a le défaut de ne pas s'appuyer sur une instance de pilotage unique.

Un climat d'urgence permanent : la mise en ?"uvre du DMP étant, de par la loi, devenu un enjeu politique, le chantier se retrouve sous la gestion directe des cabinets ministériels. La marge de man?"uvre du GIP-DMP devenant limitée.

Un glissement du modèle technique fin 2006 : d'un système basé sur plusieurs opérateurs globaux privés en compétition (les expérimentations se déroulent sur ce modèle), on est passé à un système combinant un hébergeur de référence et des hébergeurs locaux agréés (dépendant des normes et des prix du précédent).

Des facteurs sociologiques sous-estimés : l'utilisation du DMP suppose une motivation et une participation active de tous les professionnels de santé, qui doivent intégrer l'informatique à leur pratique quotidienne, et des patients.

Ce qu'ils en pensent

' La création d'identifiants a causé de gros ralentissements '

Thierry Durand, chef de projet informatique DPPR de la région Rhône-Alpes.

' La démarche choisie par notre région pour informatiser les données médicales nous a permis d'anticiper l'arrivée du DMP. Nous avions déjà réglé la question de l'authentification mais nous avons pourtant dû nous plier à la procédure de création d'identifiants. Cette étape longue et fastidieuse a causé de gros ralentissements. Le système du DPPR (dossier patient partagé et réparti) doit ouvrir l'accès à 1,5 millions de documents. En six mois, nous sommes passés de 30 000 à 100 000 dossiers traités. D'ici quatre mois, la quasi-totalité des dossiers de la région Rhône-Alpes sera accessible depuis le DPPR. '

' Le DMP ne doit plus être un coffre-fort '

Dominique Gerbod, directeur de l'activité santé chez Microsoft France.

' L'idée de l'expérimentation était très bonne. Dommage que l'on ait mis en avant l'hébergement des données de santé, alors que le problème portait davantage sur la coordination des soins et l'implication du patient dans des expériences ciblées sur des pathologies particulières. On s'est limité à un stockage d'informations sans savoir comment l'utiliser. Je pense qu'à l'avenir le modèle du DMP ne sera plus un coffre-fort, mais un dossier de synthèse (' historique médical synthétique ') avec des liens pointant vers les dossiers des établissements de soins. Pour notre part, nous avons lancé Health Vault, une solution de DMP sur internet reposant sur un modèle gratuit, financé par la publicité et des partenariats. '

' On est passé en cours de projet à un usage personnel du dossier '

Pascale Romenteau, Igas, corédactrice du rapport.

' Ce projet se résume en trois mots : précipitation, improvisation et impréparation. Entre une visite à Toulouse du ministre de la Santé le 24 mai 2004 et la présentation en Conseil des ministres du projet de loi relatif à l'assurance maladie le 16 juin 2004, on est passé du concept de dossier médical partagé (à l'usage des professionnels de santé) à celui de dossier médical personnel (propriété du patient). Sans prendre la mesure de ce glissement, tant sur le plan de la sécurité juridique que technique. Et en se focalisant sur le stockage des données de santé, sans analyser au préalable l'usage du DMP, notamment par les professionnels de santé. '

' Les retours d'expériences utilisateurs sont quasiment nuls '

Frédérique Lesaulnier, attachée à la direction des affaires juridiques, pôle santé social de la Cnil.

' La position de la Cnil a toujours été très claire en terme de sécurisation des données et de création d'identifiants. Il est évident que le temps imparti à cette phase d'expérimentation était beaucoup trop court. Certaines des 13 régions participantes, devaient s'équiper complètement. D'où les dérives que nous avons constatées. Il faut procéder par étapes. Prendre la décision sur l'identifiant, sécuriser les professionnels de santé, et ensuite seulement mettre en place le DMP. Aujourd'hui, les retours d'expériences utilisateurs sont quasiment nuls. Certains n'étaient même pas au courant qu'il fallait une connexion internet pour accéder au DMP. '

Christine Peressini et Stéphane Bellec

Votre opinion