COMMUNICATIONS ET NOUVEAUTÉS

Un des défis majeurs des systèmes de santé est la réconciliation requête/résultat. Quand un prescripteur fait une requête de laboratoire ou d’imagerie, il ne peut toujours savoir où son patient ira ni quand le test sera fait, ni même si le test n’est pas fait.

Habitué à l’adage “Pas de nouvelles, bonnes nouvelles”, le patient qui aurait fait un test dont le résultat est foncièrement anormal se sentira réconforté si son médecin, qui n’a pas eu le résultat,  ne communique pas avec lui!… Même si le résultat anormal pourrait être lu par le patient dans le carnet Santé Québec 30 jours après qu’il soit disponible à son médecin, cela ne décharge pas le médecin de sa responsabilité médico-légale.

Notons que l’obligation de préserver la confidentialité commande à ce que l’information soit transmise au patient lui-même après avoir vérifié son identité. Si cela est aisé en cabinet, il en va tout autrement par courriel, message texte, boîte vocale ou même portail. En effet, tous les portails sont susceptibles de piratage parce que l’information affichée y persiste.

Pour des raisons évidentes, l’importance de raccourcir les délais de communication de résultats, de s’assurer de la confirmation de réception et de la confidentialité de la communication est encore plus vive dans le cas  des résultats de dépistage d’ITSS (infections transmises sexuellement et par le sang). Téléphoner les résultats est non seulement non pratique et très onéreux en temps et salaires mais comment peut-on être vraiment assuré qui est Jules et qui est Jim si on contacte un des deux partenaires de vie une semaine après l’avoir vu en clinique pour lui communiquer ses résultats?

Dans le contexte des dépistages d’ITSS, il est vite apparu désirable que le patient,  qui est propriétaire de son information, puisse partager son droit de connaître le résultat via un droit lecture avec un tiers. En effet, pourquoi Jim devrait-il avoir une confiance aveugle dans les dires de son Jules? Rien de mieux que de pouvoir lire dans le dossier de Jules les résultats officiels  si Jules accorde à Jim un droit de lecture spécifique à cette information.

Alors, quelle est la meilleure solution de communication? Un courriel encrypté de bout en bout de type Proton? Une communication chiffrée sur Signal? Cela semble totalement irréaliste et non pratique. Aussi c’est confronté à ce dilemme, qu’en 2015, j’ai contacté Yves Le Borgne, un ami informaticien,  et lui ai demandé si ce serait possible d’utiliser le téléphone mobile comme clé d’authentification. En effet, le téléphone mobile est l’ordinateur que l’on porte sur soi et, déjà en 2015, il s’avérait que ce serait l’instrument de communication  privilégié par la majorité. Ainsi est né DSE Portable pour Dossier Santé Électronique Portable.

Les défis majeurs auxquels nous devions nous confronter étaient multiples: sécurité, confidentialité, non persistance de l’information sur quelque relais de transmission, aucune persistance de l’information en dehors du dossier médical, non persistance de l’information dans le téléphone après lecture du résultat, accusé de réception avec journalisation de toutes les étapes de la communication, mécanisme de repli afin d’aviser l’expéditeur si le destinataire a fait défaut de lire la communication au-delà d’un délai configurable. À cela, il faut ajouter la programmation en code natif pour éviter d’y inclure involontairement toute porte dérobée livrée avec un code commercial (Alphabet, Apple, Meta, Amazon, Microsoft).

Il est vite apparu que nous ne pouvions envoyer de l’information électronique du dossier médical au patient car les fournisseurs d’information ont tendance à copier les envois sur des relais ou dans des zones de stockage. Il fallait donc que le téléphone lui-même vienne chercher cette information. Toutefois, il est impensable de permettre à des milliers de téléphones d’avoir un accès direct à un Dossier Médical  Électronique (DME). Aussi, c’est le rôle du serveur applicatif d’agir comme pivot de vérification d’identité et de gestionnaire des consentements afin de filtrer toutes les demandes. Quand l’identité du patient est validée, il ne laisse passer que les requêtes qui satisfont les exigences de vérification d’identité et ne permet l’accès qu’à la portion du DME de cet individu pour lequel le médecin lui a fait état d’un résultat disponible avec ses recommandations afin  qu’il puisse en prendre connaissance.

Bref, le serveur applicatif ne connaît aucune information médicale et n’agit qu’à titre d’aiguilleur après avoir authentifié le destinataire. Cette vérification est basée sur 3 facteurs d’identité consignées dans le DME et associés à son identité numérique dans le serveur applicatif: pièce d’identité avec photo émise par une jurisdiction valable (RAMQ, permis de conduire ou passeport), numéro de téléphone mobile, courriel. De plus, le serveur applicatif exigera du téléphone de certifier que c’est bien l’utilisateur autorisé qui l’a en main (reconnaissance faciale, empreinte digitale ou NIP) avant de permettre la lecture de toute information médicale. Le téléphone mobile devient ainsi une clé personnelle de gestion d’identité, d’accès à des informations dont le patient est propriétaire et qu’il peut communiquer avec son consentement journalisé.

Par ailleurs, cette technologie, déjà testée et utilisée en clinique, comporte trois propriétés émergentes qui la rendent unique :

1. Elle permet au propriétaire de l’information (le patient) d’accorder un droit de lecture dans le système source à un tiers où qu’il soit sur la planète internet
2. Interfacée avec le DME et si on y ajoute un mécanisme de retour, elle permettra de questionner ou converser avec le patient de manière asynchrone tout en s’assurant de son identité  ( cette amélioration sera présentée au congrès des “Premières Lignes” tenu au Palais des Congrès de Montréal les 27 et 28 avril prochain )
3. Elle permet l’intermédiation d’identité entre des systèmes qui sont par design non interopérables, notamment entre DME distincts, DME et Système d’Information Radiologique (SIR), DME et Système d’Information de Laboratoire (SIL). Ce sera le sujet d’un autre article.