• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Industrie > La future solution de gestion des traces de consentement-patient du Grand Est se dessine

La future solution de gestion des traces de consentement-patient du Grand Est se dessine

Lancé en 2019, le projet d’un système de gestion des traces de consentement patients fédéré pour toute la région Grand Est a pu aboutir à un prototype démontrant sa pertinence et sa faisabilité. Porté par le GRADeS Pulsy, et hébergé par Adista, le futur service AIC (Accès Information Consentements) sera déployé en 2022. Retour sur la genèse de ce projet qui concernera potentiellement 4,5 millions de patients, avec Jonathan Lotz, nouveau directeur du Pulsy et Sébastien Déon, directeur des offres e-santé chez Adista.

Par Romain Bonfillon. Publié le 20 octobre 2021 à 6h45 - Mis à jour le 08 mars 2022 à 17h01
  • Ressources

Décomposer un système informatique en composants autonomes interopérables pour le rendre réactif aux évolutions des besoins métier : c’est le principe d’”urbanisation informatique” adopté par Pulsy et sa plateforme éponyme. C’est la même philosophie qui a présidé à la conception du service AIC (Accès Information Consentements), qui en 2022 devrait rejoindre l’actuelle offre de services en e-santé du Pulsy.

Pulsy héberge directement certains services socles de sa plateforme comme le serveur de rapprochement d’identité (SRI) et l’annuaire des professionnels de santé (ANR) qui vont être interfacés avec le serveur de consentement (AIC). Les consentements recueillis pourront être mis à disposition dans les dossiers patients informatisés (DPI). “Nous pouvons envisager de proposer ce service à d’autres services métiers tiers, à partir du moment où ils restent en lien avec le SRI qui est le pré-requis” explique Claire Battiston, cheffe de projet au Pulsy / Schéma Pulsy

Début 2019, deux constats interrogent les responsables du GRADeS Pulsy :

  • le temps important d’explication passé par chaque professionnel de santé ou personnel administratif pour recueillir le consentement du patient
  • offrir au patient une vision synthétisée de tous les consentements qu’il a pu donner (et ceux sur lesquels il souhaiterait peut-être revenir) éviterait les éventuels recours. Cette consolidation de la preuve épargne en outre à l’établissement de santé le travail d’archivage et de recherche d’un justificatif papier.
Calendrier du projet / Schéma Pulsy

Dès lors, la solution d’un consentement dématérialisé et d’une gestion fédérée de ce dernier s’impose. Le projet AIC est lancé en mars 2019 et passe en achat public innovant six mois plus tard. Pour rappel, les acheteurs publics peuvent depuis 2018 et jusqu’à fin 2021 passer des marchés sans publicité ni mise en concurrence préalables en dessous de 100 000 euros HT, à condition que les fournitures, services ou travaux concernés soient considérés comme innovants. En septembre 2019, Pulsy se met au travail, accompagné par l’opérateur de services hébergés Adista et l’éditeur Versusmind. De la formulation du besoin, en mars 2019, jusqu’à la livraison du POC, le projet aura mis seulement 9 mois à voir le jour.

Atouts et limites de l’outil

/ Schéma Pulsy

“Une de nos premières intentions pour ce prototype était de dématérialiser lorsque c’était possible le recueil de consentement, en adressant un lien par sms ou par mail“, explique Jonathan Lotz, directeur de Pulsy. En termes de coût et de performance, “le gain apporté par cet outil se situe essentiellement dans la possibilité de réduire le temps d’explication associé au traitement du consentement demandé“, poursuit-il.

“AIC ne remplace pas ce qui se fait déjà, ça le fédère !”

Jonathan Lotz, directeur du Pulsy

À ceux qui lui objecteraient que l’illectronisme (17% de la population française est en difficulté face à l’usage du numérique, selon l’INSEE) se prête peu à la généralisation d’un consentement dématérialisé, il s’empresse d’ajouter que “l’enjeu va être d’être suffisamment explicite et pédagogique pour que le patient donne un consentement éclairé. Cela passe par de bons didacticiels, une rédaction précise, l’intégration éventuelle de liens hypertexte vers des vidéos expliquant en quoi consiste le traitement et le recueil demandé“. Pour les patients les plus réticents à la technologie, il demeurera possible de recueillir le consentement directement par le praticien, comme c’est le cas aujourd’hui. “AIC ne remplace pas ce qui se fait déjà, ça le fédère !” résume Jonathan Lotz.

Le serveur AIC en quelques chiffres

Le fédérateur d’identité comprend 4,5 millions d’identités patients dans le Grand Est, autant de personnes potentiellement concernées par le futur serveur AIC.

L’investissement dans ce POC représente un budget de 100 000 euros. Jonathan Lotz estime son déploiement, en termes de charges portées par Pulsy (avec les coûts internes), à environ 500 000 euros sur 18 mois.

En termes de ressources humaines, un chef de projet dédié consacrera la moitié de son temps de travail au déploiement du service AIC. Il sera aidé de “chargés de déploiement”, qui vont gérer la bonne intégration de la solution dans les environnements numériques des établissements. Au total, cela représente 1,5 équivalent temps plein sur 18 mois.

Le choix d’Adista

“Comme nous avions un budget limité, nous avons décidé de développer un outil qui fonctionne avec les composants Azure. L’opérateur qui nous a le plus sécurisé dans cette contrainte d’environnement est Adista. Nous les connaissions pour avoir déjà mis en place des marchés avec eux sur les réseaux informatiques et sur l’hébergement de l’une de nos salles d’infrastructure (Pulsy est aussi hébergeur de données de santé, NDLR), raconte Jonathan Lotz. Lors du lancement du projet, nous avions des exigences HDS, mais nous n’avions pas encore la certification. Nous avons choisi de transformer cette contrainte en opportunité pour tester des architectures hybrides“.

“Pour mettre rapidement au point ce POC (Proof of concept), nous nous sommes appuyés sur la boîte à outils du serveur Azure. Nous sommes allés piocher dans une cinquantaine de ressources (celles entourées en vert, dans le schéma ci-dessus, ndlr) pour opérer ce développement”, explique Alex di Fabio, directeur des services au Pulsy / Visuel : Microsoft

Techniquement, cette hybridation repose sur une co-construction entre l’éditeur Versusmind (qui disposait déjà d’un logiciel de consentement patients estampillé RGPD), Adista et Pulsy. “Le logiciel de Versusmind a été installé sur un serveur qu’Adista a provisionné dans le cloud Azure, et les équipes du Pulsy ont utilisé les briques fonctionnelles du catalogue Azure pour faire fonctionner sa solution“, explique Sébastien Déon, directeur des offres e-santé chez Adista.

“Le cloud public est typiquement un bon cas d’usage pour faire un POC”

Sébastien Déon, directeur des offres e-santé chez Adista

Sébastien Déon, directeur des offres e-santé chez Adista

La maîtrise de la centaine de briques techniques de l’interface Microsoft Azure et la volonté de maîtriser les coûts (afin que Pulsy ne soit pas client final et facturé directement par Microsoft) impliquait de recourir à un cloud service provider (CSP) comme Adista. “Le cloud public est typiquement un bon cas d’usage pour faire un POC“, observe Sébastien Déon, vantant la “rapidité et l’agilité” de cette solution. Cette souplesse, confirme Jonathan Lotz, a également été décisive : “Nous ne savions pas, dans cette phase de POC, sur quelle volumétrie et quels usages précis on s’engageait. Le fait de pouvoir étendre facilement nos premières mises en production a facilité la mise à l’échelle à moyen terme“. La réversibilité de la solution est, enfin, rassurante pour le Pulsy qui réfléchit à la possibilité de revenir à un hébergement sur ses propres serveurs, désormais certifiés HDS.

Un déploiement prévu pour septembre 2022

Le POC ayant été réalisé, il reste cependant au Pulsy une tâche d’ampleur : relier tous les établissements de santé de la région au serveur d’identité régional. “Nous en avons environ 200 à raccorder, nous en sommes à une cinquantaine. Tant qu’on ne sait pas associer le consentement à la bonne identité patient, on ne peut pas fédérer ces consentements. En attendant le déploiement de l’identifiant national de santé qui est en train de se déployer, nous fonctionnons donc avec notre serveur de rapprochement d’identité, qui nous permet d’être cohérent et de parler du même patient d’un hôpital à un médecin“, explique Jonathan Lotz.  Le déploiement du service AIC est, selon la feuille de route du Pulsy, prévu pour septembre 2022. Dans un proche avenir, Pulsy souhaite rendre sa démarche régionale visible, pour pouvoir en faire bénéficier à l’échelle nationale les outils portés par l’Assurance Maladie et par l’ANS (Mon Espace Santé).

Recourir à un cloud public : une exigence de rapidité

“Quand on a une bonne idée, en matière de santé numérique, il faut la réaliser tout de suite. Si à cause d’un frein technique, on la laisse dans un carton, elle finit par disparaître“, analyse Sébastien Déon. A cet égard, les solutions “sur étagère”, comme le cloud public Azure, ont à ses yeux l’avantage d’être des “accélérateurs d’innovation“.

/ Schéma Adista

L’accès en “self-service” permet de travailler sur un POC avec un simple téléphone portable de n’importe où et de manière sécurisée. La facturation à l’usage implique de passer d’un mode CAPEX (capital expenditures = dépenses d’investissement), à un mode OPEX (operating expenses = dépenses d’exploitation), plus simple et plus rapide.  “Je me connecte au portail Azure, je consulte les ressources dont j’ai besoin, je regarde leur coût, j’instancie mes machines, la facturation se déclenche. Lorsque j’arrête d’utiliser le service (cas d’un serveur pendant la nuit), je ne paye plus“, résume Sébastien Déon. La scalabilité permise par le cloud (la capacité à faire évoluer la puissance (RAM) et la capacité de stockage de ses serveurs), d’un simple clic de souris, permet d’absorber les pics de charges (en cas de forte affluence sur le service).  Enfin, la “métrologie” d’un serveur de cloud public permet d’avoir un retour sur son utilisation au travers d’indicateurs variés (fréquentation, pics de charge, profil des utilisateurs, le temps d’usage, etc.)

Essentiel : Le cloud souverain

Le frein de la confiance

“Cette dernière fonctionnalité est rassurante pour l’utilisateur“, observe Sébastien Déon, conscient qu’en matière de cloud public, le principal frein reste la confiance. “L’angoisse qu’il suscite est entretenue par la peur des coûts imprévus, de ne pas être à la hauteur techniquement, le cadre contractuel jugé trop flou, la crainte de l’irréversibilité de la solution… et le Cloud Act” (voir encadré).

“Les Américains ont les GAFAM, les Chinois ont les BATX, nous avons le RGPD”

Sébastien Déon, directeur des offres e-santé chez Adista

Avoir recours à des hébergeurs français ou européens pour garantir notre souveraineté, semble être aujourd’hui l’option prise par l’État. “Une bonne idée“, selon Sébastien Déon qui regrette cependant que, techniquement, les GAFAM n’aient pas face à eux de concurrent européen de haut niveau et constate, un brin fataliste, “que le retard pris sera difficilement rattrapable. Les Américains ont les GAFAM, les Chinois ont les BATX, nous, Européens, avons le RGPD“, plaisante-t-il, avant de conclure, plus optimiste, “mais l’alliance n’exclut pas l’autonomie !“

Cloud Act : un sujet d’inquiétude légitime ?

Le Cloud Act (acronyme de “Clarifying Lawful Overseas Use of Data Act”) est une loi fédérale américaine promulguée en mars 2018 qui étend la portée géographique des demandes éventuelles du gouvernement américain à pouvoir accéder aux données stockées dans des datacenters appartenant à des sociétés d’origine américaine. Dès lors, il devient juridiquement possible pour le gouvernement américain de demander l’accès à des serveurs Microsoft basés en France. Le RGPD précise cependant que les fournisseurs de services qui souhaitent divulguer des données personnelles en dehors de l’UE sont tenus de demander l’autorisation à leurs clients (article 44 à 49 du RGPD). Un accord international bilatéral est en outre obligatoire pour qu’une juridiction ou une autorité issue d’une administration “transfère ou divulgue des données à caractère personnel” (article 48). Le périmètre juridique des potentielles demandes d’accès américaines est toutefois suffisamment large (de l’enquête criminelle à la très floue “menace à l’ordre public”) pour inquiéter les acteurs européens. Aussi, face à toutes les critiques formulées lorsque le Health Data Hub a fait le choix de Microsoft Azure pour héberger ses données, le ministre de la Santé Olivier Véran s’est engagé en novembre 2020 auprès de la CNIL à y mettre un terme… d’ici deux ans.

Pulsy et Adista : fiches d’identité

Pulsy est le Groupement Régional d’Appui au Développement de la e-santé (GRADeS) de la région Grand Est. La structure compte 70 personnes, réparties sur 3 sites (Nancy, Reims et Strasbourg) et 104 membres parmi lesquels les représentants du secteur libéral, du médico-social, des usagers et, spécificité régionale, un collège institutionnel qui compte des représentants de l’ARS, de l’Assurance maladie, le conseil régional, les conseils départementaux et les EPCI.

Adista est un cloud service provider (CSP), un opérateur de services hébergés d’IT en bon français, qui joue le rôle d’interface entre les structures de santé et la plateforme de Microsoft Azure. Adista est réparti dans tout le territoire français, avec des data centers en propre certifiés HDS (Hébergement de données de santé), dont deux sur la région de Nancy. Adista compte aujourd’hui environ 7000 clients, dont 1000 du monde de la santé. Son chiffre d’affaires s’élevait en 2020 à 110 M€ (dont 15 % réalisés dans la santé). Environ 20 personnes travaillent chez Adista au pôle d’expertise santé.

Romain Bonfillon
  • cloud
  • Données de santé
  • GAFAM
  • Outils numériques
  • Patient

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Étude de cas

Comment le CHU de Lille s’est appuyé sur Docaposte pour dématérialiser le recueil et la gestion du consentement patient

Les applications du store de "Mon Espace Santé" pourraient être automatiquement référencées en Allemagne
Dossier

[Étude exclusive mind Health] Comment les technologies numériques ont révolutionné les essais cliniques depuis 20 ans
analyses

PLFSS 2022 : quelles pistes pour la généralisation de la télésurveillance médicale ?
Entretien

Gérard Raymond (France Assos Santé) : "Nous sommes devenus des acteurs de la transformation numérique"
Dossier

Comment les hôpitaux partagent leurs données de santé ?
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nous contacter
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025
  • Twitter
  • LinkedIn
  • Email