Les principaux avis et décisions par secteur
B. La messagerie vidéotex entre praticiens hospitaliers et leurs
correspondants à l'hôpital Boucicaut
La CNIL a été saisie le 6 août 1990, par l'Assistance Publique de Paris,
d'une demande d'avis portant sur la mise en place dans le service de chirurgie
générale de l'hôpital Boucicaut, d'une messagerie vidéotex. Le système envisagé a
un double objectif : d'une part, permettre l'échange de messages de type
professionnel (horaires des consultations, enseignements dispensés à l'hôpital,
etc....) qui par nature ne revêtent pas un caractère sensible; d'autre part,
permettre l'échange d'informations concernant les patients hospitalisés qui eux,
portent sur des données de nature médicale. Il pourra s'agir par exemple, dans le
sens médecin de ville à médecin hospitalier, de l'envoi de messages d'observations
cliniques, de demandes de confirmation de diagnostic ou de demandes de
précisions sur l'acte chirurgical à accomplir. Dans le sens inverse, il s'agira de
l'envoi des compte-rendus succincts de consultation ou d'acte chirurgical. Les
messages seront rédigés par les médecins en texte libre. Le système de messagerie
utilise le réseau commuté à partir de minitels ou de micro-ordinateurs équipés de
dispositifs de compatibilité minitel. Ceux-ci sont situés dans les locaux du service de
chirurgie générale de l'hôpital Boucicaut et chez les médecins de ville
correspondants qui seraient une centaine environ.
Dans la mesure où les informations nominatives médicales, par essence
sensibles, transiteront par le réseau commuté, le problème essentiel qui se pose est
celui de la sécurité des transactions. L'originalité du système soumis à la
Commission réside précisément dans la solution adoptée pour faire face à ce
problème et dont les perspectives d'avenir pourraient être très intéressantes.
Jusqu'à présent, pour toutes les applications télématiques mettant en oeuvre des
données particulièrement sensibles, la Commission a le plus souvent préconisé
l'utilisation de systèmes de contrôle d'accès logique, fondés sur la carte à microprocesseur. En raison de son coût, cette solution s'est avérée difficile à mettre en
oeuvre dans bien des cas. En l'espèce, la solution proposée repose sur l'utilisation par
les différents intervenants d'un “ porte-clé minitel ” (PCM) qui assure à la fois
l'identification des correspondants et la sécurisation des transmissions. Pour
accéder au serveur de messagerie, l'abonné doit avoir en sa possession un PCM
qu'il branche sur la prise DIN à l'arrière du minitel; le PCM lance un programme sur
le minitel dès l'allumage de celui-ci, demandant le code secret du porteur autorisant
son usage; l'abonné compose alors le numéro de téléphone de la ligne branchée
sur le serveur de messagerie; l'identification et l'authentification du PCM sont
effectués par le serveur, grâce à un algorithme de sécurisation. Le PCM offre donc
dans ce cas des fonctionnalités similaires à celles de l'ensemble d'une carte à
micro-processeur et d'un lecteur de cartes. Par ailleurs, ce dispositif de sécurité
sera complété par une procédure de cryptage des données transmises.
Initialement, les concepteurs du système avaient envisagé de procéder au
cryptage de l'ensemble des informations. Toutefois, en raison des délais de
communications induits par cette procédure, il a finalement été décidé de ne
procéder qu'au cryptage du nom du patient concerné, ce qui semble satisfaisant
en l'espèce.
246