SMIS 1

Contrôle d’accès : étude préliminaire

Illustration : contrôle d’accès dans le DMP• Principe général

– Le DMP a pour vocation de favoriser la coordination, la qualité et la continuité des soins, sous le contrôle du patient. Le DMP est le dossier du patient.

• Ce que peut faire le patient– désignation des professionnels et des établissements auxquels ils donnent des

droits d'accès– gestion des droits d'accès exceptionnels– masquage de certaines données ou documents– alimentation de la zone personnelle du DMP avec des données personnelles

(souhaits de fin de vie, dons d’organes, etc)– consultation des documents déposés par les professionnels de santé– consultation des traces des accès et des actions faites sur le DMP

SMIS 2

Matrice de droits du GIP DMP

..\docs_travail\DroitsAcces\TableDroitsAcces_GIPDMP.pdf

SMIS 3

Expression des droits d’accès

A tout moment, le patient peut (re-)définir les droits qu'il accorde aux PS.

Il peut accorder des droits à des PS désignés de manière individuelle ou à des établissements de santé (droits réputés donnés uniquement à l'équipe de soins qui prend en charge le patient).

Cas des accès exceptionnels et des données masquées :• S'opposer ou non à l'accès aux données masquées par le médecin traitant ;

• Autoriser ou non un PS, non explicitement autorisé au préalable, à accéder au DMP:

– Dès lors que son consentement aura été donné par quelque moyen que ce soit au PS. Cas appelé accès par déclaration du PS.

– En cas d'urgence vitale (bris de glace) en précisant si dans ce cas le PS a accès aux données masquées.

SMIS 4

Contrôle d’accès : étude préliminaire

Illustration : contrôle d’accès dans le DMP• Ce que peut faire le professionnel de santé

– consultation du contenu du DMP selon ses droits– import dans son dossier métier de documents du DMP– alimentation du DMP par des documents ou données signés– suppression de documents ou de données à la demande du patient– masquage de certaines données ou documents à la demande du patient– consultation des traces sur le DMP qu'il a lui-même produites

• Le professionnel de santé a la responsabilité d'alimenter le DMP, avec l'accord du patient, de tout document (ou donnée) dont il juge qu'il est utile pour assurer la continuité des soins.

SMIS 5

Problèmes identifiés

Rapport Fagniez sur le masquage • Même les peurs irrationnelles doivent être prises en compte au risque de

voir les patients se détourner du DMP

• Les droits au masquage et au contrôle d’accès spécifique doivent être scrupuleusement respectés

Il faut accepter de fonctionner avec un dossier incomplet

Comment définir une politique de contrôle d’accès qui reste simple et cache efficacement ce qui doit l’être ?

SMIS 6

Ce que change le contexte DMSP

Intégration de données médicales et sociales• Extension de la matrice de contrôle d’accès

– Colonnes spécifiques aux acteurs sociaux, légaux et intervenants à domicile– Lignes spécifiques aux éléments du volet social

Utilisation de la clé USB sécurisée en complément du serveur• Contrôle total du patient sur l’usage de la clé

– qui y accède pour faire quoi– Garantie d’inviolabilité

• Permet de conserver électroniquement des données que le patient refuse de voir intégrées à son dossier centralisé (données cachées)

– Cette non intégration est réversible

• Durabilité des données cachées– Possible sur le serveur, données chiffrées avec la clé publique du patient,

déchiffrables uniquement avec une clé privée présente dans le token USB– Pas de déchiffrement possible sur le serveur

SMIS 7

Scénario DMSP : données partagées vs. cachées

Ouverture du dossier• Création d’un dossier sur le serveur Santeos

• Création d’un dossier sur le serveur USB

• Application de la matrice de droits par défaut sur les deux serveurs

• Expression éventuelle d’une politique de contrôle d’accès spécifique s’appliquant uniformément sur les deux serveurs (voir après)

Evénement de soin « classique »• Intégration de l’événement dans le serveur Santeos (ex: analyse médicale)

ou le serveur USB (ex: visite domicile) selon le contexte

• Dés lors que les deux serveurs auront été synchronisés, l’événement sera partagé en accord avec la politique de contrôle d’accès

SMIS 8

Scénario DMSP : données partagées vs. cachées

Evénement de soin « sensible » (i.e., exceptionnel)• Ex: analyse médicale pouvant révéler une pathologie grave ou honteuse• Traité au cas par cas (simple, similaire au comportement actuel)• L’événement n’est pas intégré au dossier partagé • Il est stocké dans le token USB et n’est accessible que

– par le patient et son médecin référent (voire uniquement par le patient)– une copie chiffrée est intégrée au serveur Santeos

• Après prise de conseil auprès du médecin référent– Soit l’événement change de statut et est intégré au dossier Santeos– Soit il reste privé au couple patient-médecin référent– Soit la sphère privée est étendue à un collègue de confiance

– Accès par déclaration lors de la visite à ce collègue (délivrance d’une clé de chiffrement de token USB à token USB)

– Le partage est rendu possible et il est sécurisé cryptographiquement– La donnée et ses règles de contrôle d’accès sont chiffrées sur le serveur

Santeos

SMIS 9

Scénario DMSP : données partagées vs. cachées

Ce que contient le serveur Santeos (pour chaque dossier)– Les données du dossier destinées à être partagées avec leurs règles de contrôle

d’accès (en clair ou chiffrées avec une clé serveur)– Les données cachées avec keurs règles de contrôle d’accès chiffrées avec une

clé patient (pas de déchiffrement possible sur le serveur qui ne sert que de plate-forme de sauvegarde et d’échange)

Ce que contient le serveur USB– Les données du dossier destinées à être partagées au chevet du patient

(déclaré a priori statiquement)– Les données cachées du dossier (dynamique)– Les données partagées exclusivement au chevet du patient et dont la

centralisation n’apparaît pas utile (déclaré a priori statiquement)

SMIS 10

Règles de contrôle d’accès spécifiques

Doit être simple mais puissant

A base de prédicat sur des attributs d’événements• Ex: tout événement dont la date est dans l’intervalle [d1,d2]

• Ex: tout événement correspondant à un épisode de soin (avortement, etc)– L’association événement-épisode de soin est de la responsabilité du PS

Le prédicat apparaît comme ligne supplémentaire dans la matrice

Un utilisateur identifié apparaît comme colonne supplémentaire dans la matrice (avec une priorité supérieure à celle de son rôle)

Peuvent être définie à tout moment• La matrice faisant partie intégrante du dossier, elle est toujours synchronisée

(à terme) entre le serveur Santeos et le serveur USB

SMIS 11

Architecture générale

Puce sécurisée

Connecteursvers

monde extérieurMémoire de

Masse FLASH (Go)

- non-sécurisée -

UnitéArithmétique et Logique

Crypto-Coprocesseur

Contrôleur Mémoire de

Masse

Mo

du

le

cryp

tog

rap

hiq

ue

Identification/Authentification

Contrôle d’accès

Evaluateurde requêtes

Stockage / Indexation

Clés

Métadonnées

Règles d’accès

Indexs

DossierPersonnel

Serveur de données

(dossiers)

Accès mobile

Co

ntr

ôle

d

’acc

ès

Module de synchro.

Accès connecté Application• Saisie• Consultation• Requêtage

Ch

iffr

emen

t

Serveur d’identité

Module de synchro.

Puce sécurisée

Connecteursvers

monde extérieurMémoire de

Masse FLASH (Go)

- non-sécurisée -

UnitéArithmétique et Logique

Crypto-Coprocesseur

Contrôleur Mémoire de

Masse

Mo

du

le

cryp

tog

rap

hiq

ue

Identification/Authentification

Contrôle d’accès

Evaluateurde requêtes

Stockage / Indexation

Identification/Authentification

Contrôle d’accès

Evaluateurde requêtes

Stockage / Indexation

Clés

Métadonnées

Clés Clés

Métadonnées

Règles d’accès

Indexs

DossierPersonnel

Règles d’accès

Indexs

DossierPersonnel

Serveur de données

(dossiers)

Accès mobile

Co

ntr

ôle

d

’acc

ès

Module de synchro.

Accès connecté Application• Saisie• Consultation• Requêtage

Ch

iffr

emen

t

Serveur d’identité

Module de synchro.

SMIS 12

Identification/Authentification des acteursAccès au serveur Santeos

Professionnel de santé • Accès au serveur par carte CPS

– Donne accès à toutes les données non masquées, après application de la politique de contrôle d’accès

• Accès au serveur par clé USB– Donne également accès aux données masquées, après application de la

politique de contrôle d’accès– Intégration d’un certificat CPS dans la clé USB (à discuter avec le GIP CPS)

Professionnel « social »• Accès au serveur par clé USB

– Donne accès à toutes les données (masquées ou non), après application de la politique de contrôle d’accès

Patient • Accès par clé USB (toutes données après application de la politique de contrôle

d’accès)

Intervenant à domicile/entourage • Pas d’accès au serveur Santeos

SMIS 13

Identification/Authentification des acteursAccès au serveur embarqué

Les certificats CPS révoqués ne peuvent être contrôlés off-line

Solution proposée

• Identification/Authentification forte par clé USB de tous les intervenants– Hyp : le terminal d’accès possède au moins 2 ports USB– Les clés intervenant et patient sont connectées en même temps– L’intervenant s’authentifie auprès de sa clé par PIN code– La clé intervenant s’authentifie auprès de la clé patient par un certificat– La sécurité est maximale, les mise à jour de l’intervenant sont signées

numériquement• Une personne de l’entourage/auxiliaire de vie sans clé USB n’aura accès qu’à une

zone non sécurisée du dossier (en fait, une zone d’échange hors dossier).