Covid-19 (Coronavirus-2019nCoV) et crise sanitaire

Médiapart - Vaccination : une faille béante dans le secret médical

il y a 2 semaines, par Info santé sécu social

27 JANVIER 2021 PAR ANTTON ROUGET

Par manque d’anticipation, l’assurance-maladie n’a eu qu’un mois et demi pour développer le système informatique de suivi de la campagne de vaccination. Selon nos informations, celui-ci souffre de plusieurs failles : il permet à un médecin d’accéder à tous les dossiers des Français tandis que la procédure de signalement des effets indésirables a été mise en œuvre a minima.

C’est un nouveau raté de taille dans la gestion de la crise sanitaire. Le système d’information (SI-Vaccin Covid) mis en place par la Caisse nationale d’assurance-maladie (Cnam) pour le suivi de la campagne de vaccination en France présente d’importantes brèches et insuffisances, selon les éléments réunis par Mediapart.

Ces loupés sont la conséquence d’une mise en route tardive du système après plusieurs mois d’inertie des autorités, malgré les mises en garde de spécialistes de vaccination depuis le printemps dernier. À l’époque, alors que les labos s’engageaient à toute vitesse dans la course aux vaccins, les professionnels alertaient sur les enjeux liés à l’anticipation d’une campagne de vaccination d’envergure.

Il a pourtant fallu attendre l’automne 2020 pour que le projet de SI soit mis en route au ministère de la santé. Et encore : il a continué à prendre du retard en étant ballotté pendant des semaines de décision en contre-décision.

Ces problèmes ont eu une incidence importante sur le déroulé des opérations. D’un point de vue de la sécurité des données, d’abord, puisque le SI-Vaccin Covid qui tourne depuis le 4 janvier s’apparente à une véritable passoire.

Concrètement, le système permet le suivi de la campagne de vaccination en enregistrant toutes les consultations, les numéros de lots utilisés, les dates et lieux des injections, le nom du praticien, etc. Pour ce faire, les vaccinateurs doivent s’identifier sur le portail de la Cnam avec leur carte de professionnel de santé (CPS ou e-CPS) pour enregistrer chaque acte, pour lequel ils sont ensuite remboursés.

Mais, une fois à l’intérieur du système, ils peuvent aussi accéder au dossier de n’importe quel patient sans autorisation particulière, ainsi que nous avons pu le vérifier. Pour cela, il leur suffit de renseigner le numéro de Sécurité sociale de la personne concernée, un numéro que l’on peut reconstituer facilement à partir des données d’état civil. Des applications accessibles à tous permettent même de générer ces numéros automatiquement.

Dès lors, un professionnel de santé peut consulter la fiche d’un proche, d’un voisin ou même d’une personnalité publique, et accéder à ses données de vaccination sans être son médecin traitant ni recueillir son consentement.

Interrogés sur cette situation, les services de la Cnam ont nié toute « faille » dans le système en estimant qu’« il appartient au médecin de procéder à une recherche ou à un enregistrement uniquement et exclusivement pour ses patients ». « Il s’agit là des règles courantes relatives à l’exercice professionnel de médecins qui sont soumis au secret médical et dont l’encadrement de la profession est très strict. Estimer que cela relève d’une faille de sécurité consisterait donc à considérer que, par nature, les médecins ne respectent pas leurs obligations, ni la déontologie à laquelle ils sont réglementairement soumis », ajoute la Cnam, qui rappelle que les accès sont tracés.

Dans son avis du 10 décembre sur le SI-Vaccin Covid, alors en projet, la Commission nationale de l’informatique et des libertés (Cnil) avait estimé nécessaire de rappeler que les données traitées dans le cadre du système seraient protégées par le secret médical. À cet égard, la commission insistait sur le fait que « seules les personnes habilitées et soumises au secret professionnel doivent pouvoir accéder aux données du SI “Vaccin Covid”, dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions ». En clair, la Cnil réclamait un cloisonnement strict des données accessibles par les professionnels de santé.

« Il appartient donc au responsable de traitement de définir pour chaque destinataire des profils fonctionnels strictement limités aux besoins d’en connaître pour l’exercice des missions des personnes habilitées », ajoutait d’ailleurs la Cnil, en réclamant que soient prises des mesures « dès que possible » afin que les personnes habilitées ne « puissent accéder aux différentes données relatives aux personnes concernées que lorsqu’elles en ont effectivement besoin ».

Alors que ce cloisonnement technique au « besoin d’en connaître » n’est aujourd’hui pas assuré, la Cnil précise à Mediapart que ses contrôles « seront conduits dans les prochaines semaines » et qu’ils se « poursuivront tout au long de la période d’utilisation des fichiers, jusqu’à la fin de leur mise en œuvre et la suppression des données qu’ils contiennent ». « Dans ce cadre, prévient la commission, la sécurité des données, notamment les profils d’habilitation et permissions d’accès, fera l’objet d’une vigilance particulière. »

De l’aveu de plusieurs sources, ce dysfonctionnement est la conséquence du calendrier extrêmement serré pour la mise en œuvre du système. Pour le déployer dans une version « dégradée » (a minima) en janvier, les équipes de la Cnam ont charbonné pendant tout le mois de décembre. Mais le retard était impossible à combler. « On ne peut pas sérieusement monter un système de cette importance, avec tous les audits nécessaires, en quelques semaines », gronde un expert.

De fait, difficile de blâmer les équipes au cœur du projet. Le problème se situe bien en amont, tout en haut de la chaîne de décision, prenant sa source dans un défaut d’anticipation comparable à celui sur les commandes de masques ou sur la campagne de dépistage.

La réunion de « lancement et d’organisation du projet » ne s’est tenue au ministère des solidarités et de la santé que le 17 novembre, moins d’un mois et demi avant le lancement de la campagne de vaccination, selon des documents internes consultés par Mediapart.

À l’ordre du jour : une présentation globale du périmètre du système informatique, un macro-planning et l’organisation de la gouvernance d’un projet qui rassemble plusieurs acteurs. Sont en effet associées à l’initiative la Cnam, la délégation ministérielle du numérique en santé (DNS), mais aussi Santé publique France (SPF, pour les aspects logistiques), l’Agence nationale de sécurité du médicament (ANSM, pour le suivi des effets indésirables), l’Agence nationale de la sécurité des systèmes d’information (Anssi, pour la partie sécurité) ou encore la Haute Autorité de santé (HAS, pour les recommandations vaccinales). Autant d’acteurs que d’enjeux à maîtriser et coordonner.

Les équipes du ministère de la santé n’ont pas caché, lors de cette réunion du 17 novembre, la réalité « des risques opérationnels principalement liés aux délais de mises en œuvre techniques et juridiques » du dispositif. À cette difficulté s’ajoute alors le « fort besoin d’intégration entre plusieurs SI », en particulier celui que développait au même moment Santé publique France (SPF) pour la distribution des doses de vaccin.

Pour essayer de tenir les délais, plusieurs points quotidiens sont ensuite organisés, en fin de journée, pour le pilotage du projet et la coordination opérationnelle. Il faut faire vite, car l’État est déjà en retard sur tous ces objectifs, même les moins ambitieux.

En octobre, la DNS est déjà consciente que les délais seront difficiles à tenir alors qu’elle table à l’époque sur un lancement du système au 15 janvier seulement (le SI sera finalement ouvert le 4 janvier).

Le ministère de la santé envisage à cette période de s’appuyer sur l’expertise de prestataires privés, sélectionnés sans publicité ni mise en concurrence, au motif de l’urgence impérieuse. Un directeur de projet est recruté en toute hâte. Problème : aussi bon soit-il sur les aspects numériques, il ne connaît rien à la vaccination et aux enjeux qui lui sont propres, puisqu’il vient d’un groupe hôtelier. L’homme travaille pendant quelques semaines, avec une adresse Gmail fournie par Google (et non une adresse officielle), avant de quitter ses fonctions.

Au cours de ce même mois d’octobre, tout reste à faire : la DNS en est encore à préciser qu’il faut « prendre contact avec nos homologues européens pour benchmark, et étudier la possibilité d’une action conjointe ». Il convient d’« inscrire le sujet SI » à l’agenda du groupe de contacts mis en place par une inspectrice des finances au sein de la « Task Force Vaccination » que vient de créer le premier ministre Jean Castex, demande-t-on alors au ministère de la santé.

L’entreprise américaine de conseil Accenture des deux côtés du marché
Pour trouver un prestataire capable de porter le SI français, la DNS auditionne dans le même temps trois candidats, qui se sont volontairement manifestés auprès d’elle. S’affrontent sans le savoir le laboratoire américain Baxter, la multinationale du conseil informatique Accenture et une solution française MesVaccins, portée par la PME Syadem, basée à Bordeaux.

La proposition de Baxter est rapidement écartée : sa solution paraît « peu adaptable » aux besoins français, sans compter les dégâts que provoquerait dans l’opinion le fait de confier la gestion de données médicales à une entreprise de l’industrie pharmaceutique…

La candidature d’Accenture pose aussi question : la délégation ministérielle au numérique en santé (DNS) reconnaît que l’entreprise est bien implantée dans les SI, même s’il y a des « développements à effectuer pour adaptation aux besoins de la France ». Mais il y a surtout un « sujet » sur la protection des données personnelles. Accenture travaille par exemple en partenariat avec Microsoft, à qui le ministre de la santé Olivier Véran veut justement retirer l’hébergement des données du Health Data Hub pour les confier à une entreprise européenne.

Reste l’offre MesVaccins qui présente des atouts, selon la DNS : il s’agit d’une « entreprise experte des SI de vaccination » qui est « proche des acteurs publics », avec une « équipe motivée et réactive », et des « données hébergées en France » et non commercialisées.

Créé en 2009, MesVaccins est un carnet de vaccination électronique (CVE) permettant à chaque patient de gérer gratuitement ses vaccinations. Le dispositif intègre aussi un « système expert » d’aide à la décision vaccinale prenant en compte les caractéristiques individuelles et l’historique vaccinal de chaque personne pour l’aider à évaluer le bénéfice/risque.

En août 2019, l’Agence nationale de sécurité du médicament (ANSM) a aussi recommandé son système de pharmacovigilance renforcée (détection proactive des effets indésirables) dans le cadre du déploiement du vaccin contre le virus Ebola. Des discussions pour intégrer MesVaccins au dossier médical partagé (DMP) mis à disposition du public par la Cnam sont également en cours depuis plusieurs années.

Au mois d’octobre 2020, le ministère de la santé a malgré tout un doute concernant la taille de Syadem, l’entreprise qui développe cette solution : la PME est une « petite structure » ; sa « capacité de montée en charge » sur un projet aussi stratégique que le SI-Vac reste donc « à investiguer », estime la DNS.

Pour s’assurer que la PME a bien les reins suffisamment solides, le ministère décide, le 3 novembre, d’auditer l’entreprise. Elle confie curieusement cette tâche à… Accenture, qui passe ainsi subitement de candidat au marché à assistant à maîtrise d’ouvrage (AMO) du même marché.

Interrogée sur le périmètre exact de son contrat avec le ministère de la Ssnté, la firme américaine n’a pas souhaité répondre « pour des raisons de confidentialité ». La direction générale de la santé (DGS) et la DNS ne nous ont pas répondu, non plus, sur ce point. Le 21 janvier, le ministère de la santé avait simplement signifié, sans plus de détails, à France Info qu’il « a été fait appel au cabinet Accenture pour le lancement, l’enrichissement et l’accompagnement de la mise en œuvre du SI vaccination ».

Pendant deux semaines, le géant américain passe au peigne fin les capacités de la PME bordelaise. Tous les voyants sont au vert. Et le 17 novembre, Accenture présente deux options au ministère de la santé.

Un premier scénario dans lequel MesVaccins vient en renfort de l’État et apporte des « services spécifiques » à la campagne de vaccination (questionnaire pré-vaccinal, détermination de l’éligibilité vaccinale et des contre-indications vaccinales, aide à la décision vaccinale, gestion d’éventuelles interférences entre différents vaccins, etc.). La partie « pharmacovigilance renforcée » et l’analyse des données restent du domaine exclusif de l’État. Dans le second scénario, MesVaccins devient un acteur central de la chaîne de vaccination, même si les dossiers patients, le suivi vaccinal et les certificats de vaccination sont encore gérés par l’État.

Les équipes du ministère n’ont pas le temps de se prononcer sur ces deux options qu’au même moment, à un échelon supérieur, tout le travail préparatoire est balayé d’un revers de main. La « Task Force Vaccination » qui fonctionne sous l’autorité du premier ministre vient de changer brutalement de cap : plus question de faire appel à un prestataire spécialisé, il faut maintenant que le SI soit développé par les développeurs de la Cnam en interne.

Quels sont les motifs de ce revirement, et pourquoi n’a-t-il pas été anticipé ? Matignon ne nous a pas répondu.

La Cnam invoque pour sa part des raisons techniques en indiquant qu’au terme d’un « sourcing » qui aurait été réalisé à « l’été 2020 », aucune « solution n’était en mesure d’apporter les garanties suffisantes ». Dans ce cas-là, pourquoi le ministère de la santé a-t-il organisé des consultations avec plusieurs candidats en octobre, puis demandé à Accenture d’auditer MesVaccins, et qu’a-t-il été fait des conclusions favorables du rapport d’audit ? Relancée sur ce point, la Cnam admet juste que les « échanges se sont poursuivis à l’automne » avec des prestataires, sans en dire plus.

« Quand il est sous pression, l’État craint toujours de faire appel à une PME. Il y a toujours quelqu’un qui dit : “Mais attendez, est-ce qu’ils sont vraiment fiables ? Si ça ne marche pas, on nous tombera dessus en disant : “Pourquoi vous avez pris ces zozos ?” Par sécurité, l’État se tourne donc automatiquement vers de gros acteurs », interprète un entrepreneur du numérique, qui fut notamment mobilisé sur l’application StopCovid.

Début 2020, les PME spécialisées dans l’import-export de masques depuis la Chine avaient vécu la même déconvenue. Malgré leur connaissance du marché et leur réactivité, elles avaient été ignorées par l’État, lequel avait préféré faire appel à des grandes entreprises, qui pour certaines ne connaissaient rien aux dispositifs médicaux.
Les revirements entre le ministère de la santé et la Task Force ont en tout cas fait perdre de précieuses semaines, et suscité l’incompréhension de plusieurs parties prenantes. « Après avoir mobilisé 100 % de nos équipes pendant six semaines et répondu à toutes les attentes, on n’a plus eu de nouvelles du jour au lendemain », déplore Jean-Louis Koeck, le fondateur de MesVaccins.

Des alertes depuis le printemps

« Nous avions entre les mains une solution disponible, dont l’intégration au dossier médical partagé de l’assurance maladie est en cours, mais on a préféré repartir de zéro », s’étonne un ancien responsable SI Santé, qui note que Nicolas Revel, le puissant directeur de cabinet Jean Castex, connaît d’autant mieux le sujet qu’il a dirigé la Cnam de 2014 à juillet 2020.

Le gouvernement a-t-il simplement craint de confier une partie, même minime, de l’expertise à un acteur privé ? « Mais, dans ce cas-là, pourquoi l’État refuse-t-il un partenariat avec une PME comme MesVaccins alors qu’il ouvre grand les portes à Doctolib pour la prise de rendez-vous ? », interroge un autre spécialiste.

Le médecin Marcel Garrigou-Grandchamp, de la cellule juridique de la Fédération des médecins de France (FMF), abonde : « L’argument de ne pas voir entrer le privé ne tient avec le contre-exemple Doctolib. » Lui « pense que d’autres acteurs privés plus gros que MesVaccins veulent lui barrer la route en attendant d’imposer leur solution, c’est bien dommage ».

« On a la chance d’avoir en France un système très précurseur, toutes les associations de médecins qui l’utilisent en sont très contentes », précise l’épidémiologiste Yves Buisson. Le président du groupe Covid-19 à l’Académie de médecine insiste notamment sur les performances du « système expert » de MesVaccins, qui traduit les recommandations scientifiques pour le grand public, et est d’ailleurs utilisé par l’agence Santé publique France.

Le professeur Buisson loue aussi son « système de pharmacovigilance très poussé » (avec des relances des patients pour retracer les effets indésirables). « Au lieu de cela, on a préféré bricoler un truc incomplet en quelques semaines. Je ne comprends pas. Comme si on n’avait rien d’autre de mieux à faire… », cingle Yves Buisson.

Lors de la réunion de travail avec la Cnam le 17 novembre, les agents du ministère de la santé ont expliqué à quel point le calendrier pour la mise en place du nouveau SI était « extrêmement contraint ».

La première version du système devait ainsi comporter « les fonctionnalités minimales nécessaires au démarrage avec deux vaccins simultanés et ciblant quelques millions de personnes », seulement. La version ne comprend par exemple qu’une redirection vers le site de signalement des effets indésirables (pour relais à l’ANSM, qui coordonne la pharmacovigilance) alors que ce sujet avait été identifié comme un enjeu important par la DNS dans l’architecture du système.

La plateforme SI-Vac sera progressivement « enrichie » au fil des semaines en fonction des « enseignements tirés de la fonction minimale », a-t-il été convenu le 17 novembre. Le déploiement de la version « complète » du système, qui « devra pouvoir gérer des campagnes de vaccination à l’échelle de la population française et l’intégralité des vaccins mis sur le marché », étant alors programmé à « horizon printemps 2021 ».

Du côté du Syndicat de la médecine générale (SMG), on déplore que la question des données ait été « totalement écartée » de la discussion par les autorités. « Cela ne m’étonne pas du tout qu’on en soit là », avec la possibilité pour un praticien de consulter tous les dossiers dans le SI-Vac, fait part l’une des représentantes du SMG, Mathilde Boursier, en déplorant « une grande opacité autour de tout ce qui entoure les données en santé ». La praticienne défend une approche de santé publique, une médecine préventive et l’innovation en santé, mais estime que cela « ne doit pas se faire au détriment de la sécurité des données personnelles ».

Le 17 décembre, dans une tribune publiée dans Libération, l’ancien directeur général de la santé (DGS) William Dab, Alain-Michel Ceretti, président de l’association de patients « Le Lien », ou encore Didier Seyler, membre du Comité d’orientation et de dialogue avec la société de Santé publique France, ont tiré la sonnette d’alarme en indiquant qu’il « serait incompréhensible » à leurs yeux qu’un effort ne soit pas engagé par l’État « pour améliorer la pharmacovigilance portant sur ces nouveaux vaccins ».

Co-signataire de cette tribune, Pierre-Jean Ternamian, président de l’Union régionale des professionnels de santé de la région Auvergne-Rhône-Alpes, ne décolère pas. « J’ai martelé à toutes les réunions depuis le printemps, à l’échelon régional comme au niveau national, l’impérieuse nécessité de se préparer à la vaccination. On n’avait pas de nouvelles, on se disait : “Ils vont nous faire n’importe quoi”, et d’un coup on a vu surgir “SI-Vac”… Là on s’est dit qu’ils étaient en train d’inventer l’eau chaude, en pensant reproduire en deux mois dix ans d’expertise », peste ce médecin radiologue, qui a promu MesVaccins dans sa région et a même contribué à son développement.

Pierre-Jean Ternamian avait écrit sur le sujet à Jean Castex avant l’explosion de la seconde vague, le 17 août 2020. Le chef de cabinet du premier ministre lui a répondu un mois et demi plus tard, dans un courrier daté du 1er octobre 2020, en renvoyant vers le conseiller technique pour la santé du cabinet, qui « ne manquera pas de vous contacter prochainement par téléphone ». « Je n’ai jamais eu de nouvelles », constate M. Ternamian.

D’autres professionnels avaient aussi prévenu les autorités, dès le printemps, sur la nécessité d’anticiper la question du système d’information liée à la campagne de vaccination. « Mi-avril, nous avons écrit à nos interlocuteurs de la DNS pour évoquer les enjeux de la mise en place d’une future campagne de vaccination contre le Covid-19 », explique Jean-Louis Koeck de MesVaccins. Début mai 2020, une réunion a été organisée avec plusieurs membres de la Délégation ministérielle du numérique en santé (DNS), sans suite jusqu’au mois d’octobre.

Le 9 juillet 2020, au creux de l’été, les membres du Conseil scientifique, du Care et du Comité Vaccin Covid-19, les trois groupes formés par Emmanuel Macron pour le conseiller dans ses décisions, ont rendu un avis important sur la question. « De nombreuses inconnues persistent sur le plan scientifique, mais il est indispensable d’avancer vers l’élaboration d’une stratégie vaccinale afin d’anticiper des questions aussi fondamentales que “qui vacciner et comment ?” dès qu’un vaccin sera disponible », prévenaient-ils alors, en indiquant que « l’occasion de diffuser/généraliser la mise en place d’un carnet électronique de vaccination doit être envisagée ». Lancée en plein remaniement ministériel, cette recommandation est restée lettre morte.