Des recommandations américaines pour sécuriser l'usage des appareils mobiles personnels en milieu hospitalier

JMIR Mhealth Uhealth. 2016 May 11;4(2):e50. doi: 10.2196/mhealth.4424. A Mobile App Development Guideline for Hospital Settings: Maximizing the Use of and Minimizing the Security Risks of "Bring Your Own Devices" Policies.Al Ayubi SU1, Pelletier ASunthara GGujral NMittal VBourgeois FC.


L'usage des appareils mobiles personnels à l'hôpital par les professionnels de santé présente, en autres, des risques de violation du secret professionnel (voir l'édito de la semaine sur la "Mobile Health"). Cette équipe de Boston présente des solutions pour maximiser l'usage de ces appareils personnels (Smartphones, tablettes) et minimiser les risques.

RAPPEL DU CONTEXTE

Les hôpitaux disposent aujourd'hui de nouvelles applications mobiles pour améliorer les processus de soins et l'organisation du travail des professionnels de santé auprès des patients. L'adoption des appareils mobiles personnels au sein des hôpitaux s’inscrit dans une évolution sociétale qui intègre de plus en plus les technologies numériques dans l'environnement privé et professionnel. Cette situation exige néanmoins de prendre des précautions lorque l'on veut développer ces technologies dans les politiques organisationnelles de l’hôpital. Il faut mesurer leur impact sur les patients et le personnel soignant. Les hôpitaux devraient dépenser des milliers à des millions de dollars pour équiper tout le personnel soignant d'appareils mobiles uniquement dédiés au milieu hospitalier. Permettre aux professionnels de santé d’utiliser leurs propres appareils mobiles personnels au travail est l'objet d'une programme dénommé " apportez-votre-propre-périphérique (BYOD)", lequel représente une réelle avancée pour permettre à l’hôpital et à ses personnels soignants d’offrir aux patients des soins à la fois efficaces et efficients.

OBJECTIF DE L'ETUDE

Cette étude vise à définir des recommandations pour le développement des applications mobiles dans le programme BYOB en milieu hospitalier. Les auteurs ont mis au point une application mobile interne appelée TaskList, qui pilote le programme des tâches soignantes dans une hôpital pour enfants de Boston (BCH). Elle permet d'affiner l’orientation des soins en suivant la liste des taches donnéee par l'application. Elle a été créée dans le système d’exploitation Apple (iOS) et conçue pour les médecins résidents afin de leur permettre de surveiller, créer, appréhender et partager les tâches collaboratives quotidiennes associées à la prise en charge des jeunes patients.

METHODES

Pour créer les lignes directrices BYOD, nous avons développé l'application TaskList qui permet l’utilisation d’appareils mobiles personnels entre les médecins résidents de l'hôpital. Le TaskListapp a été conçu en quatre phases : (1) élaboration des lignes directrices de l'application mobile, (2) définition des exigences vis à vis des données de santé à caractère personnel et élaboration de TaskList avec le montage de la ligne directrice, (3) déploiement de la liste des tâches pour le programme BYOD avec les professionnels de santé utilisateurs et (4) ajustement de la ligne directrice sur le pilote de la liste des tâches.

La phase 1 nécessitait de bien comprendre les politiques existantes du programme BYOD à l'hôpital et mener des recherches sur le Web pour trouver les meilleures pratiques en développements de logiciels pour un environnement tel que les appareils personnels du programme BYOD. La phase 1 comprenait également le recueil des avis du DSI de l'hôpital des enfants BCH.

La phase 2 impliquait la collaboration, sur le programme innovant de l'hôpital BCH, entre le ministère de la santé, la DSI et l’équipe clinique TaskList afin de mieux comprendre quelles étaient les indicateurs à intégrer dans l’application.

La phase 3 était celle du déploiement TaskList dans une étude clinique pilote au sein de l'hôpital BCH.

La phase 4 fut celle de l'évaluation et des leçons à tirer de l'étude pilote afin d’affiner les lignes directrices du programme.

RESULTATS

Quatorze recommandations pratiques ont été identifiées pour créer un "BCH Mobile Application Development Guidelines" dont le but était de sécuriser l'usage de l'application installée sur les appareils mobiles du programme BYOD. Les recommandations ont été regroupées en quatre catégories: (1) authentification et autorisation, (2) gestion des données, (3) préservation de l'application vis à vis de son envirennement et (4) la potantialité d'usage à distance de cette application. Suite à cette liste de recommandantions, l’application a été développée et mise à l’essai au sein d'une équipe soignante travaillant auprès des patients hospitalisés.

Les 14 recommandations sont les suivantes :

Pour prévenir le risque d'un accès non autorisé à l'application et une baisse de la production de travail, deux recommandations sont faites : 1) adopter les normes SI en vigueur dans l'hôpital et obtenir une authentification utilisable, 2) mettre en oeuvre le RBAC ("role-based access control").

Pour prévenir le risque de perte de confidentialité des données de santé, deux autres recommandations sont faites : 3) mettre en place au moins trois couches de sécurité pour la transmission des données de santé (contrôle d’accès, sécurité de la couche transport et sécurité du contenu), 4) faire en sorte que l' application ne puisse fonctionner qu'au sein de réseaux internes ou VPN ("virtual private network")

Pour prévenir le risque de transmission des données de santé à des tiers non autorisés : 5) protéger toutes les notifications de l'application mobile.

Pour prévenir le risque d'un accès non autorisé aux données de santé : 6) Empêcher l'application de fonctionner sur des dispositifs non sécurisés, 7) Faire en sorte que l'application ne fonctionne qu'avec des mots de passe ou des données cryptées, 8) Exiger de l'application qu'elle utilise un minimum de cache.

Pour prévenir un accès non autorisé à l'application : 9) Appliquer un système de déconnexion automatique de l'application.

Pour prévenir la transmission des données de santé à des tiers non autorisés : 10) Limiter les possibilités de copier les données de santé, ainsi que les fonctionnalités d’impression d’écran, 11) Limiter la sauvegarde dans le Cloud.

Pour prévenir le risque de distribution de l'application à des tiers non autorisés : 12) Lors de la distribution de l'application aux professionnels, assurer son installation en interne, de même que les mises à jour.

Pour prévenir un accès non autorisé à l'application : 13) Mettre en oeuvre l'effacement à distance des fonctionnalités, 14) Mettre en œuvre la possibilité de déconnecter et de bloquer un utilisateur à tout moment.

CONCLUSIONS

La ligne directrice pour développer une application mobile de type Tasklist en milieu hospitalier s'est appuyée sur l’élaboration d'une liste des tâches à assurer dans la construction et la mise en oeuvre de l'application utilisant des données de santé pour le soin. Il est recommandé d'utiliser des développeurs lorsqu’il faut intégrer une telle application dans le système d’information hospitalier. Le déploiement de l'applications du programme BYOD doit être en conformité avec les normes et réglements en vigueur, notamment de la "Health Insurance Portability and Accountability Act (HIPAA)".

COMMENTAIRES

Ce travail est intéressant à au moins deux égards. D'une part, il confirme la nécessité de réfléchir à l'usage des appareils mobile personnels au sein des hôpitaux où l'usage et l'hébergement des données de santé à caractère personnel doivent être sécurisés. D'autre part, il apporte des solutions élaborées, compte tenu du risque de violation, pour un usage facile, sur le lieu de travail, d'une application en santé installée sur des appareils mobiles qui sont à la fois personnels et professionnels.