EP2754104A2 - Procede d'acces et de partage d'un dossier medical - Google Patents

Procede d'acces et de partage d'un dossier medical

Info

Publication number
EP2754104A2
EP2754104A2 EP12778946.9A EP12778946A EP2754104A2 EP 2754104 A2 EP2754104 A2 EP 2754104A2 EP 12778946 A EP12778946 A EP 12778946A EP 2754104 A2 EP2754104 A2 EP 2754104A2
Authority
EP
European Patent Office
Prior art keywords
patient
server
file
medical
anonymous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP12778946.9A
Other languages
German (de)
English (en)
Inventor
Patrick Coudert
Jabir Abdelali
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of EP2754104A2 publication Critical patent/EP2754104A2/fr
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • G16H10/65ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records stored on portable record carriers, e.g. on smartcards, RFID tags or CD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Abstract

Un procédé d'accès et partage d'un dossier informatique personnalisé comportant des données nominatives et non nominatives dans un réseau comportant : - un premier serveur (DMA - 300) de dossiers anonymes basé sur un identifiant (IDA); - au moins un second serveur (GED - 500; RG&P 700-800) comportant des pièces jointes ainsi que des ressources générales et personnalisées indexées via ledit identifiant; - un premier système (1-1, 1-n) permettant l'accès audits premiers et seconds serveurs, comportant un agent DMN de génération d'un dossier informatique personnalisé et au moins un fichier de chiffrement/déchiffrement et une table (PLT) de correspondance de liens entre les données nominatives et ledit identifiant anonyme (IDA), - un second système (1000); le procédé comportant les étapes suivantes: - identification (login 402); - téléchargement (403) d'une liste d'identifiants anonymes IDA associés audit identifiant; - génération (404) d'une liste de clients à partir de la liste d'identifiant IDA et de ladite table PLT; - sélection d'un client (405); - téléchargement (406) du dossier informatique anonyme; - construction (407) du dossier informatique personnalisé - mise à jour (408) dudit dossier informatique personnalisé; et caractérisé en ce qu'il comporte les étapes: - téléchargement (409) depuis lesdits serveurs d'une liste d'identifiants de ressources génériques; - affichage (410) et composition d'une liste de sélection de ressources génériques; - ajout optionnel (411) de ressources personnalisées générés par le prestataire; - enregistrement du dossier informatique anonyme comportant la liste de sélection de ressources génériques et personnalisées dans ledit premier serveur (DMA -300); - création (505) d'un identifiant de connexion à l'attention dudit second système (1000) pour lesdits premier et au moins second serveurs (300, 500, 700-800); - génération d'au moins une clé de chiffrement attribué audit second système (1000); - transmission de l'identifiant de connexion, la ou les clés de chiffrement ainsi que l'identifiant IDA audit second système (1000) de manière à permettre un accès partagé au dossier informatique Anonyme, à l'exclusion de toute information nominative.

Description

Procédé d'accès et de partage d'un dossier médical
Domaine technique de l'invention
La présente invention concerne les systèmes d'information, et notamment un procédé d'accès et de partage d'un dossier informatique médical
Etat de la technique
Avec l'essor des télécommunications et celui du réseau Internet, le commerce en ligne mais également les prestations de services connaissent un développement considérable. Bien des consommateurs n'hésitent plus aujourd'hui à s'en remettre, en dépit de son absence de convivialité, à la simplicité d'une connexion télématique pour confier à divers prestataires présents sur le web le soin d'effectuer des prestations qu'ils auraient jadis confiées à des professionnels proches de leur domicile.
Les prestations dématérialisées se généralisent, que ce soit dans le domaine bancaire, le secteur de l'assurance etc... à l'instar du commerce électronique.
Une catégorie particulière de professionnels et prestataires échappe encore à ce bouleversement qu'imposent les Nouvelles Technologies de l'Information et de la Communication (NTIC). En effet, en raison du caractère séculaire de leur profession, de la notoriété et du crédit lentement mûris au cours de l'Histoire, les professions libérales échappent encore à cette intrusion de la télématique dans leur relation particulière avec leur clientèle. Les professions thérapeutiques tout spécialement, mais également bien des professions libérales se sont attachées à développer un lien privilégié avec la clientèle et la nature très privilégiée de cette relation s'oppose clairement au phénomène de dématérialisation que connaissent sans limite tous les autres secteurs.
Comme on le sait, la grande majorité de ces professionnels est soumise au secret professionnel, lequel est absolu et doit être préservé à tout prix. C'est le cas bien évidemment du médecin, de l'infirmière, de tous les thérapeutes mais aussi de l'avocat, de l'architecte etc .. Si les thérapeutes et d'une manière générale les professionnels libéraux échappent ainsi en partie aux bouleversements résultant de l'invasion généralisée des systèmes de télécommunications, il reste toutefois souhaitable de leur offrir de nouveaux outils propres aux NTIC, adaptés au caractère spécifique de leur profession et qui leur permettent de proposer de nouveaux services à leur clientèle.
Se trouve là la condition du développement des professions libérales dans la nouvelle société de l'information.
La demande de brevet n° 08368018.1 du 19 Septembre 2008 (Publication EP2166484), intitulée « Procédé d'accès à des données nominatives, tel qu 'un dossier médical personnalisé, à partir d'un agent local de génération » et dont les demandeurs de la présente demande sont à l'origine, décrit une première technique visant à dématérialiser le dossier médical d'un patient venant consulter un groupe de thérapeutes. A cet effet des procédures spécifiques sont mises en œuvre pour assurer un stockage anonyme sur un serveur dit DMA (Dossier Médical Anonyme), lequel stockage sert, lors d'une consultation du patient chez un praticien, à construire, au sein même du cabinet du praticien, une instance du Dossier Médical Nominatif - ou personnalisé - du patient et ce en préservant le caractère confidentiel des informations hautement sensibles que comporte ce dossier médical. De cette manière, il est permis au patient d'aller consulter divers praticiens, notamment au sein d'un même groupement professionnel mais situés en des lieux physiquement éloignés et qui pourront accéder partout au dossier médical personnalisé sans risque que les prestataires informatiques intervenant dans la transmission de l'information puissent briser la chaîne du secret. On parvient ainsi à préserver la confidentialité des informations stockées sur le réseau
Internet.
La solution qui se trouve décrite dans cette demande précitée apporte ainsi une amélioration significative au service rendu au patient qui, toutefois, reste confiné dans le sein du cabinet du praticien et prend fin dès lors que le patient prend congé de son praticien.
Pour autant il reste souhaitable de pouvoir accroître davantage la diffusion du dossier médical, et spécifiquement la portabilité, en permettant à son titulaire, d'une part, de pouvoir accéder simplement à son dossier depuis son domicile mais également, d'autre part, d'aller consulter divers thérapeutes, en France et à l'étranger, inscrits ou non au service mis en place, et d'enrichir le dossier médical des observations et du résultat de ces consultations.
Bien évidemment, s'il convient de permettre le développement de cette "portabilité" du dossier médical - lequel doit pouvoir "suivre" les déplacements du patient en quelque lieu où il se trouve - il reste nécessaire de préserver la protection et la confidentialité de ce dossier.
La présente invention a pour but de répondre à ce problème, en mettant à disposition des praticiens thérapeutes et de leurs patients, un dossier médical parfaitement portable qui pourra être consulté en tous lieux dans des conditions de sécurité optimales.
Par ailleurs, l'invention permet d'offrir, en toute sécurité, une panoplie de nouveaux services aux professionnels libéraux et à leurs patients. Enfin, et il ne s'agit pas du moindre des problèmes, il convient d'accroître la lisibilité de la lecture du dossier médical par le patient et d'offrir de surcroît à la collectivité de nouveaux outils de collecte statistiques afin de renforcer l'impact des politiques de Santé Publique.
Se trouve ici l'enjeu d'une médecine de progrès, entrant de plein pied dans le nouveau millénaire et intégrant le monde de la santé dans une démarche active de participation et de responsabilisation des patients en modernisant la prévention, l'optimisation des soins et l'évaluation des thérapies qui sont proposées.
Exposé de l'invention
La présente invention a pour objet de doter les professionnels libéraux d'un nouvel outil permettant d'ouvrir la voie à de nouveaux services pour leur clientèle, tout en préservant le caractère confidentiel de leur relation avec cette même clientèle. La présente invention a pour autre objet de doter les professionnels libéraux d'un nouvel outil permettant d'accroître le confort de l'exercice de leur profession, d'accentuer l'impact de leur consultation auprès de leurs patients en permettant à ceux-ci de prolonger la consultation qui a trouvé sa source dans le secret de leur cabinet, et qui se voit prolongée à distance, par le biais de ressources personnalisées accessibles à distance, soigneusement sélectionnées par le professionnel à l'attention de son client. Plus généralement, la présente invention a pour objet de doter les professions libérales et les organismes professionnels d'outils de supervision statistique permettant de suivre en temps réel les consultations. C'est un quatrième objet de la présente invention de fournir aux professions médicales un outil moderne permettant la constitution d'une solution informatique de partage de l'information médicale, paramédicale et sociale respectant la confidentialité des informations nominatives.
La présente invention a pour objet de doter les professionnels libéraux d'un nouvel outil permettant d'ouvrir la voie à un nouveau mode de consultation, notamment à distance, pour leur patient, tout en préservant le caractère confidentiel de leur relation avec cette même clientèle et en venant enrichir un dossier médical personnalisé.
La présente invention a pour autre objet de doter les professionnels libéraux d'un nouvel outil permettant de systématiser la constitution d'un dossier médical personnalisé, comportant des données nominatives ou non, et permettant au patient de bénéficier des avantages d'un tel dossier consultable partout et pouvant être largement portables entre différents praticiens.
L'invention résout ces problèmes au moyen d'un procédé d'accès et de partage d'un dossier informatique personnalisé géré par un prestataire de service pour le bénéfice d'un client, ledit dossier comportant des données de nature technique, notamment des données médicales, et des données nominatives hautement confidentielles au sein d'une architecture qui comporte :
- un premier serveur (DMA) comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec ledit identifiant anonyme (IDA);
- au moins un second serveur (GED, RG&P ) comportant des pièces jointes contenues dans ledit dossier personnalisé et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA);
- un premier système destiné au prestataire et permettant l'accès audits premiers et seconds serveurs, ledit premier système comportant dans sa mémoire un agent DMN de génération d'un dossier informatique personnalisé et au moins un fichier de chiffrement/déchiffrement comprenant une clé de chiffrement et une table (PLT) de correspondance de liens entre les données nominatives d'un patient et un identifiant anonyme (IDA),
- un second système (1000) destiné au patient et permettant l'accès audits premiers et second systèmes; le procédé comportant les étapes suivantes:
- identification (login) sur ledit premier serveur correspondant à l'identifiant dudit prestataire;
- téléchargement d'une liste d'identifiants anonymes IDA associés audit prestatair;
- génération d'une liste de clients à partir de la liste d'identifiant IDA et de ladite table
PLT ;
- sélection d'un client particulier;
- téléchargement du dossier informatique anonyme depuis ledit premier serveur;
- construction du dossier informatique personnalisé à partir des informations téléchargés depuis lesdits premier et second serveurs et les informations nominatives présentes dans ladite table PLT.
- mise à jour dudit dossier informatique personnalisé.
Le procédé comporte en outre les étapes suivantes :
- téléchargement depuis lesdits serveurs d'une liste d'identifiant de ressources génériques;
- affichage desdites ressources et composition d'une liste de sélection de ressources génériques;
- ajout optionnel de ressources personnalisées générés par le prestataire;
- enregistrement du dossier informatique anonyme comportant la liste de sélection de ressources génériques et personnalisées dans ledit premier serveur (DMA -300);
- création d'un identifiant de connexion à l'attention dudit second système pour lesdits premier et au moins second serveurs (DMA, GED, RG&I);
- génération d'au moins une clé de chiffrement attribué audit second système du patient ;
- transmission dudit identifiant de connexion, de la ou les clés de chiffrement et de l'identifiant IDA à un serveur administrateur et/ou audits premier et au moins second serveurs ;
- transmission de l'identifiant de connexion, la ou les clés de chiffrement ainsi que l'identifiant IDA audit second système attribué au client de manière à permettre un accès partagé au dossier informatique Anonyme, à l'exclusion de toute information nominative. Suivant un mode de réalisation, les premier et second systèmes sont un ordinateur, un ordinateur portable, une tablette communicante, un terminal portable ( smartphone) ou un téléphone.
Dans un mode de réalisation particulier, la transmission au second système de l'identifiant de connexion, de la ou des clés de chiffrement ainsi que de l'identifiant IDA sont effectuées via un support de stockage externe, telle qu'une clé USB biométrique, ou via une liaison de communication sans fils entre deux dispositifs communicants ou par courrier électronique.
De préférence, le procédé comporte, postérieurement à la génération de l'identifiant de connexion et des clés de chiffrement dudit second système la création d'une attestation/certificat permettant de confirmer la création de l'accès audit second système.
Parmi les ressources personnalisées, l'on peut prévoir un enregistrement audio ou vidéo réalisé à partir dudit premier système lors de la consultation chez le praticien.
Dans un mode de réalisation particulier, les échanges entre ledit premier système (resp. second système) et lesdits premier et au moins second serveurs (300, 500, 700-800) sont chiffrés au moyen de clés de chiffrage publique/privée du premier système (resp. second système). De préférence, le procédé est appliqué au partage d'un dossier médical anonyme stocké sur le premier serveur, auquel le second système attribué au client/patient peut accéder en bénéficiant de ressources génériques et personnalisées préparés par un thérapeute.
De préférence, le procédé comporte en outre un serveur de collecte et d'information statistiques destiné à suivre les accès audit premier serveur ainsi que les téléchargement desdites ressources génériques et personnelles dans le but de produire une information statistique, notamment sur les diagnostiques, les traitement et l'utilisation des ressources génériques et personnalisées. L'invention réalise également un procédé d'accès et partage d'un dossier médical personnalisé géré par un prestataire de service pour le bénéfice d'un patient, ledit dossier comportant des données médicales et des données nominatives hautement confidentielles, au sein d'une architecture comportant:
- au moins un serveur comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec un identifiant anonyme (IDA) et comportant également des pièces jointes et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA); l'accès audit serveur depuis un système détenu par un praticien résultant des étapes suivantes:
- détection d'un support attribué au patient comportant des éléments d'identification (non nominatif) et des moyens de cryptage/décryptage; - lecture et décryptage de l'identifiant anonyme (IDA) ;
- lancement d'une connexion audit serveur ;
- test de l'identifiant (IDA) anonyme de manière à vérifier si celui-ci correspond à un dossier médical anonyme stocké dans ladite base;
- vérification de l'identité du praticien;
- affichage d'un dossier médical anonyme sous une première interface à droits limités (URGENCE) de manière à mettre à disposition du praticien des informations médicales critiques concernant le patient même lorsque le patient est inconscient. Dans un mode de réalisation particulier, le support pourra être une carte à puce, une clé
USB voir même un terminal mobile tel qu'un téléphone intelligent (smartphone dans la littérature anglo-saxonne).
Dans un mode de réalisation particulier, la vérification du praticien comporte un test portant sur la carte professionnelle de santé (CPS) présentée par ce dernier.
De préférence, les données médicales anonymes transmises par ledit serveur provoque l'affichage du dossier médical anonyme en relation avec des interfaces distinctes pour les professionnels médicaux et le patient lui-même, les interfaces comportant des droits d'accès différents.
Dans un mode de réalisation particulier, l'accès au DMA depuis le domicile du patient comporte un test de mot de passe pour s'assurer l'identité du patient et lui permettre, en toute conscience, d'étendre les droits d'accès pour un praticien déjà intervenu sur son dossier.
Dans un mode de réalisation, le patient dispose de sa propre interface (PATIENT) comportant un accès à des ressources générales et personnelles spécifiquement crées par les praticiens ayant oeuvré sur son dossier. Plus spécifiquement, l'interface PATIENT comporte un moteur de recherche exploitant les données du Dossier Médical Anonymes stockées sur ledit serveur.
Dans un mode de réalisation particulier, le procédé d'accès au dossier médical anonyme comporte un test de localisation permettant de déterminer si le territoire sur lequel le patient consulte est un territoire exposé ou sécurisé, les données de mise à jour du DMA étant exclusivement stockées sur la carte patient dans le cas d'un territoire exposé. Plus spécifiquement, une phase de synchronisation peut être mise en oeuvre dès lors que le patient revient sur un territoire présumé sécurisé afin de mettre à jour les données médicales du DMA.
Dans un mode de réalisation, pour effectuer le test de localisation l'on vient tester l'adresse IP utilisé pour accéder au dossier ou, alternativement, le procédé recourt à une géolocalisation au moyen d'un récepteur GPS {Global Positionning System).
Suivant un mode de réalisation particulier, l'invention réalise un procédé de mise à jour de données médicales entre un premier serveur d'origine et un second serveur situés dans des pays différents, de manière à éviter toute transmission transfrontalière.
Le procédé comporte les étapes:
- la détection d'une communication entre un système d'un praticien et un support externe détenu par le patient, le support externe comportant un identifiant de support externe (ID card) et un identifiant de pays d'origine ainsi que des moyens d'identification et de cryptage/décryptage correspondant au patient;
- la lecture de l'identifiant du support externe ainsi que du pays d'origine du patient;
- la vérification auprès dudit second serveur si l'identifiant de support externe correspond à un dossier médical associé au patient;
- si un dossier médical est identifié:
- transmettre une requête audit serveur d'origine et télécharger la date de la dernière mise à jour;
- comparer la dernière mise à jour dudit serveur d'origine avec la mise à jour dudit second serveur;
- télécharger une mise à jour cryptée depuis ledit serveur d'origine et mettre à jour ledit second serveur;
- si un dossier médical n'est pas identifié:
- transmettre une requête au serveur d'origine pour télécharger une mise à jour cryptée du dossier médical;
- créer une copie du dossier médical au sein dudit second serveur;
- l'enregistrement provisoire des nouvelles données médicales saisies par le praticien lors du déroulement de la consultation;
- le stockage de la mise à jour du dossier médical au sein dudit second serveur .
De préférence, le support externe est un téléphone mobile, un ordinateur portable, une tablette tactile ou une clé USB comportant ses propres moyens de traitement. De préférence, les données médicales sont des données médicales anonymes.
L'invention permet également la réalisation d'un procédé d'accès et de partage à un dossier médical informatique stocké sur un serveur et accessible depuis un premier système associé à un support externe comportant un premier moyen d'identification d'un patient, ainsi que des moyens de cryptage/décryptage pour la communication avec le serveur.
Le procédé comporte les étapes:
- détection de la présence du support externe du patient au sein dudit premier système;
- transmission d'une requête au serveur pour solliciter la programmation d'une consultation à distance via un second système et mise en oeuvre d'une première authentification du premier système, notamment au moyen des informations d'authentification présente sur le support externe, en vue de l'établissement d'une première session;
- génération et transmission d'une notification électronique au praticien et notamment à un second système comportant des moyens d'identification dudit serveur, des éléments de cryptage/décryptage ainsi qu'un mot de passe en vue de l'établissement d'un second accès au serveur via le second système;
- transmission par le second système d'une requête au serveur en utilisant lesdits moyens d'identification, de cryptage/décryptage et le mot de passe reçus du patient;
- seconde vérification effectuée par le serveur de la présence de moyens d'authentification (exemple carte CPS) associés au second système;
- ouverture d'une seconde session entre le serveur et le second système appartenant au praticien;
- génération et partage du dossier médical sur les premier et second systèmes;
- stockage (390) et/ou mise à jour du dossier médical sur le serveur avec les informations saisies sur le second système ;
- fermetures desdites premières et secondes sessions .
Cette procédure permet d'organiser une rencontre entre un praticien et un patient, dans le but de conduire une consultation clinique à distance, éventuellement combinée avec l'examen de résultats d'examen biologiques et/ou d'images radiologiques, tout en permettant un enrichissement du dossier médical au moyen d'informations provenant du patient, et validées par le praticien. La rencontre est particulièrement sécurisée du fait de la double vérification opérée successivement sur les deux systèmes, permettant ainsi une authentification particulièrement forte. De préférence, le support externe comporte un code exécutable sur ledit premier système permettant l'exécution d'une visionneuse d'images de radiographies stockées sur un support présent dans le premier système. Le code exécutable permet en particulier la prise du contrôle du premier système par le second système dans le but d'opérer une sélection d'une ou plusieurs images extraites du support radiologique, la conversion de ces images en fichiers numériques qui peuvent ensuite être directement intégrées au sein du dossier médical partagé et simultanément consultés via les deux systèmes.
Description des dessins
D'autres caractéristiques, but et avantages de l'invention apparaîtront à la lecture de la description et des dessins ci-après, donnés uniquement à titre d'exemples non limitatifs. Sur les dessins annexés : La figure 1 illustre un premier mode de réalisation d'une architecture générale permettant la mise en oeuvre du procédé de l'invention.
La figure 2 illustre un second mode de réalisation d'une architecture pouvant servir à la mise en œuvre du procédé selon l'invention.
La figure 3 illustre un mode de réalisation d'un procédé de création et d'enregistrement d'une Ressource générique au sein, respectivement des serveurs 700 et 800 des figures 1 et 2.
La figure 4 illustre un mode de réalisation du procédé de consultation et d'accès au Dossier Médical Nominatif depuis l'ordinateur du praticien.
La figure 5 illustre un mode de réalisation de la création des identifiants de connexion du patient pour la consultation en ligne du DMA. La figure 6 illustre un mode de réalisation du procédé d'accès en ligne au DMA à partir de l'identifiant de connexion crée par le praticien.
La figure 7 illustre un mode de réalisation d'un procédé de mise à jour de la table PLT en cas de succession de thérapeute n'appartenant pas à un même groupement professionnel.
La figure 8 illustre un mode de réalisation d'un assistant d'aide au diagnostique utilisé lors de l'étape 408 de mise à jour du Dossier Médical Nominatif
La figure 9 illustre la consultation d'un praticien n°3 dans un Environnement sécurisé (CPS ) (1ère visite)
La figure 10 illustre un procédé mis en oeuvre permettant l'accès au praticien n°3 après la première visite.
La figure 1 la est un mode de réalisation d'un procédé mis en oeuvre lorsque le patient vient consulter un praticien n°4 situé dans un pays exposé à un risque de fraude
La figure 1 lb est un mode de réalisation d'un procédé de synchronisation de la carte PATIENT avec les serveurs 200-500 lorsque son titulaire revient en zone sécurisée.
La figure 12 illustre un mode de réalisation d'une carte patient sous la forme d'une carte à puce dotée d'un connecteur USB.
La figure 13 illustre la situation d'échanges de données médicales transfrontalières.
La figure 14 illustre un mode de réalisation d'un procédé permettant la mise à jour d'un dossier médical dans le serveur 300 -B.
La figure 15 illustre le schéma de principe d'une consultation à distance suivant un mode de réalisation de la présente invention.
La figure 16 illustre un mode de réalisation d'un procédé conforme à la présente invention . Description des modes de réalisation
L'on décrit à présent un mode de réalisation de l'invention visant à mettre en place un dossier médical informatisé à destination des patients et des divers thérapeutes, praticiens et membres des professions médicales ou non susceptibles d'intervenir sur la constitution et le développement de leurs dossiers médicaux informatisés.
Si l'on songe bien naturellement à l'intervention des médecins, kinésithérapeutes, infirmiers, podologues, psychologues, dentistes, radiologues, biologistes, diététiciens.... d'autres membres de professions médicales et paramédicales pourront être envisagés pour venir enrichir, en tant que de besoin, le dossier médical informatisé d'un patient.
L'invention peut être utilisée quelque soit le mode d'exercice des professionnels considérés. Bien évidemment, l'on considérera en premier lieu les médecins libéraux et tous les membres des professions exerçant dans un cadre dit "libéral". Mais cela n'épuise nullement les possibilités de la présente invention qui pourra s'appliquer également à tous les professionnels exerçant dans un cadre de salariat. Les salariés d'organisations complexes (cliniques, associations professionnels etc..) pourront utiliser avantageusement dans l'exercice de leurs fonction les outils et procédés décrits ci-après.
Afin de bien appréhender les multiples variantes et possibilités offertes par la présente invention, l'on décrira successivement l'application de la solution à un serveur stockant des données anonymes (A), puis un cas plus général, celui d'un serveur pouvant le cas échéant stocker des données nominatives ou non (B).
A. L'accès à un serveur stockant un dossier anonyme
L'exposé abordera successivement: I. Eléments d'architecture et définitions générales;
II. Procédures mises en oeuvre pour l'obtention des nouvelles fonctionnalités et notamment la portabilité du dossier médical anonyme (DMA)
I. Eléments d'architecture et définitions générales a) Eléments d'architecture
Dans un souci de concision et de simplicité, on s'appuiera sur l'architecture présentée et décrite dans la demande de brevet 08368018.1 afin de décrire un mode de réalisation, lequel sera toutefois nullement limitatif de la présente invention.
Comme cela est illustré dans la figure 1, on considère une pluralité de praticiens, exerçant de manière individuelle ou, comme cela est décrit dans la demande de brevet précitée, au sein d'un même groupement de professionnels et disposant d'un système informatique quelconque. En considérant plus spécifiquement le cas d'un groupement de n professionnels ou thérapeutes, on a représenté dans la figure un ensemble de n ordinateurs 1-1 à 1-n (on suppose que le groupement considéré comporte n systèmes), dotés chacun d'un processeur 6, de moyens de stockage dont une RAM 7 dans laquelle se trouve chargé un système d'exploitation 11 (tel que WINDOWS (marque déposée) ou LINUX par exemple), un logiciel applicatif 12, un module d'interface utilisateur 13 ainsi qu'un agent DMN 14 destiné à mettre en œuvre les procédures décrites ci-après. Le système 1-1 est doté en outre de moyens d'entrée/sortie conventionnels permettant la connexion à un écran 2, un clavier 3, un dispositif de pointage tel qu'une souris 4, ainsi que des ports spécifiques pour la connexion des périphériques adéquats, par exemple un périphérique série de type USB (Universal Sériai Bus) ou IEEE1394 (firewire)... Chaque système 1-1 peut également comporter des moyens de stockage externe, comme ce que l'on voit avec une clé USB 20 qui pourra, dans un mode de réalisation, comporter un fichier 21 stockant une table PLT ainsi que des clés de cryptage/décryptage 22 décrites plus loin.
Chaque système 1-1 à 1-n dispose en outre de moyens de communication, notamment avec le réseau Internet 100 de manière à pouvoir accéder, par exemple via le protocole http {Hyper Text Transfer Protocol) ou tout protocole équivalent, à des serveurs extérieurs, et en particulier à un serveur Administrateur 200, un serveur dit DMA 300 pour le stockage de données médicales anonymes, un serveur TSB 400 pour le stockage de données nominatives temporaires, un serveur GED 500 pour la Gestion de documents, un serveur 600 pour la collecte et l'analyse de données statistiques ainsi qu'un serveur RG&P 700 destiné au stockage des Ressources Génériques et Personnalisées qui seront mises à disposition des patients. Il est à noter que les serveurs 200 et 600 pourront également communiquer avec le serveur DMA 300 par des moyens de communications de type TCP/IP suivant une architecture de communication client- serveur bien connue d'un homme du métier qu'il n'est pas besoin de développer d'avantage.
Enfin, pour achever l'exposé de la figure 1, il convient d'observer que le patient dispose lui-également d'un ordinateur 1000, tel qu'un ordinateur portable mais plus généralement tout dispositif de traitement de l'information, doté de moyens de communication tel qu'un téléphone, un terminal de poche (« smartphone » suivant la littérature anglo-saxonne) , un PDA {Personal Document Assistant), une tablette graphique communicante etc ., permettant au patient d'accéder, en toute confidentialité via les procédures qui seront décrites ci-après, à son propre dossier médical personnalisé. L'ordinateur 1000 pourra être équipé des mêmes dispositifs que ceux présent dans le cabinet du praticien, et notamment un port USB, un disque de stockage externe, voire un lecteur de carte à puce 30 pour la lecture d'une carte personnelle de santé ( par exemple la carte dite VITALE en France).
Dans un mode de réalisation particulier, le port USB de l'ordinateur 1000 sert à la connexion d'une carte PATIENT comportant des moyens d'identification, de cryptage et de stockage d'un programme exécutable pour la mise en oeuvre des procédures décrites ci-après.
D'une manière générale, il convient de noter que, suivant l'enseignement de la demande de brevet 08368018.1 précitée, les données stockées dans les serveurs 300, 400 et 500 sont cryptées au moyen des clés de cryptage des praticiens qui sont intervenus pour créer les fichiers. Par dérogation à l'enseignement de la demande précitée, l'on peut considérer à présent que les données stockées sur les serveurs ne sont pas systématiquement cryptées, mais que leur cryptage intervient uniquement lors des échanges entre les serveurs et les ordinateurs 1-1 à 1-n ou même des ordinateurs du patient et des autres thérapeutes susceptibles d'intervenir sur le dossier. La figure 1 illustre un premier mode de réalisation comportant deux serveurs distincts, respectivement 500 et 700 pour le stockage des documents électroniques propres aux dossiers médicaux des patients (serveur GED 500) et le stockage des Ressources Génériques et Personnalisées (serveur RG&P 700) dont l'accès sera ultérieurement permis à ces mêmes patients suivant les procédures plus loin.
Bien évidemment, il ne s'agit là que d'un exemple et l'on pourra, dans un second mode de réalisation, tel qu'illustré en figure 2, stocker l'intégralité des documents électroniques et ressources électroniques proposées aux patients dans un seul et unique serveur de Gestion Electronique des Documents et de Ressources (GED&R) 800. La figure 2 illustre également le cas d'un unique praticien (un seul ordinateur 1-1 étant illustré) exerçant seul dans le secret de son cabinet, les autres références numériques inchangées par rapport à la figure 1 renvoyant aux mêmes éléments.
Quel que soit le mode de réalisation considéré, l'on notera que, d'une manière générale, les ordinateurs des praticiens pourront être chargés avec un agent DMN, tel que décrit dans la demande de brevet précitée, et incorporée dans la présente demande par simple référence, de manière à mettre en œuvre les procédures prévues dans cette demande précitée pour notamment :
créer la première table PLT stockée sur l'ordinateur d'un praticien ainsi que la clé de cryptage associée à ce même praticien ;
créer, le cas échéant, de nouvelles tables PLT secondaires à partir d'une table PLT primaire de manière à permettre à d'autre praticiens (N praticiens étant considérés dans l'exemple de la figure 1) appartenant au même groupe de professionnels que le praticien titulaire de la première table PLT de partager les informations stockées sur les serveurs ;
mettre à jour les tables PLT stockées pour venir ajouter ou supprimer des patients ; - et de manière générale mettre en œuvre les divers serveurs précités de manière a permettre un accès personnalisé au Dossier Médical du patient tout en préservant la confidentialité des informations nominatives sensibles à ce dernier.
Cet agent DMN pourra prendre des formes multiples. Il pourra s'agit d'un code exécutable signé stocké dans une mémoire externe, d'un programme stocké directement sur l'ordinateur 1-1 du praticien, voire même d'un programme de type Applet Java exécuté au sein d'un logiciel navigateur comme « Internet Explorer » de l'éditeur américain MICROSOFT Corp. (marque déposée). Outre les procédures rappelées précédemment, l'agent DMN sera conçu pour intégrer en outre les nouvelles fonctionnalités qui seront décrites ci-après. b) Définitions générales
Dans un souci de cohérence avec la demande de brevet précitée, l'on reprendra ci-après, brièvement les définitions suivantes : 1. Données Médicales Nominatives (DMN) : l'on vise sous cette appellation le dossier complet du patient, comportant aussi bien des informations administratives et surtout nominatives (nom, âge, sexe, particularités, adresse, téléphone...) que des informations médicales ( pathologies, éléments de diagnostique, traitements, etc .). Par extension de langage, on comprendra également sous l'appellation DMN le Dossier Médical Nominatif à savoir la structure de données spécifiquement crées à un instant donné et intégrant les données médicales nominatives. Dans le mode de réalisation des figures 1 et 2, conformément à l'enseignement de la demande de brevet précitée, afin de garantir un haut niveau de sécurité, les données DMN ne sont jamais stockées sur les serveurs 200-800. Dans le cadre de la demande de brevet précitée, ces données sont générées, uniquement sur demande du praticien, directement en local sur son système 1-1 au moyen du dispositif de stockage 20.
2. Données Médicales Anonymes (DMA - 300). L'on vise, dans cette catégorie, des informations uniquement médicales à l'exclusion de toute information à caractère nominatif, tel que le nom, l'adresse, les coordonnées téléphoniques etc..
Par extension de langage, on comprendra également ce vocable DMA comme désignant le Dossier Médical Anonyme, à savoir la structure de données comportant les informations du même nom. Ce dossier DMA comportant les données médicales anonymes, moins sensibles que les données complètes DMN, est stocké sur le serveur DMA 300 indexé par un identifiant non nominatif, désigné par IDA. Il est à noter que les informations stockées sur le serveur 300 notamment sont d'une grande utilité pour les pouvoirs publics et les organisations représentatives des professionnels concernés car elle apportent des données statistiques d'un grand intérêt pour la mise en œuvre d'une Politique de Santé Publique. D'une manière générale, comme on va le voir plus loin, les téléchargements des informations stockées sur les serveurs DMA 300 sont protégés par des clés de cryptage connues des seuls praticiens/patients de manière à préserver la confidentialité des échanges entre les serveurs et les praticiens (mais également, comme on le verra plus loin, les patients).
3. Base de Stockage Temporaire (TSB - 400). Cette base comporte des informations permettant une gestion des mises jour des dispositifs de stockage 20 utilisées au sein du groupement professionnel considéré, comme cela est décrit plus spécifiquement dans la demande de brevet précitée.
4. Base de stockage de documents (GED - 500) : Cette base contient des fichiers correspondant à divers documents électroniques, tels que des documents PDF ou image JPG propres au dossier médical du patient.
5. Table de liens (PLT): Cette table sert de pivot pour les échanges entre les différents serveurs comme cela apparaîtra plus loin. En effet, se trouve regroupée dans cette table, et uniquement dans celle-ci, la correspondance des informations nominatives avec l'index IDA utilisé notamment par le serveur DMA 300.
L'on rappelle que les données nominatives - hautement sensibles - et les données purement médicales (pathologies - diagnostique - traitements) - qui sont simplement sensibles - font l'objet d'un traitement différentié puisque les premières restent dans le cabinet du praticien tandis que les secondes sont stockées sur le serveur DMA 300.
Suivant un mode de réalisation de la présente invention, l'on peut venir rajouter les éléments de définition qui suivent : 6. Serveur de collecte & d'analyse statistique 600
Suivant un mode de réalisation, l'architecture peut comporter en outre un serveur 600 servant à collecter les données anonymes stockées dans le serveur DNM 300 et les requêtes échangées entre lui et les autres serveurs dans le but de constituer une base de données, parfaitement anonyme, mais pouvant servir à des fins d'analyse statistique pour la mise en œuvre des politiques de santé publiques.
7. Base de Ressources Génériques et Individuelles personnalisées (RG&P 700) Cette base sert au stockage de Ressources Génériques et Personnalisées qui pourront être créées par les thérapeutes mais également les organismes professionnels de thérapeutiques, et constituer un réservoir de documents électroniques et fichiers multimédias (audio-vidéo-texte) spécialement mis à disposition au profit du patient suivant les procédures qui seront décrites ci- après, et notamment une interface dite PATIENT spécifiquement dédiée au titulaire du DMA lorsqu'il accède à ce dernier depuis son domicile. Cette base 700 ou 800 est destinée à permettre le stockage de deux types de ressources :
- des Ressources Génériques ou Ressources Modèles;
- des Ressources Personnalisées, à savoir individuelles car propres à un patient donné.
Le premier type de ressources sont des ressources génériques ayant vocation à être utilisées à de multiples reprises, pour un grand nombre de patients, et qui pourront servir de ressources modèles pour prolonger de multiples consultations données par les praticiens. En particulier, de telles ressources pourront être rassemblées au sein de cliniques, dans lesquelles exercent de multiples professionnels et thérapeutes et qui pourront trouver grand intérêt à venir puiser dans ce réservoir de ressources génériques. Plus généralement, ces ressources pourront émaner d'organismes et d'institutions de formation spécialisés et mêmes des Universités et Facultés de Médecine. L'invention vise par conséquent à développer un vivier gigantesque de ressources professionnelles, soigneusement sélectionnées et conçues pour apporter au bénéfice des patients un complément d'information à haute valeur ajoutée. Par ailleurs, le second type de ressources se compose de ressources personnalisées ou individuelles, générées en tant que de besoin, au fil d'une consultation donnée, et permettant au praticien de venir ajouter aux ressources génériques qu'il envisage d'offrir à son patient dans le but de prolonger la consultation qui se déroule en son cabinet. L'on songera bien évidemment à un fichier vidéo dans lequel le thérapeute, pendant quelques instants, résume l'essentiel de la consultation faite à son patient, en l'éclairant sur les éléments de diagnostic, des indications thérapeutiques etc., mais également à tout document spécifiquement préparé par le praticien à l'attention de son patient.
Ces ressources se présentent le plus souvent sous la forme de fichiers informatiques stockés sur les serveurs 700 (resp. 800) de la figure 1 (resp. figure 2), et sont utilement classifiées suivant une pathologie considérée ou un élément du corps humain à traiter.
8. CARTE PATIENT. L'on vise sous cette appellation un support externe destiné à être conservé par le patient. Dans un mode de réalisation préféré, la carte PATIENT est une carte individuelle délivrée par l'Administrateur du réseau au patient qui en fait la demande, ou optionnellement remise au Patient lors d'une première consultation chez un Thérapeute régulièrement enregistré auprès de l'Administrateur du réseau. Cette carte patient consiste en un support matériel sur lequel est stocké un programme exécutable destiné à la mise en oeuvre des fonctionnalités décrites ci-après , de la mémoire, et des éléments d'identification et de cryptage (clés privées/publiques) requis pour l'accès aux serveurs décrits précédemment.
L'accès aux programmes et aux données stockées sur la carte peut être effectué au moyen d'un lecteur de carte 30 comme cela est illustré dans les figures 1 et 2. Dans un mode de réalisation spécifique, illustré dans la figure 12, la carte PATIENT est une carte à puce 90 (dite SMARTCARD), ayant un facteur de forme format ID-1 de dimension 85,60 x 53,98 mm, et comportant une puce 93 incorporée suivant la normalisation IS07816 intégrant des données d'identification sécurisées. Par ailleurs la carte PATIENT comporte un port USB 92 pour la communication série avec l'ordinateur 1000, et des moyens de stockage 95 destinés au stockage d'un code d'exécutable pour la mise en oeuvre des fonctionnalités décrites ci-après, et notamment les accès sécurisés aux divers serveurs 300-400 et 500 de l'architecture de la figure 1. En particulier, la carte PATIENT comporte une visionneuse de fichiers d'imageries médicales destinée à la sélection d'images spécifiques et à leur conversion en fichiers portables de type JPG par exemple, ainsi qu'un code fonctionnel permettant la commande à distance, sous certaines conditions, de l'ordinateur du patient. D'une manière générale, les circuits électroniques actifs de la carte 90 pourront être disposés au sein d'une surface 94 intégrant les différents composants électroniques, dont la puce 93 noyés dans le matériau constitutif de la carte. Un capuchon 91 situé dans un angle de la carte 90 permet de recouvrir le port USB lorsque celui-ci n'est pas utilisé.
De manière plus générale, la carte PATIENT pourra prendre la forme d'un dispositif électronique quelconque, comportant les éléments d'identification ci-dessus, des moyens de communications et un code exécutable. On pourra ainsi envisager l'utilisateur d'un téléphone mobile, d'un smartphone, permettant au patient l'accès à son dossier médical. 9. INTERFACES d'ACCES au DMA
Comme on le verra en détail plus loin avec l'exposé détaillé des procédures mises en oeuvre entre les différents ordinateurs 1-1 (resp. 1-n), 1000 et les serveurs 200-800, la présente invention permet la portabilité des données composant le dossier médical anonyme DMA, ou sa version nominative DMN, afin d'en permettre l'accès non seulement au patient, à son généraliste réfèrent, mais également à toute une série de spécialistes, de thérapeutes et praticiens paramédicaux et même, dans une certaine mesure, à des professionnels non thérapeutes comme certains "coaches" de sportifs de haut niveau pour lesquels il y a grand intérêt à introduire, au sein du DMA, la préparation physique et les entraînements. Toutes ces informations ont bien naturellement vocation à être collectées au sein du Dossier Médical, de manière à en permettre la dématérialisation et à le rendre accessible, en tous lieux, pour le plus grand intérêt de son titulaire.
En particulier, chaque intervenant qui est susceptible d'accéder au DMA (ou sa version DMN) dispose d'une interface dédiée, permettant des accès à certains couches ou strates du dossier, à certaines catégories d'information à l'exclusion d'autres en fonction du profil de l'intervenant.
Dans un mode de réalisation spécifique, l'on prévoit en particulier cinq interfaces qui seront décrites ci-après à titre d'exemples (et qui pourront bien entendu être complétées et/ou déclinées de manière plus spécifiques).
Une première interface dite URGENCE (ou "Safety Patient") permet l'accès à un premier niveau de données du DMA correspondant à des données critiques susceptibles de servir en cas d'accident, notamment lorsque le patient est dans un état d'inconscience. La nature du groupe sanguin, des indications relatives aux allergies etc.. appartiennent clairement à ce premier niveau de données et seront accessibles à partir de la carte PATIENT, quand bien même le patient inconscient n'est pas en mesure d'entrer son mot de passer pour l'utilisation de la carte. Il est à noter que, dans un mode de réalisation particulier, les données de l'interface URGENCE pourront être même sauvegardées sur la carte ou la clé USB PATIENT (notamment dans la zone de stockage 95) remise par l'Administrateur du réseau 200 au titulaire du DMA.
Une seconde interface PRATICIEN est celle spécifiquement réservée aux praticiens auprès desquels vient consulter le patient. Cette interface permet plus largement un accès aux données médicales anonymes en relation avec le champ d'expertise du praticien donné tout en permettant une gestion de droits d'accès. Dans un mode de réalisation particulier, on pourra plus particulièrement décliner l'interface MEDECIN en fonction de la qualité du praticien (GENERALISTE, SPECIALISTE), de son domaine de spécialité, voire de la nature (habituelle/occasionnelle), de la consultation du patient. Une interface spécifique à une spécialité donnée permettra, en particulier, l'affichage sur l'ordinateur du spécialiste d'outils susceptibles de venir générer des ressources générales et individuelles propres à la spécialité donnée, comme cela sera illustré dans les figures 3 et 4. Dans un mode de réalisation particulier, l'interface MEDECIN est associée à un certain nombre de droits d'accès régissant les accès à différentes strates de données, au sein des données DMA stockées sur les serveurs.
Plus spécifiquement, l'on pourra envisager que le patient puisse modifier au cours de son existence, et en recourant à sa propre interface PATIENT (qui sera décrite plus loin) l'étendue des droits concédées aux différents praticiens gérant sa santé.
Une troisième interface dite PARAMEDICAL permet de rendre certaines couches du Dossier Médical Anonyme accessibles à des professions paramédicales, dans le respect du secret professionnel.
Une quatrième interface dite NON MEDICAL permet de rendre certaines couches du dossier Médical Anonyme accessibles à certains professionnels n'appartenant pas spécifiquement au milieu médical, notamment les "coachs" sportifs et certains prestataires (nutritionnistes .... ) ayant à intervenir sur le DMA, notamment lorsque le patient est un sportif de haut niveau. Bien évidemment, l'accès, le cas échéant, à certaines données du DMA se fait uniquement dans le pur respect du secret professionnel et, notamment, avec l'accord du patient. Enfin, un cinquième interface est l'interface PATIENT qui est réservée spécifiquement à l'usager, au titulaire du dossier médical anonyme.
Cette interface est particulièrement importante car elle a fonction à remplir deux rôles distincts:
- elle tend en premier lieu à faciliter la lecture des données complexes composant le DMA et constituer pour le patient une source d'information significative relative à ses pathologies, ses traitements etc.;
- elle permet en second lieu la gestion des droits d'accès éventuels pour les différents praticiens intervenant sur sa santé. Parce que l'information médicale est d'une grande complexité, l'invention assure une meilleure lisibilité de cette information et des données générées lors des diverses consultations, analyses, observations, éléments de diagnostique et de traitement etc.. que le patient est susceptible d'avoir à connaître. Pour accroître cette lisibilité, suivant un mode de réalisation de l'invention, l'interface PATIENT est dotée d'un moteur de recherche spécifique au domaine médical, à l'instar des moteurs de recherches existant dans le milieu commercial (le moteur GOOGLE par exemple bien connu sur le réseau Internet), permettant de venir apporter au patient une source d'informations complémentaires.
De cette manière, le patient peut venir saisir des mots clés dans le moteur de recherche de l'interface PATIENT de manière à lancer une recherche visant à identifier des ressources disponibles sur le réseau Internet (accessibles via le lien Uniform Ressources Locators ou U.R.L.) susceptibles de lui apporter des informations complémentaires pour la compréhension de ses pathologies et utiles pour en gérer le traitement.
Dans un mode de réalisation particulier, le moteur de recherche disponible au sein de l'interface PATIENT dispose d'un accès aux données non nominatives du DMA pour orienter une recherche contextuelle qui ne sera que plus pertinente eu égard aux observations, aux éléments de diagnostique, aux traitements spécifiques du titulaire du DMA.
Ce lien direct existant entre le moteur de recherche de l'interface PATIENT et les données codifiées présentes dans le DMA rendront les recherches significativement plus pertinentes et, par conséquent, plus utiles au patient. Grâce à l'invention, et aux classifications particulièrement fines (notamment celles basées sur la classification internationale CIM-10) utilisées au sein du DMA, le moteur de recherche peut effectuer une recherche complémentaire de grande qualité dans le but de venir compléter l'information "brute" présente dans son dossier médical anonyme, et résultant des observations, des analyses et des éléments de diagnostique générés par la chaîne de praticiens et thérapeutiques qui ont pu intervenir sur le dossier.
Par ailleurs, le moteur de recherche pourra également, comme tout moteur de recherche conventionnel, tirer avantage de l'historique des requêtes présentées par le patient ou des liens déjà consultés par lui pour affiner une recherche et apporter une information complémentaire toujours plus riche et pertinente.
Comme on le voit, l'invention permet, par la qualité des informations qui sont mises à sa disposition, à gérer de manière plus efficace les pathologies dont il souffre, la connaissance et le suivi de ces dernières, et plus simplement le fait de "vivre" avec ses maladies. Par ailleurs, et ceci constitue un autre apport significatif et particulièrement avantageux de la présente invention, l'interface PATIENT permet de mettre à disposition du titulaire du DMA, comme on le constatera en relation avec la description des figures 3 et 4, une information d'un intérêt majeur pour lui puisqu'il s'agira de ressources générales et personnelles (stockées dans le serveur RG&P 700 de la figure 1) spécifiquement sélectionnées et/ou générées par ses propres thérapeutes.
Au travers des diverses interfaces et droits d'accès qui sont aménagées, l'invention permet le développement d'un dossier médical riche de multiples informations collectées par ou pour un patient durant son existence, parfaitement anonyme puisque ne comportant aucune donnée nominative le concernant, tout en offrant une grande portabilité tant pour le patient que pour les thérapeutiques qui seront amenés à intervenir et à travailler sur le dossier.
Malgré la portabilité remarquable de ce dossier DMA, l'on va constater, avec l'exposé des procédures mises en oeuvre qui va suivre, que les données contenues dans ce dossier demeurent particulièrement bien protégées .
II. Exposé des procédures mises en oeuvre pour la portabilité du Dossier Médical informatisé L'on va décrire plus en avant des modes de réalisation de procédures permettant d'assurer la portabilité du Dossier Médical Anonyme. Il ne s'agit évidemment que d'exemples de modes de réalisation n'épuisant nullement toutes les possibilités de l'invention. A cet égard, l'on va constater la grande souplesse et flexibilité du procédé en exposant successivement les exemples suivantes:
1. La consultation par le patient d'un praticien habituel (désigné n°l)
2. La consultation du DMA au domicile du patient
3) la consultation par le patient d'un nouveau praticien n°2, régulièrement enregistré auprès du service administrateur 200 .
4) la consultation d'un nouveau praticien n°3 en environnement sécurisé
5) . la consultation d'un nouveau praticien n°4 en environnement exposé
6) la consultation d'un nouveau praticien n°5 dans un contexte de législation nationales proscrivant le transfert transfrontalier de données médicales 1. La consultation par le patient d'un praticien habituel (désigné n°l
Le dossier médical anonyme a bien naturellement vocation à servir le praticien généraliste habituel (désigné communément par le médecin réfèrent) que vient consulter en premier lieu le patient pour toute affection le concernant.
Bien que s'agissant d'un praticien habituel, il y a un grand intérêt à venir constituer et développer un dossier médical anonyme DMA dématérialisé (sur les différents serveurs 200-800) car le patient peut être amené à changer de praticien habituel, et le stockage du dossier DMA sur des serveurs professionnels est une garantie de pérennité pour les informations qui y sont stockées.
En outre, le stockage de données médicales à l'abri des aléas concernant la vie des patients et des praticiens (décès, perte de disques durs ) est un gage de pérennité pour des informations qui peuvent s'avérer être de grand intérêt pour une politique de Santé Publique
Par ailleurs , en accédant au dossier DMA via son interface PRATICIEN, le thérapeute dispose, suivant un aspect de l'invention, d'une interface dédiée dotée de droits d'accès, et comportant notamment des outils spécifiques susceptible de permettre la sélection/création de ressources génériques et/ou personnalisées à l'attention du patient.
La figure 3 illustre un procédé de création et de stockage d'une ressource générique créée soit par un praticien donné, soit directement au sein du serveur administrateur 200 en vue de son stockage dans la bibliothèque des ressources génériques ou modèles (au sein des serveurs 700 ou 800).
Le procédé démarre par une étape 301. Puis, dans une étape 302, l'administrateur ou, selon le cas, le praticien introduit son identifiant (logiri), lequel fait l'objet d'un test. Si le test échoue, le procédé s'achève avec l'étape 309. Au contraire, si le test de l'identifiant (logiri) s'avère positif, alors le procédé se poursuit avec une étape 303 qui est le téléchargement d'une liste de pathologies et/ou de parties du corps (localisations). A cet effet, l'on pourra utiliser tout classement approprié des pathologies et/ou localisation suivant une structure arborescente.
Les pathologies pourront être classées en trois grands chapitres : blessures, maladies et accidents, sous la forme d'une arborescence permettant de retrouver aisément les pathologies recherchées : Blessures : classement par localisation (body)= partie du corps affectée par la blessure ;
Maladie : classement par spécialité (infectieux, digestif, ORL, dermato ...)
Accident : classement par partie du corps (body), mais regroupement lors d'un accident de plusieurs pathologies ou blessures
L'on pourra également développer la classification utilisée en recourant à d'autres catégories, tels que par exemple : « renseignements sur les risques et inconvénients qu 'une pathologie peut présenter » ; « renseignements sur la surveillance du traitement » ; « conseils sur l'observation » ; « explications d'imagerie » ; « conseils pre et post chirurgicaux » ; « exercices de rééducations » « conseils de rééducation » ; « évaluations et conseils psychologiques » etc...
Puis, dans une étape 305, le procédé effectue la création de la Ressource Générique, par la génération d'un fichier, comportant en général un document multimédia (audio/vidéo) circonstancié associé à la pathologie et/ou la localisation.
En particulier, l'on pourra considérer l'enregistrement de tout fichier vocal - généré à partir du système informatique du praticien - ou de tout fichier vidéo créé à partir de la combinaison du microphone intégré à l'ordinateur et d'une caméra connectée au système, et spécifiquement la webcam , suivant une terminologie anglo-saxonne. Le procédé poursuit avec une étape 306 qui est la compression éventuelle (par tout algorithme de compression tel que les algorithmes bien connus MPEG-1, MPEG-2 ou MPEG-4 mis aux point par le Movie Picture Expert Group) et le cryptage du fichier électronique pour en assurer la sécurité pendant la transmission jusqu'au serveur 700 ou 800. En ce qui concerne le cryptage, l'on peut envisager tout algorithme de chiffrement/déchiffrement symétrique ou non... En général, l'on utilise ci-après un algorithme de chiffrage/déchiffrage asymétrique de type RSA basé sur l'emploi de clés publique/privé
Dans la suite, pour simplifier l'exposé, l'on parlera indistinctement de Ressources ou de Fichiers pour désigner le fichier comprimé. Puis, dans une étape 307, le procédé procède à l'enregistrement dans la base DMA 300 de l'identifiant (id ) de la Ressource nouvellement créée, laquelle Ressource est finalement stockée, dans une étape 308, au sein du serveur 700 (de la figure 1) ou 800 (de la figure 2).
En réitérant le procédé de la figure 3, l'on vient ainsi constituer une base de données ou bibliothèque de ressources génériques stockées dans les serveurs 700-800 et dont les identifiants seront stockés dans les serveurs DMA 300. Les identifiants serviront, à l'instar de l'identifiant Uniform Resources Locator (URL) utilisé dans le protocole Hyper Text Transfer Protocol HTTP utilisé dans la navigation sur Internet. Ces ressources seront également disponibles depuis le moteur de recherche de l'interface PATIENT accessible au patient du praticien.
Il est à noter également que l'ensemble des ressources génériques, qu'elles soient crées par les praticiens, l'administrateur ou un tiers (une Faculté de médecine par exemple) ont vocation à servir d'assise à des droits de propriété intellectuelle et que la reproduction de ces œuvres, via les procédés décrits ci-après, feront l'objet de conventions adéquates entre les différents titulaires et les organisateurs et administrateurs du système. De tels aspects débordent le cadre simplement technique de la présente demande de brevet et ne seront pas conséquent pas développés plus avant. On se contentera de noter que l'étape 302 de validation de l'identifiant (login) servira à des fins de traçabilité pour conserver l'identifiant du créateur de la Ressource pour permettre le suivi de la politique contractuelle et , le cas échéant, la facturation.
L'on va à présent décrire plus précisément la création d'une Ressource Personnalisée, laquelle interviendra le plus souvent durant le fil d'une consultation en cours.
A cet égard, la figure 4 illustre le procédé mis en œuvre par l'agent DNM de l'ordinateur 1-1 à 1-n du praticien.
Le procédé démarre par une étape 401.
Puis dans une étape 402. le procédé effectue un test d'identification (login) du praticien, lequel, s'il échoue, conduit à l'achèvement du procédé par une étape 413.
Si le test de l'identifiant (login) est positif, alors le procédé se poursuit avec une étape 403 au cours de laquelle une requête est transmise de l'ordinateur 1-1 du praticien vers le serveur DMA 300 pour solliciter la liste des identifiants IDA qui lui correspondent.
Le serveur DMA 300 répond en transmettant, de manière cryptée au moyen de la clé publique du praticien la liste des IDA lui correspondant et l'agent DNM de l'ordinateur 1-1 procède ensuite à une étape 404 au cours de laquelle la liste des IDA est décryptée (au moyen des fichiers de décryptage présents, par exemple, sur la clé USB20) ; comparée et complétée avec les éléments nominatifs présentés sur la table PLT localisée sur la clé USB 20, de manière à générer la liste des patients de ce praticien. Dans une étape 405, un patient particulier (qui correspondra à celui dont la consultation est en cours) est sélectionné ou, à défaut, le procédé s'achève avec l'étape 413. Une fois un patient sélectionné, le procédé poursuit avec une étape 406 au cours de laquelle une requête est préparée et transmise à l'agent DMA 300 pour accéder au Dossier Médical Anonyme (DMA) de ce même patient. A cet égard, comme cela est décrit dans la demande de brevet précitée, la requête est transmise sous une forme cryptée au serveur 300 qui retourne le dossier DMA lui-même cryptée au moyen de la clé publique du praticien, lequel pourra ensuite la déchiffrée grâce à sa clé privée.
Puis, dans une étape 407, l'agent DNM construit le Dossier Médical Nominatif en complétant le DMA téléchargé avec les informations nominatives présentes au sein de la table PLT présente sur la clé USB ou sur son système 1-1. En cas de besoin, si le praticien ressent le besoin de consulter une pièce jointe au dossier, l'agent procédera au téléchargement de celle-ci depuis le serveur GED 500 au moyen de l'identifiant IDA.
Puis, dans une étape 408, le praticien déroule sa consultation et durant cette consultation comportant l'examen clinique, l'observation, l'interrogation etc .. Comme cela a été déjà décrit précédemment, dans un mode de réalisation particulier, le praticien dispose de son interface PRATICIEN comportant un véritable « assistant » via une interface graphique sur l'ordinateur 1-1 illustrée en figure 8, lequel permet de diagnostiquer une pathologie particulière et de conduire une prescription circonstanciée. L'assistant utilise à cet effet un ensemble de menus déroulants et guides basée sur la codification issue de la classification ICD10 (CIM10) attribuant un code à chacune des pathologies de façon a permettre un calcul statistique ainsi que des traductions multilinguistiques.
La consultation se déroulant ainsi de manière « assistée » par l'assistant de consultation de l'interface PRATICIEN, l'agent DNM procède à la mise à jour du dossier DNM, soit par l'ajout, la modification ou la suppression de données nominatives et/ou médicales, lesquelles viendront modifier de façon correspondante le Dossier Médical Anonyme qui sera stockée à nouveau sur le serveur DMA 300 voire même la table PLT. Si la pathologie est découverte et évoquée en premier lieu, l'agent DNM, sous le contrôle du praticien, procédera à l'enregistrement de la pathologie dans le dossier DMN, ce qui se répercutera sur sa version « anonyme » DMA stockée sur le serveur 300. Successivement, ou concomitamment, l'agent DNM procède, durant une étape 409, au téléchargement depuis le serveur 300 d'une liste d'identifiants contextuels, à savoir des identifiants de ressources génériques associées à la pathologie et/ou la localisation, cryptée à nouveau au moyen de la clé publique du praticien et déchiffrée par ce dernier grâce à sa clé privée.
L'agent DNM procède ensuite, lors d'une étape 410, à l'affichage en vue de leur sélection, de la liste des ressources génériques téléchargées. A cet effet, l'agent DNM dispose d'une Interface Graphique (ou GUI - Graphical User Interface) adaptée lui permettant de dérouler l'arborescence des classifications opérées lors de la constitution de la bibliothèque de ressources, afin de composer une liste de sélection de ressources génériques, judicieusement choisies en fonction des circonstances, et qui serviront à prolonger la consultation lorsque le patient aura pris congé de son médecin.
Clairement la réalisation d'une interface graphique permettant la mise en œuvre de d'outils de navigations, les menus déroulants, les boites de sélection etc . est bien connue d'un homme du métier et ne sera pas développée plus avant.
Puis dans une étape 41 1, l'agent DNM procède à l'ajout de ressources individuelles, personnalisées. A cet effet, l'agent pourra prendre la commande des capteurs audio-vidéo de l'ordinateur 1-1, et notamment d'une caméra disponible (webcam), pour permettre la saisie d'un court message audio ou d'une courte vidéo permettant au praticien de résumer les points essentiels clés de la consultation. Cette ressource spécifique conduit à la création d'un fichier audio-vidéo comprimé, crypté et qui sera stocké sur les serveurs de ressources 700-800. L'identifiant particulier de cette ressource spécifique sera stocké sur le DMA, lui-même stocké sur le serveur 300.
Alternativement, l'agent DNM pourra procéder à la génération de tout autre fichier multimédia voire même tout document électronique utile au patient, comme par exemple décrivant un exercice spécifique recommandé par le praticien.
Puis, dans une étape 412, l'agent DNM procède à l'enregistrement définitif du Dossier médical nominatif, en mettant à jour, en tant que de besoin la PLT, mais surtout le Dossier Médical enrichi par la liste de sélection des identifiants de ressources (génériques et individuelles) associés à la pathologie/localisation considérée, et qui sera en définitive à nouveau stocké sur le serveur anonyme 300, et auxquelles le patient pourra accéder depuis son domicile via sa propre interface PATIENT.
Le procédé s'achève ensuite avec l'étape 413 qui pourra être la fin de la consultation au sein du cabinet du praticien.
Il est à noter que, suivant un mode de réalisation de l'invention, lors de la première consultation au sein du cabinet du praticien, le patient reçoit un accès personnalisé, non seulement à son dossier médical, mais également à une sélection particulière de Ressources Génériques et Individuelles auxquelles il aura accès, durant une session, sécurisée, grâce à une procédure d'enregistrement que l'on décrit à présent en relation avec la figure 5.
Le procédé démarre par une étape 501.
Le test de l'identifiant (login) du praticien intervient ensuite durant une étape 502 qui, en cas d'échec, s'achève avec l'étape 510.
Au contraire, si le test de l'identifiant (login) aboutit, le procédé se poursuite avec une étape 503 similaires aux étapes 403-404 précédentes, au cours de laquelle l'agent DNM procède au téléchargement de la liste des identifiants IDA puis, après décryptage, comparaison avec la PLT, à l'affichage d'une liste de patients.
Dans une étape 504. un patient est sélectionné ou, à défaut, le procédé s'achève avec l'étape 510. Une fois un patient sélectionné, le procédé poursuit avec une étape 505 au cours de laquelle l'agent DNM génère un identifiant de connexion qui sera utilisé par le patient lors de sa future connexion au serveur DMA 300. A cet effet, le procédé génère une clé aléatoire (Publique/privée). L'IDA du patient est également crypté avec la clé publique stockée sur le DMA et l'ensemble composé de l'IDA crypté et de la clé privée est ensuite stocké dans un fichier personnel, qui sera remis au patient via sa carte PATIENT qui, comme on l'a exposé, prend la forme d'un support amovible, d'une clé USB ou même une carte à puce (SMARDCARD) telle qu'illustrée dans la figure 12, et qui servira à la fois au déchiffrage des fichiers reçus des différents serveurs mais également à la signature des requêtes pour l'accès aux différents serveurs, et notamment au serveur DMA 300. L'agent DNM transmet également en même temps l'identifiant IDA.
Dans un mode de réalisation particulier, la carte PATIENT peut récupérer les informations nominatives se trouvant sur le fichier PLT du praticien afin de permettre à un autre praticien de mettre à jour son propre fichier PLT. Alternativement, de telles informations nominatives pourront être stockées dans une zone mémoire particulièrement protégées présentes sur la carte à puce (SMARTCARD) de la carte PATIENT. Le praticien successeur aura donc la possibilité, grâce à ce fichier remis par la patient de mettre à jour le DMP du patient. A la connexion du patient, le fichier permettra de déduire son IDA après décryptage (clé privée).
Puis, dans une étape 506, l'agent procède à la génération d'un certificat électronique (signature patient) permettant au patient de confirmer la procédure de validation de l'accès au dossier médical anonyme.
Il est à noter que, dans un mode de réalisation particulier, la transmission des informations de connexion et de chiffrement/déchiffrement pourra se faire via un autre canal que celui de la carte PATIENT, notamment tous autres supports USB. Alternativement, les identifiant de connexion et les clés de chiffrement/déchiffrement pourront être transférés par courrier électronique ou via le téléphone mobile, le terminal mobile ( smartphone), le PDA présent par le patient lors de la consultation. D'une manière générale, de multiples possibilités sont envisageables et ne dépendent que des besoins considérés.
La transmission de l'identifiant de connexion et des clés publiques/privées ayant été faite, l'agent DNM poursuit avec une étape 507 qui est la transmission à l'administrateur 200 d'un message avisant ce dernier de la création de l'accès personnalisé du patient. De cette manière les serveurs DMA 300 et 700-800 sont avisés de l'identifiant de connexion, de l'identifiant IDA et de la clé publique du patient qui devra être utilisée pour le chiffrement Dossier Médical Anonyme mais également pour vérifier la signature du patient. Alternativement, l'on pourra envisager que c'est l'administrateur 200 qui informera les serveurs DMA 300 et 700-800.
Une fois l'enregistrement effectué auprès de l'administrateur 200 (et optionnellement du serveur 300), le procédé s'achève avec l'étape 510. 2. La consultation du DMA au domicile du patient
Grâce à l'enregistrement de cet accès personnalisé au Dossier Médical Anonyme stocké sur le serveur 300, le patient peut à présent, grâce à l'accès qu'il a reçu via sa carte PATIENT ou par des moyens divers (clés USB, téléphone mobile, courriel etc ..) bénéficier d'un prolongement de la consultation avec son praticien en allant se connecter, une fois rentré à son domicile, sur le serveur DMA 300.
A cet effet un agent spécifique est mis en œuvre sur l'ordinateur 1000 du patient, agent qui peut prendre la forme d'un code exécutable directement depuis le système d'exploitation de l'ordinateur 1000 et préalablement stocké sur la carte PATIENT ou la clé USB reçue lors de la consultation chez le praticien, ou par tout autre moyen, courrier électronique et même une applet JAVA se déroulant au sein d'un logiciel navigateur.
Le procédé démarre par une étape 601, au cours de laquelle, par exemple, le patient introduit sa carte PATIENT dans le lecteur de carte 30 connecté à son ordinateur 1000.
Puis, dans une étape 602, le procédé se poursuit par une étape automatique de connexion sur le serveur DMA 300 au moyen de l'identifiant de connexion généré par l'agent DNM du praticien lors de l'étape 506 de la figure 5. Dans un mode de réalisation particulier, un test de mot de passe est mis en oeuvre pour éviter les accès illicites au dossier médical anonyme.
Cette demande de connexion est testée par le serveur 300 qui a été avisé préalablement de l'identifiant du patient et de sa clé publique.
En cas d'échec de connexion, le procédé s'achève avec l'étape 610.
En cas de succès, au contraire, le procédé procède au décryptage de l'identifiant et récupère l'identifiant IDA durant une étape 603.
Puis, dans une étape 604, l'agent spécifique transmet l'identifiant IDA et procède au téléchargement du Dossier Médical Anonyme (DMA) stocké sur le serveur DMA 300, et enrichi par la liste de sélection de ressources préparée par le praticien. Les informations chiffrées au moyen de la clé publique du patient, peuvent alors être déchiffrées par ce dernier grâce à sa clé privée.
Puis, dans une étape 605, l'agent spécifique procède à l'affichage du dossier médical anonyme téléchargé suivant une interface graphique dite PATIENT. Il est à noter que, le DMA étant parfaitement anonyme, les informations affichées seront également anonymes mais cela ne posera aucune difficulté en l'espèce puisque, par définition, le patient consultant son dossier ne s'intéresse nullement aux informations nominatives associées à ce dossier, mais bien aux informations à caractère médical le concernant. Par conséquent, et c'est une grande différence par rapport à ce qui se passe pour l'exécution de l'agent DNM du praticien, l'affichage se déroulant chez le patient pourra rester parfaitement anonyme également. Alternativement, l'on pourra imaginer que l'agent spécifique utilise un moyen annexe, par exemple les informations contenues dans une carte à puce sécurisée (carte VITALE par exemple) ou stockées sur un support sécurisé tel que la carte illustrée en figure 12, pour venir combiner les informations anonymes téléchargées depuis le serveur 300 avec des informations nominatives extraites de cette carte/support et offrir alors au patient un dossier médical réellement nominatif, à l'instar de celui qu'il aura vu au cabinet de son praticien.
Mais cela n'est absolument pas nécessaire et, dans bien des situations, le patient pourra se satisfaire largement d'un affichage anonyme qui lui apportera la totalité des informations médicales le concernant.
En outre, comme on le voit avec l'étape 606, le patient pourra sélectionner, grâce à son interface utilisateur spécifique (interface PATIENT), une pathologie particulière voire une localisation particulière contenue dans son DMA. L'agent spécifique procède alors, dans une étape 607, au téléchargement des ressources Génériques et/ou Spécifiques depuis les serveurs 700-800 lesquels procéderont à la transmission des fichiers correspondants, convenablement chiffrés au moyen de la clé publique qui leur aura été communiquée par l'administrateur 200 lors de l'étape 505 de la figure 5.
Une fois téléchargées, l'agent spécifique peut alors les déchiffrer au moyen de la clé privée du patient et afficher les ressources générales et ou Personnelles dans une étape 608, que le patient pourra alors consulter en tant que de besoin.
Le patient dispose ainsi d'un accès non seulement à son dossier médical anonyme, mais également à un ensemble de ressources génériques et personnelles circonstanciées pour chacune des pathologies dont il souffre. De cette manière, il lui est offert la possibilité d'une lecture plus aisée de ce dossier médical qui, bien souvent, reste assez occulte pour le grand public.
En outre, le patient pourra tirer avantage du moteur de recherche présent au sein de l'interface PATIENT, lequel s'appuiera sur les données non nominatives présentes dans le DMA pour venir compléter, en tant que de besoin, les ressources générales et personnelles sélectionnées par le praticien. Par ailleurs la codification issue de la classification ICD10 (CIM10) sera d'un grand intérêt pour le moteur de recherche de l'interface PATIENT qui y puisera les mots clés utiles pour conduire les recherches documentaires à effectuer.
Avec les procédés qui viennent d'être décrits, le patient dispose d'une sorte de « grille de lecture » de son dossier médical, comportant non seulement les éléments objectifs qui le constituent ( examens, radios, bilans), mais également de nombreux éléments complémentaires d'un grand intérêt pour lui, notamment ceux directement sélectionnées et/ou générés par ses praticiens habituels. C'est ainsi un grand progrès dans la transparence médicale qui est permis pour le patient.
Lorsque le patient a terminé la consultation de son dossier médical - anonyme ou non - le procédé s'achève avec l'étape 610. 3) la consultation par le patient d'un nouveau praticien n°2, régulièrement enregistré auprès du service administrateur 200 .
Ce cas correspond à la situation envisagée dans le brevet précité, à la différence que le nouveau praticien n°2 que vient consulter le patient dispose de ses propres éléments d'identification/cryptage/décryptage régulièrement acquis auprès du serveur administrateur et qu'il n'a donc pas bénéficié d'un accès dérivé de la création d'une clé USB secondaire comme cela a été décrit dans la demande de brevet n° 08368018.1 précitée. Dans la situation qui est à présent envisagée, le praticien n°2 est simplement "enregistré" auprès du serveur administrateur 200, sans lien a priori avec d'autres thérapeutes qu'aurait pu préalablement consulté le patient. A titre d'illustration, on pourra considérer, par exemple, que le patient a consulté pendant des années un praticien du groupe de N professionnels (illustré dans la figure 1), et se présente ensuite devant un praticien n°2 disposant du système illustré dans la figure 2, et notamment de sa propre clé USB 20 comportant le code exécutable de son propre agent DNM, ainsi que la table PLT 21 et ses propres fichiers de cryptage/décryptage 22.
Le procédé démarre par une étape 701.
Le test d'identification (login) du praticien n°2 intervient ensuite durant une étape 702 qui, en cas d'échec, s'achève avec l'étape 710. Au contraire, si le test d'identification (login) aboutit, le procédé se poursuite avec une étape 703 au cours de laquelle l'agent DNM de la carte USB 20 du praticien n°2 accède au support de stockage présenté par son patient et notamment à sa carte PATIENT, et reçoit communication de l'identifiant IDA par décryptage du fichier identifiant .
Puis, dans une étape 704 qui pourra être optionnelle, l'agent DNM transmet de la carte 20 du praticien n°2 transmet une requête au serveur DMA 300 en utilisant sa propre signature (clé privé) pour l'informer de son intervention dans le dossier du patient. Accessoirement une requête analogue peut être transmise également au serveur administrateur 200.
Le DMA 300 procède alors à la mise à jour de la liste des dossiers affectés au praticien n°2, liste qui est utilisée lors de l'étape 503 de la figure 5.
Puis, dans une étape 705, l'agent DNM procède au téléchargement du dossier DMA du patient, chiffrée par la clé publique du praticien n°2.
Dans une étape 706, l'agent DNM met à jour la PLT située dans le système 1-1, ce qui pourra se faire soit par saisie directe des informations nominatives du patient, soit par extraction de ces mêmes informations de la carte PATIENT ou du support de stockage présentée par le patient. Deux modes de réalisation pourront être envisager... Suivant un premier mode, le praticien intervient ponctuellement sur le DMA et, dans ce cas, il n'est pas nécessaire de mettre à jour la PLT. Suivant un second mode, la PLT est mise à jour avec l'accord du patient suivant une procédure sécurisée, par exemple validée par mot de passe.
Dans une étape 707. la consultation usuelle peut alors se dérouler et l'agent DNM met à jour le dossier médical anonyme pour être à nouveau stocké sur le serveur anonyme 300.
Le patient pourra, ultérieurement, accéder à nouveau à son dossier grâce à l'identifiant de connexion et aux clés de chiffrement/déchiffrement qu'il s'est vu délivrer lors de sa visite chez le premier praticien, et qu'il n'est pas nécessaire de modifier. Mais l'invention apporte davantage de flexibilité, puisqu'il est possible au patient de consulter d'autres thérapeutes quand bien même, comme on va le voir à présent, ces autres thérapeutes n'étaient pas régulièrement enregistrés auprès du serveur administrateur 200.
L'on va considérer plus spécifiquement, dans les deux paragraphes qui suivent: - la consultation d'un praticien n°3 exerçant dans un environnement sécurisé
- la consultation d'un praticien n°4 exerçant dans un environnement exposé
4) la consultation d'un nouveau praticien n°3 en environnement sécurisé
Comme on la vu, le DMA conçu suivant la présente invention présente une portabilité remarquable puisqu'il est ainsi permit, au patient, de venir enrichir son dossier au fil de ses déplacements.
Pour autant, suivant un aspect de l'invention, le DMA est particulièrement sécurisé en autorisant ses accès et son éventuelle mise à jour que suivant des conditions particulièrement sévères, qui seront toutefois allégées lorsque le patient se déplace dans un environnement relativement sécurisé.
Le critère correspondant à cette catégorie d'environnement dépendra de l'application donnée et du niveau protection choisi.
Dans un exemple particulier, on pourra considérer que tant que le patient se déplace sur son territoire d'origine, par exemple le territoire français ayant mis en place une Carte de Santé Professionnelle (CSP), les risques de fraudes seront moindres car le serveur administrateur 200 pourra effectuer des recherches pertinentes pour confirmer la qualité véritable des praticien sollicitant un accès au DMA.
L'on décrit à présent, en relation avec la figure 9, le procédé qui est exécuté lorsque le patient se rend auprès d'un praticien n°3 appartenant à un tel environnement présumé sécurisé.
Le procédé démarre par une étape 901
Puis, dans une étape 902, le patient introduit sa carte PATIENT (ou clé USB remise par l'administrateur/praticien n°l) dans le lecteur de carte 30 du système 1000 de la figure 2 (par exemple), laquelle est alors détectée par le système 1000. En effet, comme cela a déjà été évoqué, cette carte PATIENT comporte le programme d'un agent exécutable pour mettre en œuvre les procédures décrites ci-après, mais surtout l'identifiant du patient (IDA) - éventuellement crypté - ainsi que la clé privée du patient qui va pouvoir être utilisée pour le décryptage des différents éléments composant le Dossier Médical Personnalisés, qui seront transmis par les différents serveurs. Puis dans une étape 903, le procédé comporte la lecture de l'identifiant du patient et, le cas échéant, à son décryptage au moyen de la clé privée associée à ce patient. Cet identifiant correspond à l'identifiant IDA non nominatif, utilisé dans la base de données de l'administrateur. Puis, dans une étape 904, le procédé procède au lancement d'une connexion sur le serveur de l'administrateur 200.
Puis, dans une étape 905, le procédé procède à un test pour connaître si l'identifiant IDA est reconnu comme étant présent dans la base. En cas d'échec, le procédé va à l'étape 913.
Si l'identifiant IDA est reconnu comme étant valide, le procédé poursuit avec une étape 906 qui est le lancement d'une seconde tâche destinée à vérifier l'identification du thérapeutique. Durant cette tâche, il s'agit de vérifier que le praticien n°3 dispose bien d'une carte professionnelle de santé (CPS).
A cet égard, le procédé poursuit avec une étape 907 au cours de laquelle un test est effectué pour déterminer la présence d'une carte professionnelle de santé. A cet égard, le procédé pourra utiliser les éléments de normalisation réglementaire en usage dans un pays déterminé, permettant d'une part, de valider la présence d'une carte CPS et, d'autre part, de venir extraire les éléments d'identification relatifs au praticien n°3, qui est titulaire de la carte.
Si une carte CPS est présente, le procédé va à une étape 908 et, dans le cas contraire, il poursuit avec une étape 913.
En considérant la branche de droite, lorsque le procédé détecte la présence d'une carte CPS, il procède à la lecture de l'identifiant national du praticien n°3 sur la CPS au cours d'une étape 908.
Puis, dans une étape 909, le procédé transmet au serveur administrateur 200 une requête d'inscription provisoire. A cet égard, suivant un mode de réalisation, le procédé transmet des éléments d'identification (adresse courriel, numéro de téléphone etc..) dans le but de recevoir une confirmation de l'inscription.
Puis dans une étape 910 (Optionnelle), l'agent reçoit - éventuellement grâce aux informations transmises en 309 - un identificateur et un mot de passe, laquelle peut être immédiatement utilisée pour un accès au dossier médical anonyme, suivant une interface PRATICIEN ou, suivant un mode de réalisation particulier, une interface à droits réduits dite WEB-PATIENT au cours d'une étape 911.
Dans le cas où le test de l'étape 907 échoue, le procédé poursuit avec une étape 913 au cours de laquelle le procédé invite le praticien n°3 à saisir le numéro d'identification national de praticien.
Dans une étape 914, le numéro est réceptionné par le serveur administrateur qui peut alors mettre en oeuvre une procédure de vérification du numéro d'identification et/ou d'immatriculation. A cet égard, le procédé procédera à une vérification automatique au sein de bases de données, et notamment en vue de la génération d'un indicateur de vraisemblance de l'authenticité du praticien n°3 sollicitant l'inscription provisoire.
L'étape 915 correspond à un test de cet indicateur de vraisemblance pour déterminer s'il est opportun d'attribuer une inscription provisoire.
Si le test de l'étape 915 échoue, alors le procédé poursuite avec l'étape 913 et s'arrête.
Au contraire, si le test aboutit, alors le procédé poursuit avec une étape 911 qui est l'affichage du dossier médical anonyme suivant l'interface minimale dite URGENCE. Cette interface dite URGENCE permet ainsi au praticien d'accéder à une partie critique du DMA à partir de la seule carte PATIENT, quand bien même le patient est inconscient.
C'est notamment cette interface dite URGENCE qui permet au praticien de donner les premiers secours au patient lorsque celui-ci git sans connaissance à la suite d'un accident automobile par exemple.
Durant une étape 912, le procédé entre une phase de mise à jour effective du dossier médical au fur et à mesure que se déroule la consultation avec le praticien n°3.
Puis le procédé s'achève avec l'étape 913.
L'on décrit à présent en relation avec la figure 10 la procédure mise en oeuvre lorsque le patient rend une nouvelle visite au praticien n°3.
Les étapes 1001-1006 correspondent respectivement aux étapes 901-905 décrites précédemment, à savoir la carte PATIENT est successivement insérée dans le lecteur 30 du système du praticien n°3, puis détectée (étape 1002), ce qui entraîne la lecture et le décryptage de l'identifiant IDA (étape 1003). La connexion au serveur administrateur 200 (étape 1004) conduit alors au test de validité de l'identifiant IDA durant l'étape 1005. Si le test de l'étape 1005 est positif, alors le procédé va vers une étape 1006. au cours de laquelle le praticien n°3 est invité à saisir son identifiant et son mot de passe (qu'il a reçu lors de l'étape 910 de la figure 9).
Puis, dans une étape 1007, le procédé teste le mot de passe et, en cas d'échec, le procédé s'achève avec l'étape 1010.
En cas de succès, au contraire, le procédé procède, au cours d'une étape 1008 à la lecture des droits d'ouverture attribué au praticien donné. Il est à noter que lors des étapes 908-911 de la figure 9, le praticien s'était vu attribuer des droits minimum associés à l'interface PRATICIEN. Au contraire, lors de l'étape 1008, le procédé procède à la lecture des droits attribués au praticien n°3 (et qui pourront avoir été étendue par le patient lors d'une consultation à son domicile par exemple) pour définir une interface PRATICIEN dotée de droits éventuellement plus étendus, et pouvant aller au-delà de l'interface dite URGENCE. Ces droits plus étendus se justifie par le fait que le patient, de manière tout à fait consciente, a validé le principe de la consultation lors de la première visite et considère à présent son praticien n°3 comme faisant partie de la liste de "ses" thérapeutes.
En fonction des droits ouverts attribués au praticien, le serveur DMA 300 et/ou le serveur administrateur 200 procèdent, conjointement avec l'agent exécutable présent sur la carte PATIENT, à la construction de l'interface d'accès spécifique correspondant aux droits concédés au praticien.
Comme on le voit, l'étape 1009 permet d'assurer la construction d'une interface parfaitement cohérente en fonction de la qualité du praticien n°3 consulté par le patient.
Comme on le voit, cette gestion des droits qui est permise par le procédé décrit permet de discriminer les situations d'urgence (dans lesquelles il convient d'apporter une réponse immédiate aux préoccupation d'un médecin ayant à délivrer les premiers soins de secours) et les situations de consultation plus conventionnelle susceptibles d'intervenir au fil de l'existence du patient. En particulier, même si le procédé de la figure 9 ne requiert pas un mot de passe de la part du patient, l'on dispose néanmoins d'une protection tout à fait efficace des données non nominatives comprises dans le DMA puisque seule une petite partie des informations extraites de ce dossier - correspondant à l'interface URGENCE - sera accessible et uniquement aux praticiens ayant fait l'objet des tests de vérifications des étapes 909 et 914.
C'est donc un grand avantage de ce mode de réalisation de l'invention.
Puis, dans une étape 1009, le dossier DMA est mis à jour en fonction du déroulement de la consultation, des observations faites par le praticien n°3 et du diagnostique que ces observations l'amènent à formuler. II est à noter que cette mise à jour du dossier est basée sur la transmission d'informations d'ordre médicales concernant le patient, en relation avec l'identifiant anonyme IDA, proprement crypté au moyen de la clé privée du patient. En aucune façon il n'y a échange, au cours des étapes 1008 et 1009 d'informations nominatives. La construction du dossier médical au sein du serveur DMA s'effectue sans nécessiter l'échange d'informations nominatives.
Le procédé s'achève ensuite avec une étape 1010.
Comme on le constate dans ce mode de réalisation, le procédé apporte une grande souplesse puisque, même si les droits d'un praticien sont susceptibles d'évoluer dans le temps, le dossier médical anonyme DMA se verra continuellement enrichi par l'apport des consultations successives.
C'est là un grand avantage et intérêt de la présente invention.
5. la consultation d'un nouveau praticien n°4 en environnement exposé
L'on décrit à présent, en relation avec les figures l ia, 11b et 12 la procédure d'inscription provisoire d'un praticien n°4 supposé situé sur un territoire ou un pays n'ayant pas généralisé le recours à la carte professionnelle de santé ou, plus simplement, dans certains pour lesquels il reste souhaitable de limiter l'accès aux informations continues dans les serveurs 300 etc..
Dans un tel contexte, présumé correspondre à un environnement dit exposé, le procédé apporte une sécurité supplémentaire. Dans cette hypothèse, le patient, qui est régulièrement enregistré auprès du service administrateur 200, vient consulter à l'étranger, à un praticien et lui présente sa carte de patient ou la clé USB correspondante.
Dès l'introduction de la carte du patient, un logiciel exécutable présent sur cette dernière se lance au cours d'une étape 1101.
Puis, dans une étape 1103, le logiciel procède à la lecture de l'identifiant anonyme crypté (IDA), de la clé de décryptage, et procède au décryptage de cet identifiant IDA au moyen de la clé. Puis, au cours d'une étape 1104, le procédé lance une connexion au serveur 200 (ou 300 selon le cas) et vérifie l'inscription de l'identifiant IDA du patient.
L'étape 1105 correspond au test de cet identifiant IDA et, en cas d'échec, le procédé s'achève avec l'étape 1111.
En cas de succès, au contraire, le procédé procède, au cours d'une étape 1106, au lancement d'un applicatif de contrôle. A cet égard, au cours d'une étape 1107, le procédé transmet au serveur 200 une requête d'inscription provisoire, au besoin en précisant des coordonnées de courriel et/ou téléphonique pour la réception de messages de confirmation et/ou de SMS de contrôle . Dans un mode de réalisation donné, on pourra envisager que la demande d'inscription de l'étape 1107 implique la réception d'un SMS de contrôle, comportant un mot de passe de contrôle, sur un téléphone mobile préalablement enregistré auprès du serveur administrateur 200.
De cette manière, l'on vient réduire considérablement les risques d'accès frauduleux au dossier médical, même si celui-ci est, comme on l'a vu, dénué de toute information nominative.
Au cours d'une étape 1108, le procédé teste l'identifiant et le mot de passe saisie par le praticien (et qu'il aura reçu optionnellement lors de l'étape 1107) et, en cas d'échec, le procédé s'achève avec l'étape 1111.
En cas de succès, le procédé se poursuit avec une étape 1109 au cours de laquelle les serveurs 200-300 transmettent les éléments constitutifs du dossier médical du patient, avec l'interface URGENCE (SAFETY PATIENT). De cette manière, l'on permet l'accès - très sécurisé puisque limité à l'interface URGENCE ne comportant que des éléments de premier secours liés au patient - au dossier médical du patient tout en interdisant un accès complet , lequel serait dangereux sur le plan de la confidentialité. Puis, dans une étape 1110, le procédé procède à la mise à jour du dossier médical en même temps que se déroule la consultation. A cet égard, il convient d'observer que, contrairement à la mise à jour qui est opérée lors de la consultation d'un praticien disposant d'une CPS, la mise à jour réalisée dans des conditions moins sécurisées est simplement stockée sur la mémoire de stockage de la carte du patient ou de la clé USB présentée par le patient.
L'on permet ainsi, de manière particulièrement avantageuse, de venir enrichir le dossier médical des observations, des éléments de diagnostique collectés lors de la consultation non sécurisée, dans le but de les intégrer plus tard lorsque le patient rentrera en France, notamment lorsqu'il viendra à nouveau consulter ses praticiens habituels. Le procédé s'achève ensuite par l'étape 1 111.
La figure 11b illustre un mode de réalisation particulier où le patient peut, lors d'une phase de synchronisation qui pourra être mise en oeuvre à son domicile ou au cabinet professionnel de son médecin réfèrent, .
Les étapes 1121 à 1125 correspondent aux étapes 1101-1105 de la figure l ia.
Dans une étape 1126, le procédé procède à un test de localisation permettant de vérifier que la synchronisation peut être effectué dans un contexte sécurisé.
Dans un premier mode de réalisation, le procédé teste l'adresse IP locale (Internet Protocol) utilisée pour l'accès au réseau Internet et notamment aux serveurs 200-300. Cette adresse IP peut servir d'indicateur permettant de déterminer, par exemple, si le patient est rentré dans son Pays, dans un environnement plus sécurisé. Alternativement, l'on pourra envisager d'autres tests, notamment liés à la détection d'informations fournies par un capteur GPS (Global Positionning System).
L'étape 1127 illustre le test de l'adresse IP permet de tester l'adresse IP, pour déterminer la localisation du patient et si le test révèle que le patient consulte le dossier à partir d'un territoire exposé, alors le procédé va à l'étape 1 130. Si le test de l'étape 1127 aboutit, alors le procédé poursuit avec une étape 1128 au cours de laquelle est mise en oeuvre la synchronisation des données stockées localement sur la carte PATIENT (ou le cas échéant sur la clé USB) et les données du DMA stockées sur les serveurs 300-500.
Puis, dans une étape 1128. le procédé procède à la synchronisation des informations présentes sur la carte du patient, avec les informations présentes sur le serveur 300. A cet égard, le procédé lance une connexion au serveur 300 et présente une requête de synchronisation, proprement codifiée, avec les informations collectées lors de la consultation qui s'est déroulée hors environnement sécurisé.
Puis, dans une étape 1129, le procédé poursuit avec - optionnellement - avec la mise à jour de l'interface URGENCE, stockée localement sur la carte PATIENT, afin d'intégrer éventuellement de nouvelles données d'observations, de diagnostique critiques qui pourraient s'avérer critiques lors d'un prochain déplacement à l'étranger du patient.
Comme on le voit, avec les procédures qui viennent d'être décrite, les informations sensibles que comportent le DMA restent particulièrement protégées puisque aucune mise à jour des données médicales anonymes ne pourra être permise tant que le patient ne réintègre pas un territoire présumé sécurisé.
Avantages de la solution proposée.
Comme on l'a vu, l'invention offre aux thérapeutes un maximum de confort d'utilisation, afin de leur faire gagner temps et efficacité dans leur pratique médicale. La solution présentée est simple à mettre en œuvre, pratique, complète et modulaire pour répondre à la diversité des modes d'utilisation (plein temps ou temps partiels, cabinet unique ou groupements professionnels) permettant de combiner une utilisation en continue des thérapeutes. Comme on l'a vu dans la figure 1, le serveur d'analyse statistique et collective 600 peut accéder aux serveurs DMA 300, GED 500 et au serveurs de ressources génériques et collectives 700 pour suivre en continue les pathologies, les thérapies préconisées et également l'utilisation effective des ressources génériques et personnelles par la grande diversité des patients. L'on dispose ainsi d'un outil logiciel de grand intérêt qui permet une exploitation statistique illimitée et surtout transparente, c'est -à-dire sans surcharge de travail ni perte de temps pour les praticiens et leurs patients. L'invention contribue ainsi significativement au développement des outils intelligents d'assistance au diagnostic, à la prescription et à la rationalisation du rapport coût/bénéfice de l'offre de soins. Ensuite, le recours aux solutions proposées permet d'intégrer le patient dans le partage d'informations via un accès web totalement sécurisé pour prolonger la consultation, le suivre à distance et lui prodiguer des conseils utiles en terme de santé (soins appropriés, surveillance de critères médicaux pertinents, conseils et nutrition, conseils sport et santé...). Enfin, il convient d'observer que les différents serveurs illustrés dans la figure 1 pourront être judicieusement disposés dans divers endroits en fonction des besoins spécifiques d'une application données. En fonction des coûts, il sera même possible de concentrer les fonctionnalités des différents serveurs au sein d'un groupe réduit de serveurs physiques, au risque toutefois de réduire la sécurité de l'ensemble du système. En particulier, les serveurs 500 et 700 pourront se fondre en un unique serveur 800 de Gestion de Documents et de Ressources.
Enfin, il convient de noter que l'on pourra aisément étendre la solution proposée à d'autres supports que la clé USB pour le stockage des informations d'accès au Dossier Médical, à savoir un téléphone mobile (notamment les smartphones suivant la terminologie anglo-saxonne) , les tablettes tactiles etc.... Clairement, tout support quelconque pouvant stocker les fichiers nécessaires à l'accès aux serveurs décrits précédemment pourront servir pour la consultation du dossier médical et les diverses consultations, en tous lieux, des praticiens.
Avec la mobilité accrue qui caractérise nos sociétés occidentales, il n'est pas rare que les patients et consommateurs de soins médicaux aient à franchir les frontières nationales.
Il est alors tout à fait opportun, dans bien des situations, qu'un même patient se trouve amené à consulter divers praticiens, de manière régulière, appartenant à des groupes professionnels différents et notamment de nationalité différentes.
A cet égard, l'on se retrouve alors dans la situation illustrée par la figure 13 dans laquelle il pourrait être opportun pour un patient, de pouvoir bénéficier d'une occurrence de son dossier médical personnalisé (anonyme ou même nominatif) qui serait stocké dans un serveur national, voire plusieurs serveurs nationaux, auxquels pourraient accéder les professionnels nationaux. En effet, chaque groupes de praticiens peuvent avoir besoin, dans l'intérêt de leurs patients nomades, d'accéder à un dossier médical centralisé, par exemple, comme cela a été décrit précédemment, d'où l'intérêt d'organiser autant de serveurs 300'- A, 300'-B etc.. qu'il y a de pays envisagés.
Or dans la plupart des législations nationales, il existe des restrictions fort sévères prohibant les échanges de données frontaliers, et ce qu'elles soient nominatives ou même anonymes. Dans un tel contexte, à moins de se placer dans une situation irrégulière, il n'est pas possible pour l'administrateur d'un premier serveur d'origine 300 -A (en se référant à la figure 13) de purement et simplement dupliquer dans un second serveur national hôte 300'-B les données médicales qui y seraient hébergées.
Or un patient qui dispose de son médecin réfèrent dans un pays A - et dont les données médicales sont par conséquent hébergées sur le serveur d'origine 300 -A , peut avoir besoin d'aller consulter un praticien B, lequel peut disposer de son propre accès à un serveur de données médical national 300 -B.
Dans le mode de réalisation qui va être décrit, l'on parvient à synchroniser les dossiers médicaux hébergés par les deux serveurs 300'-A et 300'-B sans enfreindre les dispositions réglementaires nationales, dans la mesure où c'est le patient qui est au cœur de la synchronisation et notamment le support externe qui l'accompagne comportant tous les éléments d'identification, de cryptage/décryptage etc.. permettant d'accéder aux serveurs décrits.
Le procédé est illustré plus particulièrement en référence à la figure 14 , décrivant comment, grâce au support externe (carte PATIENT) présenté par le patient, l'on peut venir tirer avantage de deux serveurs nationaux (ou plus), tout en évitant tout transfert de données transfrontaliers entre ces mêmes serveurs. Dans ce mode de réalisation, la carte PATIENT comporte plus spécifiquement un identifiant de carte, et un identifiant du pays d'origine. Le procédé démarre par une étape 1401, au cours de laquelle le système 1300 du praticien est amené à interagir et à communiquer avec le support externe du patient. D'une manière générale, l'on pourra également considérer tout type de communication, et notamment sans fils, entre le système 1300 du praticien et un dispositif électronique portable, de type ordinateur portable, téléphone mobile, smartphone, tablette tactile etc.. servant de support externe . Mais l'on pourra également, dans le mode de réalisation préféré, opter, dans un souci de simplicité, pour une carte PATIENT sous la forme d'un système conforme à la figure 12, se présentant sous la forme d'une simple "clé USB", qui est sans doute le support externe le plus répandu auprès du public.
Dans une étape 1402, la communication est détectée et notamment la connexion de la carte PATIENT comme périphérique USB dans l'exemple considéré dans la figure 12. Il est à noter que, outre les informations d'identification décrites précédemment, la carte PATIENT est amenée à comporter des informations supplémentaires, dont l'URL des serveurs nationaux, un identifiant de la carte (ID Card), ainsi qu'un identifiant du pays d'origine du patient (Uniform Resource Locator dans la littérature anglosaxonne).
Puis, dans une étape 1403, le procédé comporte la lecture de l'identifiant de la carte ainsi que du pays d'origine du patient et procède, dans une étape 1404, à la vérification, auprès du serveur 300'-B du pays visité, si la carte a été préalablement enregistrée, ce qui correspond à la présence ou non d'un dossier médical associé au patient considéré.
L'étape 1405 est un test effectué sur la réponse reçue par le serveur 300'-B, permettant de déterminer si un dossier médical est répertorié au sein de ce dernier et correspond à l'identifiant de la carte (ID-Card)
Dans l'affirmative, le procédé poursuit avec une étape 1406 et, dans le cas contraire, par une étape 1410. Dans l'étape 1406, le procédé télécharge la date de mise à jour du dossier médical au sein du serveur 300-B et transmet ensuite une requête au serveur d'origine 300'- A de manière à déterminer sa propre date de mise à jour. Cette date de mise à jour est téléchargée dans une étape 1407. Puis le procédé procède à une étape 1408 qui est un test permettant de comparer les deux dates de mise à jour des serveurs 300'-A et 300'B.
Si les mises à jour coïncident, ce qui signifie qu'aucune mise à jour est requise sur le serveur 300'-B, le procédé poursuit alors directement avec une étape 1413. Dans le cas contraire, le système 1000 - et plus spécifiquement le support externe du patient lorsqu'il s'agit d'un smartphone - transmet une requête de mise à jour auprès du serveur 300'-B.
Le procédé poursuit ensuite avec une étape 1413.
Lors du test de l'étape 1405, lorsque le serveur 300 -B ne comporte pas de dossier médical attribué à l'identifiant de carte, le procédé poursuit avec une étape 1410 au cours de laquelle une requête est transmise au serveur d'origine 300'- A . Puis, le procédé poursuit avec une étape 1411 au cours de laquelle est effectué un téléchargement du dossier médical crypté au moyen de la clé publique du support externe du patient.
Le dossier médical peut alors être décrypté par les moyens de traitement présent sur ce support externe, et dans l'étape, 1412, un duplicata est crée et stocké au sein du serveur 300'-B.
Puis, dans une étape 1413, la consultation auprès du praticien se déroule de manière tout à fait conventionnelle, et ce même praticien est amené à noter les résultats de l'examen clinique, des observations des analyses biologiques ou des radios de manière à venir enrichir le dossier médical qui pourra alors être mis à jour sur le serveur national 300'-B.
A la fin de la consultation, le procédé prend fin avec l'étape 1415.
Comme on le voit, la consultation qui se déroule au sein du cabinet du praticien appartenant au groupe de professionnels nationaux du pays B est stockée au sein du serveur 300'- B. Cette mise à jour peut être également stockée sur le support externe , dans l'attente du retour du patient dans son pays d'origine dans le but d'une potentielle synchronisation.
Alternativement, l'on pourra clairement envisager un scénario symétrique permettant la synchronisation du serveur 300'-A du pays d'origine lors de la prochaine visite du patient à son praticien référence d'origine.
Les synchronisations menées entre les différents serveurs ne sont par conséquent nullement automatique, réalisées de manière occulte à l'insu du patient. Et c'est, bien au contraire, le patient qui , à chaque fois, est à l'origine de la synchronisation du dossier médical au sein du serveur dans le pays où il séjourne, évitant ainsi de devoir recourir à une transmission transfrontalières de données médicales qui serait parfaitement illicite.
L'on décrira à présent comment les principes exposés précédemment peuvent s'appliquer à la réalisation d'une solution plus générale, celle d'un serveur stockant des données médicales nominatives et qui, toutefois, bénéficieront d'une protection accrue en raison d'une double authentification.
B. L'accès à un serveur stockant un dossier nominatif
L'on décrit à présent le cas d'un serveur 1050 permettant le stockage et l'accès à un dossier médical pouvant comportant des données nominatives.
Par ailleurs, pour montrer les nombreuses possibilités d'application de la méthode proposée, l'on envisage à présent une situation particulière de la consultation à distance. En effet, dans bien des situations il est souhaitable d'accroître d'avantage la souplesse de la consultation auprès des praticiens, et notamment des plus connus qui, malheureusement, ne sont pas toujours disposés à proximité immédiate de leur patient.
La présente invention a pour but de répondre à ce problème, en facilitant largement une consultation de qualité, préservant la confidentialité de la relation entre le praticien et son patient, et permettant l'enrichissement constant du dossier médical de ce dernier.
L'invention réalise ces buts au moyen d'un procédé d'accès et de partage à un dossier médical informatique stocké sur un serveur et accessible depuis un premier système associé à un support externe comportant un premier moyen d'identification d'un patient, ainsi que des moyens de cryptage/décryptage pour la communication avec le serveur.
Le procédé comporte les étapes:
- détection de la présence du support externe du patient au sein dudit premier système;
- transmission d'une requête au serveur pour solliciter la programmation d'une consultation à distance via un second système et mise en oeuvre d'une première authentification du premier système, notamment au moyen des informations d'authentification présente sur le support externe, en vue de l'établissement d'une première session;
- génération et transmission d'une notification électronique au praticien et notamment à un second système comportant des moyens d'identification dudit serveur, des éléments de cryptage/décryptage ainsi qu'un mot de passe en vue de l'établissement d'un second accès au serveur via le second système;
- transmission par le second système d'une requête au serveur en utilisant lesdits moyens d'identification, de cryptage/décryptage et le mot de passe reçus du patient;
- seconde vérification effectuée par le serveur de la présence de moyens d'authentification (exemple carte CPS) associés au second système;
- ouverture d'une seconde session entre le serveur et le second système appartenant au praticien; - génération et partage du dossier médical sur les premier et second systèmes;
- stockage (390) et/ou mise à jour du dossier médical sur le serveur avec les informations saisies sur le second système ;
- fermetures desdites premières et secondes sessions .
Cette procédure permet d'organiser une rencontre entre un praticien et un patient, dans le but de conduire une consultation clinique à distance, éventuellement combinée avec l'examen de résultats d'examen biologiques et/ou d'images radiologiques, tout en permettant un enrichissement du dossier médical au moyen d'informations provenant du patient, et validées par le praticien.
La rencontre est particulièrement sécurisée du fait de la double vérification opérée successivement sur les deux systèmes, permettant ainsi une authentifïcation particulièrement forte.
De préférence, le support externe comporte un code exécutable sur ledit premier système permettant l'exécution d'une visionneuse d'images de radiographies stockées sur un support présent dans le premier système. Le code exécutable permet en particulier la prise du contrôle du premier système par le second système dans le but d'opérer une sélection d'une ou plusieurs images extraites du support radiologique, la conversion de ces images en fichiers numériques qui peuvent ensuite être directement intégrées au sein du dossier médical partagé et simultanément consultés via les deux systèmes.
De préférence, ledit support externe du patient est une carte à puce ou une clé USB comportant un code exécutable s'exécutant dès l'insertion de la carte ou de la clé.
Alternativement, le support externe du patient est un téléphone mobile, une tablette tactile, ou un assistant personnel portable (PDA). De préférence, la visionneuse est une visionneuse de type DICOM par exemple permettant l'extraction et la conversion d'images au format JPG, qui sont intégrées au dossier médical.
L'invention permet également la réalisation d'un procédé d'accès à un dossier médical informatique stocké sur un serveur et accessible depuis un premier système associé à un support externe comportant un premier moyen d'identification d'un patient, ainsi que des moyens de cryptage/décryptage pour la communication avec ledit serveur.
Le procédé comporte les étapes:
- détection de la présence du support externe du patient au sein d'un second système;
- démarrage d'un accès audit serveur (1050) par le dit second système, en utilisant les moyens de connexion et d'authentification présent sur ledit support externe;
- vérification de l'authentification dudit second système par le site serveur (1050);
- accès au dossier médical personnalisé via ledit second système.
En référence à la figure 15, l'on illustre le cas d'un praticien doté d'un système de traitement de données représenté par un ordinateur portable 1020, disposant d'un accès au réseau Internet 100, notamment vers un serveur DM 1050 qui a vocation à recevoir le stockage de dossiers médicaux suivant un format quelconque, nominatif ou non nominatif. Dans le cas particulier de données non nominatives, l'on pourra avantageusement s'inspirer des principes décrits précédemment.
Le système 1020 du praticien est en outre associé à un dispositif d'authentification, de type lecteur de carte 1021, destiné à recevoir une carte d'authentification permettant d'assurer l'authentification des requêtes émisses par le système 1020. L'on pourra par exemple envisager un lecteur destiné à recevoir la Carte de Professionnel de Santé (CPS) qui est en usage en France, ou tout système d'authentification forte basée sur l'usage d'une carte à puce...
Alternativement, l'on pourra envisager pour le praticien un système d'authentification basée sur une clé USB propre au praticien, voire un système autonome, comme un téléphone mobile, ou un smartphone (dans la littérature anglo-saxonne) doté de moyens de moyens d'authentification, telle que signature électronique, clés de cryptage.
Le patient dispose, de son côté, d'un second système de traitement de l'information 1020, représenté par exemple par un ordinateur portable, et doté également d'un accès au réseau Internet 100.
Comme pour le praticien, le patient dispose d'un support externe 90 destiné à sa propre authentification et comportant en outre des éléments de programme exécutable, notamment de cryptage/décryptage pour la mise en oeuvre des procédures décrites ci-après et les échanges sécurisés avec le serveur DM 1050. Dans un mode de réalisation particulier, le support externe se présente sous la forme d'une carte dite PATIENT que l'on peut venir glisser dans un lecteur de carte 101 1 comme cela est représenté dans la figure 15, ou qui est doté d'un connecteur USB correspondant au mode de connexion généralement le plus répandu.
De préférence, le support externe du patient sera conforme à la carte illustrée dans la figure 12, et décrite précédemment, ce qui montre clairement que l'on pourra utiliser la solution préconisée dans diverses situations en fonction des besoins.
Dans un mode de réalisation préféré, la carte PATIENT présente un connecteur USB permettant une connexion directe, sans nécessiter de lecteur, à un port USB du système 1010. Ce système présente l'avantage de correspondre au mode de connexion le plus répandu.
Il est à noter cependant que le support externe pourra prendre une forme distincte de celle d'une carte ou d'une clé USB. On effet, dans d'autres modes de réalisation, l'on pourra prévoir d'introduire les éléments d'authentifï cation du patient, de cryptage/décryptage pour la connexion au serveur DM 1050 dans un système autonome, tel qu'un téléphone sans fil, un smartphone (suivant la terminologie anglo-saxonne), un assistant personnel portable (PDA), une tablette tactile etc.. et communiquant via des moyens de communication propres avec le système 1010, voire disposant de leur propre accès au réseau Internet 100 pour accéder au serveur DM 1050.
L'on a également représenté, sur la figure 15, un serveur administrateur 1060 optionnel chargé de l'administration et de la gestion des dossiers médicaux, notamment des inscriptions et de la facturation. Comme précédemment, l'on supposera en outre que les systèmes 1010 et 1020 sont dotés de moyens de notifications, de type courrier électronique, ainsi que d'un navigateur, comme Internet Explorer de l'éditeur MICROSOFT Corp. par exemple, permettant d'accéder simplement, via le protocole standardisé H.T.T.P. (Hyper Text Transfer Protocol) au serveur DM 1050. De tels moyens sont bien connus d'un homme du métier et ne requièrent pas de développement supplémentaire. L'on pourra également envisager l'utilisation de logiciels et programmes plus spécifiques pour la mise en oeuvres des notifications et des procédures décrites ci-après. Par ailleurs, on pourra également envisager que les notifications transmises via l'un des systèmes 1010, ou 1020, résultent d'une notification transmise via un serveur extérieur. Dans la solution qui est proposée dans la figure 15, et contrairement aux dispositifs décrits dans les brevets précités, il n'est pas nécessaire que les deux parties à la consultation, à savoir le praticien et son patient, soient régulièrement inscrits auprès du serveur administrateur 1060.
En effet, et cela est un avantage de ce mode particulier de réalisation qui est décrit à présent, et qui devrait assurer à brève échéance un déploiement rapide du dispositif, réside dans le fait que le patient, et lui seulement, peut être inscrit auprès du serveur pour permettre la constitution de son dossier médical personnalisé (nominatif ou non) et voir se dossier enrichi à mesure des différentes consultations auprès de praticiens, lesquels n'ont nullement besoin d'être préalablement enregistré.
Clairement, à terme, il n'est absolument pas exclu que les praticiens eux-même expriment le désir de s'enregistrer également auprès du serveur administrateur 1060 de l'opérateur ayant déployé le système.
Un élément important dans la solution qui est proposée, pour le déroulement d'une consultation à distance, consiste en "la rencontre" - à distance - des deux dispositifs d'authentification respectifs du patient et de son praticien, à savoir le support externe 90 (la carte PATIENT) et le support d'authentification du praticien, telle que par exemple la carte professionnelle de santé (CPS), pour permettre le déroulement des procédures décrites ci-après et, par suite, une consultation à distance à grande valeur ajoutée, tout en préservant la confidentialité de l'échange.
Il en résulte une double couche d'authentification accroissant de manière significative la sécurité du système, alors même que le serveur a vocation à contenir des données médicales sensibles, et notamment lorsqu'elles sont nominatives.
Dans la suite, l'on suppose que le patient souhaite programmer une consultation à distance auprès de son praticien et, très simplement, insère sa carte PATIENT au sein du système 1010 (ou alternativement, active une fonction adéquate sur le support externe autonome, tel qu'un smartphone).
Le procédé est décrit en référence à la figure 16.
Dans une étape 310, le système 1010 détecte la présence de la carte PATIENT (ou plus généralement du support externe), et lance un code exécutable qui, en général est stocké sur cette même carte PATIENT 90. Dans un mode de réalisation particulier, la carte PATIENT est une clé USB dont le code exécutable se lance automatiquement dès la détection de la clé, entraînant sans autre formalité le démarrage du programme mettant en oeuvre le procédé décrit ci-après. Puis, dans une étape 320. une requête est transmise par le système 1010 au serveur DM
1050 (et/ou au serveur ADMIN 1060) via le réseau Internet 100 pour solliciter la programmation d'une consultation à distance. A cet effet, les éléments d'identification du patient sont transmis au serveur, convenablement cryptés, par exemple au moyen de la clé publique du serveur DM 1050 stockée sur le support externe 90 et, le cas échéant, proprement authentifié par une signature numérique présente sur le support externe. Cette procédure conduit ainsi à une première vérification liée au système 1010.
Dans un mode de réalisation particulier, le serveur DM1050 répond à cette requête en transmettant une page HTML, proprement formatée comportant, outre des liens d'accès à son dossier, une liste des médecins habituels du patient, incluant leurs coordonnées et notamment leur adresse électronique. Ce mode de réalisation est utile si l'on ne souhaite pas stocker sur le support 90 les références des médecins traitants habituels et permet un accès convivial au patient. Accessoirement, ce mode de réalisation permet également la transmission directe, depuis le serveur 1050 et à destination du système 1020, d'une notification de programmation d'une consultation électronique à distance.
Puis, dans une étape 330. le code exécutable sur le site 1010 procède à la sélection d'un médecin consultant et transmet à destination de son adresse électronique une notification électronique comportant, outre l'avis de requête de la consultation, un mot de passe unique (One Time Password - OTP) préalablement calculé pour permettre à ce médecin d'accéder au dossier médical du patient avec, le cas échéant, des éléments d'identification du serveur DM 1050 ainsi que des clés de cryptage/décryptage permettant un échange sécurisé avec ce dernier. En particulier, les éléments d'identification pourront consister une URL spécifique permettant un accès direct au serveur via un navigateur conventionnel.
Dans un mode de réalisation particulier, le mot de passe à usage unique OTP présente en outre une validité limitée dans le temps.
Clairement, la notification de l'étape 330 peut être transmise par la voie du courrier électronique, éventuellement crypté, suivant les procédures conventionnelles. Il ne s'agit ici que d'un exemple particulier et l'on pourra envisager la notification du mot de passe via tout autre moyen, notamment par voie téléphonique, SMS etc..
La notification transmise par le système 1010 est reçue au sein du système 1020 et le praticien est alors informé de la demande de consultation, qui peut alors l'accepter ou la refuser.
Si le praticien accepte la notification - ce qui peut intervenir plusieurs heures après la demande faite par le patient suivant les usages convenus au sein de la profession et avec le patient - le système 1020 transmet alors dans une étape 340, une requête au serveur DM 1050 en utilisant les éléments d'identification et de cryptage/décryptage reçus du système 1010.
Puis, dans une étape 350, le serveur procède la vérification de la présence des moyens d'authentification du praticien. A cet égard, la présence de la Carte Professionnelle de Santé (CPS) est testée de manière à confirmer au serveur DM 1050 la présence du praticien autorisé. Dans le cas où la carte professionnelle n'est pas présente, alors l'accès au serveur s'achève, dans une étape 360.
Dans le cas où la carte professionnelle est réellement présente, et vient confirmer l'identité du praticien présent en ligne, le serveur DM 1050 initie une seconde session avec le système 1020 dans une étape 370.
Les deux sessions ouvertes respectivement avec le système 1010 et 1020 peuvent ainsi se dérouler simultanément, permettant une consultation à distance, durant une étape 380, entre le praticien et son patient qui ont tous les deux un accès au dossier médical stocké sur le serveur 1050.
A cet égard, l'on peut envisager de nombreuses fonctionnalités diverses pour venir enrichir la consultation et permettre une plus grande convivialité dans les échanges.
En particulier, toutes les procédures décrites précédemment dans la Partie A de cet exposé sont clairement utilisables.
En premier lieu, l'accès partagé au dossier médical nominatif du patient peut être réalisé en même temps que les fonctions multimédias des deux systèmes 1010 et 1020 sont activées, de manière à permettre un échange visuel et audio entre les deux parties. En outre, l'on pourra également envisager que le praticien vienne rajouter, au sein du dossier médical personnalisé, un ensemble de liens (notamment URL - Uniform Resources Locators) vers des ressources générales ou personnalisées permettant d'enrichir le dossier médical du patient et de l'éclairer sur certains aspects de sa ou ses pathologies.
Alternativement, l'on pourra envisager que pour le déroulement de la 2ème session ouverte avec le système 1020 du praticien, le serveur DM utilise une interface spécifique, de type URGENCY, telle que décrite précédemment en relation avec la figure 10, de manière à limiter les droits d'accès au médecin.
Comme on le voit la consultation électronique à distance qui est organisée suivant la présente proposition permet une multitude de possibilités, lesquelles peuvent être opportunément enrichies par les procédés qui ont été décrits précédemment, en relation avec les procédés décrits en relation avec les figures 3-7, 9-1 lb et 13-14.
En particulier, en se référant à la situation des figures l ia et 11b, l'on constate que le support patient peut serveur fort opportunément à un stockage temporaire des données médicales lors d'une visite d'un praticien situé à l'étranger, dans l'attente du retour du patient dans son pays d'origine.
De même, en relation avec la figure 14, le support patient peut servir également à la mise à jour de différents serveurs nationaux localisés dans divers pays entre lesquels existent des restrictions réglementaires quant à l'échange transfrontalier d'informations médicales nominatives.
Par ailleurs, et cela est un avantage important de la présente invention, le patient est à même, durant le cours de cette consultation à distance, de présenter divers documents, résultat d'analyses, questionnaires etc.. sous forme de fichier électronique, notamment de type PDF (suivant le format de l'éditeur de logiciel ADOBE (TM) qui peuvent ainsi faire l'objet d'un examen immédiat par le praticien et peut ainsi apporter une validation de ces documents, d'un interrogatoire etc.. qui pourra être automatiquement inscrite, pour le plus grand intérêt du patient, au sein du dossier médical . Cette validation sera particulièrement utile pour la gestion du dossier médical car elle permet d'assurer que tel ou tel document ont bien été examiné par un oeil professionnel, venant ainsi conforter certaines hypothèses de diagnostique médical. Ainsi, par exemple, il est fréquent qu'un patient est amené à remplir un formulaire et déclare des allergies qui , en fin de compte, ne sont pas opportunes.. La solution qui est proposée, permet de codifier de manière systématique l'examen des documents soumis au(x) praticien(s) , pour le plus grand avantage du patient.
Il est fréquent, en outre, que le patient présente des documents d'imageries médicales, générés notamment lors d'examen radiologiques poussés, tels qu'IRM etc.. A cet égard, le patient peut être amené à présenter un support DVD comportant des milliers d'images issus d'un examen IRM. Dans un mode de réalisation particulier, le support externe 90 du patient comporte un lecteur universel de type DICOM permettant une lecture des fichiers électroniques d'imagerie médicale. Le lecteur universel comporte une fonctionnalité simplifiée, permettant la sélection d'une ou plusieurs images au sein d'un fichier comportant plusieurs centaines d'images, et la conversion de ces images sous la forme de fichiers numériques indépendants, par exemple de type JPG. Il est à noter que le fichier DICOM correspondant à l'imagerie radiologiques n'est qu'un exemple de fichier auquel le second système peut accéder. Dans d'autres modes de réalisations, par exemple la biologie, HPRIM ... Ou d'autres fichiers dans d'autres standards: HL7 ou équivalents pouvant intéressant toutes les spécialités de la médecine.
Dans un mode de réalisation spécifique, le code exécutable présent sur la carte PATIENT comporte une fonctionnalité de prise de contrôle à distance, par l'ordinateur 1020 ayant reçu la notification de l'étape 330 de requête de consultation, pour permettre la mise en oeuvre de la visionneuse de fichiers DICOM et la commande du lecteur de CD/DVD, et permettre ainsi au praticien de sélectionner une ou plusieurs images jugées opportunes et pertinentes, et de les insérer dans le dossier médical du patient.
Une telle opération nécessite des droits particulièrement étendus sur les fonctionnalités du système 1010 et n'est généralement pas accessible pour un logiciel navigateur qui, en principe, doit rester dans le cadre strict de la "sand box" définissant les droits d'accès aux ressources matérielles et logicielles.
Dans ce mode de réalisation particulièrement avantageux, c'est bien le support physique 90 , et notamment la carte PATIENT 90 , qui permet de combiner tous les éléments nécessaires à la mise en place d'une double session simultanée entre, d'une part, le serveur 1050 et, d'autre part, les deux systèmes 1010 et 1020, et qui permet le déroulement de la consultation ainsi que le partage du dossier médical. Ainsi, sans qu'il soit besoin d'organiser une rencontre physique entre le praticien et son conseil, il devient possible, grâce à la solution proposée, de procéder au sein du cabinet du praticien à une sélection d'images extraites du DICOM détenu à son domicile par le patient, lesquelles pourront être validées et intégrées dans le dossier médical, convenablement et automatiquement indexées en fonction de la pathologie considérée (par exemple "pathologie du genou" et plus spécifiquement "fracture du genou"), agrémentée de commentaires, d'observations et d'analyses circonstanciées de la part du praticien. En outre, il ne sera pas nécessaire de stocker sur le serveur DM (1050) des milliers d'images formant l'intégralité du ou des DICOM généré(s) pour le patient, qui ne pourront que mener, outre une occupation prohibitive de mémoire sur le serveur, à une grande confusion au sein du dossier médical nominatif. Dans la solution qui est préconisée, c'est bien une sélection d'images, personnellement choisies et validées par le praticien et accompagnées, le cas échéants, d'observations circonstanciées et pertinentes, qui viendront enrichir le dossier médical. Comme on le voit, on peut ainsi organiser une consultation, à distance, et présenter une grande valeur ajoutée, et ce notamment grâce à la systématisation de l'analyse effectuée lors du déroulement de la double session d'accès simultané.
Suivant un mode de réalisation, dès que l'accès à la visionneuse DICOM s'achève, le programme de contrôle à distance achève son déroulement, ce qui permet au patient de récupérer la main sur son système 1010. Il est à noter que le procédé assure une fonctionnalité des plus utiles, tout en préservant un haut degré de sécurité pour le patient. En premier lieu, le contrôle à distance par le système 1020 ne porte que sur la seule visionneuse DICOM, ce qui interdit clairement toute autre opération, notamment déplacement ou copie de fichiers et, en second lieu, le contrôle à distance s'achève avec la fin de l'utilisation de la visionneuse.
Lorsque la consultation à distance arrive à son terme, le procédé poursuit ensuite avec le stockage des nouvelles informations résultant de la consultation, lors d'une étape 390 et, ensuite le cas échéant, met un terme aux deux sessions initiées avec les deux systèmes, dans une étape 400.
Au delà de la consultation qui s'est déroulée entre les parties, et dont les grandes étapes ont pu ainsi être répertoriées, codifiées et intégrées dans le dossier médical du patient, le patient pourra retrouver, ultérieurement, s'il le souhaite, les éléments de cette consultation en procédant à un accès individuel à son dossier médical, ce qui lui est permis par le support de stockage. Le praticien, en revanche, pourra accéder librement au dossier médical en fonction des droits d'accès qui lui auront été concédés par "son" patient et, le cas échéant, par une demande d'inscription préalablement présentée auprès du serveur administrateur 1060. La solution proposée, outre qu'elle présente l'avantage d'organiser et d'encadrer dans un contexte très sécurisé, une consultation entre un praticien et son patient, permet en outre de codifier et de systématiser les différentes phases de la consultation, notamment l'examen clinique, l'examen de résultats biologiques ou l'examen d'images radiologiques, leur éventuelle validation et de répertorier précisément ces dernières au sein du dossier médecin de manière à en conserver une trace précise et utile au patient.
Il est à noter que, dans un mode de réalisation particulier, le support externe 90 du patient sert également lors d'une consultation conventionnelle, lors d'un déplacement du patient au cabinet du praticien, et ce même dans cette situation d'accès à un serveur stockant des données nominatives. A cet égard, les éléments d'identification, de cryptage/décryptage présents sur la carte du patient permettent notamment l'accès au dossier médical personnalisé, au lieu du cabinet du praticien, depuis le serveur DM 1050 et ce indépendamment de l'appartenance du praticien à un groupe de professionnels dûment enregistré auprès du serveur de données médicales. Dans cette hypothèse, comme dans d'autres, c'est bien le support externe du patient qui sert de passerelle au médecin, quel qu'il soit et quel que soit le lieu de son cabinet, pour accéder au dossier médical.
L'on notera en revanche, que si le patient peut accéder à son dossier médical grâce à son support externe, il s'agit d'un accès "en lecture" uniquement et les mises à jour (et plus généralement les accès en "écrite") sont réalisées sous le contrôle d'un praticien comme ce que l'on a observé avec le procédé de la figure 16: c'est le patient qui apporte le résultat de ses images radiologiques, mais c'est bien le praticien, autorisé par le patient, qui effectue la sélection des images, apportent les commentaires et observations pertinentes, et effectue l'enregistrement des données sur le dossier médical stocké sur le serveur afin que celui-ci soit bien l'image fidèle de l'état des pathologies et des traitements du patient.
Il est noter également, et cela est un autre avantage très intéressant de la solution proposée, que le support externe du patient, notamment sous la forme de la carte PATIENT ou de la. clé USB, peut servir opportunément même en dehors d'un contexte de consultation à distance.
En effet, la support de stockage peut servir fort opportunément même lors d'une consultation tout à fait conventionnelle, y compris au sein du cabinet d'un praticien non enregistré auprès du site administrateur du serveur 1050, afin de concéder au praticien, pour le temps de la consultation, l'accès et les droits associés au dossier médical personnalisé. A cet effet, lors de la consultation, le patient transmet sa carte PATIENT, par exemple la clé USB comportant ses identifiants et les différents moyens d'authentification et cryptage/décryptages, lesquels peuvent être utilisés alors pour consulter le dossier médical comme le ferait le patient à son domicile.
A cet égard, le procédé exécuté sur le système du praticien comporte les étapes suivantes: - détection de la présence du support externe du patient au sein d'un second système;
- démarrage d'un accès audit serveur par le dit second système, en utilisant les moyens de connexion et d'authentification présent sur ledit support externe;
- vérification de l'authentification dudit second système par le site serveur (1050);
- accès au dossier médical personnalisé via ledit second système.
Et l'on notera qu'il est même possible, à ce moment, que le praticien initie une double consultation à distance avec un second praticien - par exemple un spécialiste - lequel pourrait à ce moment venir partager le dossier médical téléchargé depuis le serveur 1050 de manière à assurer une consultation du plus grand intérêt pour le patient.
Comme on le voit, la carte patient qui est proposée suivant les différents modes de réalisation, ouvre de multiples nouvelles combinaisons et d'applications différentes.

Claims

REVENDICATIONS
1. Procédé d'accès et partage d'un dossier informatique personnalisé géré par un prestataire de service pour le bénéfice d'un client, ledit dossier comportant des données de nature technique, notamment des données médicales, et des données nominatives hautement confidentielles, au sein d'une architecture comportant:
- un premier serveur (DMA - 300) comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec un identifiant anonyme (IDA);
- au moins un second serveur (GED - 500; RG&P 700-800) comportant des pièces jointes contenues dans ledit dossier personnalisé et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA);
- un premier système (1-1, 1-n) permettant l'accès audits premiers et seconds serveurs, ledit premier système comportant dans sa mémoire un agent DMN de génération d'un dossier informatique personnalisé et au moins un fichier de chiffrement/déchiffrement et une table (PLT) de correspondance de liens entre les données nominatives d'un patient et un identifiant anonyme (IDA),
- un second système (1000) permettant l'accès audits premiers et second systèmes; le procédé comportant les étapes suivantes:
- identification (login) (402) sur ledit premier serveur correspondant à l'identifiant dudit prestataire;
- téléchargement (403) d'une liste d'identifiants anonymes IDA associés audit prestataire;
- génération (404) d'une liste de clients à partir de la liste d'identifiant IDA et de ladite table PLT ;
- sélection d'un client particulier (405);
- téléchargement (406) du dossier informatique anonyme depuis ledit premier serveur;
- construction (407) du dossier informatique personnalisé à partir des informations téléchargés depuis lesdits premier et second serveurs et les informations nominatives présentes dans ladite table PLT.
- mise à jour (408) dudit dossier informatique personnalisé;
et caractérisé en ce qu'il comporte les étapes:
- téléchargement (409) depuis lesdits serveurs d'une liste d'identifiants de ressources génériques;
- affichage (410) desdites ressources et composition d'une liste de sélection de ressources génériques; - ajout optionnel (411) de ressources personnalisées générés par le prestataire;
- enregistrement du dossier informatique anonyme comportant la liste de sélection de ressources génériques et personnalisées dans ledit premier serveur (DMA -300);
- création (505) d'un identifiant de connexion à l'attention dudit second système (1000) pour lesdits premier et au moins second serveurs (300, 500, 700-800);
- génération d'au moins une clé de chiffrement attribué audit second système (1000);
- transmission dudit identifiant de connexion, de la ou les clés de chiffrement et de l'identifiant IDA à un serveur administrateur ou directement auxdits premier et au moins second serveur (300, 500, 700-800)
- transmission de l'identifiant de connexion, la ou les clés de chiffrement ainsi que l'identifiant IDA audit second système (1000) de manière à permettre un accès partagé au dossier informatique Anonyme, à l'exclusion de toute information nominative.
2. Procédé selon la revendication 1 caractérisé en ce que lesdits premier et second système (1-1, 1-n, 1000) sont un ordinateur, un ordinateur portable, une tablette communicante, un terminal de poche (smartphone) ou un téléphone.
3. Procédé selon l'une des revendications précédentes, caractérisé en ce que ladite transmission au second système (1000) de l'identifiant de connexion, de la ou des clés de chiffrement ainsi que de l'identifiant IDA sont effectuées via un support de stockage externe, telle qu'une clé USB biométrique, ou via une liaison de communication sans fils entre deux dispositifs communicants ou par courrier électronique.
4. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il comporte, postérieurement à la génération de l'identifiant de connexion et des clés de chiffrement dudit second système la création d'une attestation/certificat (506) permettant de confirmer la création de l'accès audit second système.
5. Procédé selon l'une des revendications précédentes caractérisé en ce que lesdites ressources personnalisées sont réalisées à partir d'un enregistrement audio ou vidéo réalisé à partir dudit premier système (1-1, 1-n) lors de la consultation chez le praticien.
6. Procédé selon l'une des revendications précédentes caractérisé en ce que les échanges entre ledit premier système (1-1) et lesdits premier et au moins second serveurs (300, 500, 700-800) sont chiffrés au moyen de clés de chiffrage publique/privée du premier système.
7. Procédé selon l'une des revendications précédentes caractérisé en ce que les échanges entre ledit second système (1000) et lesdits premier et au moins second serveurs (300, 500, 700-800) sont chiffrés au moyen de clés de chiffrage publique/privée du second système, générées et transmises par ledit premier système (1-1).
8. Procédé selon l'une des revendications précédentes caractérisé en ce qu'un agent spécifique sur ledit second système télécharge le dossier informatique anonyme depuis lesdits premier et au moins second (300, 500, 700-800) serveurs et complète l'information par un accès à un support de stockage local comportant des données anonymes.
9. Procédé selon la revendication 8 caractérisé en ce que l'agent spécifique accède à un lecteur de carte à puce pour récupérer des informations nominatives destinées à générer un dossier informatique nominatif.
10. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il est appliqué à l'accès et au partage d'un dossier médical anonyme stocké sur ledit premier serveur.
11. Procédé selon l'une des revendications précédentes caractérisé en ce que ledit agent DNM accède au support de stockage d'un troisième système comportant l'identifiant de connexion d'un autre client, et présente une requête audit premier serveur (DMA 300) en utilisant ledit identifiant IDA pour faire mettre à jour la liste d'identifiants anonymes IDA associés audit prestataire et procède à la mise à jour de ladite table PLT pour intégrer ledit autre client.
12. Procédé selon la revendication 11 caractérisé en ce que la mise jour de ladite table PLT est effectuée au moyen d'une carte à puce comportant des informations nominatives dudit patient.
13. Procédé selon l'une des revendications précédentes caractérisé en ce qu'il comporte un serveur de collecte et d'information statistiques destiné à suivre les accès audit premier serveur ainsi que les téléchargement desdites ressources génériques et personnelles dans le but de produire une information statistique.
14. Procédé selon l'une des revendications 10 ou 13 caractérisé en ce que ledit agent DNM met en œuvre un assistant pour l'aide au diagnostique basée sur un classement des pathologies basée sur la codification issue de la classification ICD10 (CIM10)
15. Un support informatique comportant un programme d'ordinateur basé sur des instructions de programmes qui, dès lors qu'il est connecté à un ordinateur ou un dispositif de traitement de données et que cet ordinateur ou ce dispositif de traitement de données se trouve chargées avec lesdites instructions de programmes, met en œuvre le procédé tel que défini dans l'une quelconque des revendications 1 à 14.
16. Procédé d'accès et partage d'un dossier médical personnalisé géré par un prestataire de service pour le bénéfice d'un patient, ledit dossier comportant des données médicales et des données nominatives hautement confidentielles, au sein d'une architecture comportant:
- au moins un serveur (200, DMA - 300, GED-500, RG&P 700-800) comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec un identifiant anonyme (IDA) et comportant également des pièces jointes et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA); l'accès audit serveur depuis un système (1000) appartenant à un praticien résultant des étapes suivantes:
- détection (902) d'un support attribué au patient comportant des éléments d'identification
(non nominatif) dudit patient, des moyens de cryptage/décryptage;
- lecture et décryptage de l'identifiant anonyme (903) ;
- lancement d'une connexion audit serveur (904);
- test (95) de l'identifiant (IDA) anonyme de manière à vérifier si celui-ci correspond à un dossier médical anonyme stocké dans ladite base;
- vérification de l'identification du praticien (913, 908)
- affichage d'un dossier médical anonyme sous une première interface à droits limités (URGENCE) de manière à mettre à disposition du praticien des informations médicales critiques concernant le patient même lorsque le patient est inconscient.
17. Procédé selon la revendication 16 caractérisé en ce que ledit support du patient est une carte à puce, une clé USB voir même un terminal mobile tel qu'un téléphone intelligent.
18. Procédé selon la revendication 16 caractérisé en ce que la vérification du praticien comporte un test portant sur la carte professionnelle de santé (CPS) présentée par ce dernier.
19. Procédé selon la revendication 16 caractérisé en ce que ledit serveur provoque l'affichage du dossier médical anonyme en relation avec des interfaces distinctes pour les professionnels médicaux et le patient lui-même, les interfaces comportant des droits d'accès différents.
20. Procédé selon la revendication 19 caractérisé en ce que l'accès au DMA depuis le domicile du patient comporte un test de mot de passe pour s'assurer l'identité du patient et lui permettre, en toute conscience, de modifier les droits d'accès concédé à un praticien ayant accédé à son dossier DMA.
21. Procédé selon la revendication 19 caractérisé en ce que le patient dispose de sa propre interface (PATIENT) comportant un accès à des ressources générales et personnelles spécifiquement crées par les praticiens intervenus sur le dossier, à son attention.
22. Procédé selon la revendication 19 caractérisé en ce que l'interface (PATIENT) du patient comporte un moteur de recherche exploitant les données du Dossier Médical Anonymes stockées sur ledit serveur.
23. Procédé selon l'une des revendications 16 à 22 caractérisé en ce qu'il comporte un test de localisation (1 126) permettant de déterminer si le territoire sur lequel le patient consulte est un territoire exposé ou sécurisé, les données de mise à jour du DMA étant exclusivement stockées sur la carte patient dans le cas d'un territoire exposé.
24. Procédé selon la revendication 23 caractérisé en ce qu'il comporte une phase de synchronisation permettant de mettre à jour les données médicales du DMA dès lors que le patient consulte son dossier depuis une localisation réputée sécurisée.
25. Procédé selon l'une des revendication 23 ou 24 caractérisé en ce que le test de localisation est un test de l'adresse Internet Protocole utilisée pour accéder au dossier ou un test de géolocalisation au moyen d'un récepteur GPS (Global Positionning System).
26. Procédé selon l'une quelconque des revendications 19 à 25, caractérisé en ce qu'il comporte une interface pour les professions médicales, suivant leur spécialité, une interface pour les professions paramédicales.
27. Procédé de mise à jour de données médicales entre un premier serveur d'origine (300'-A) et un second serveur (300 -B) situés dans des pays différents, le procédé comportant les étapes:
- détection (1402) d'une communication entre un système d'un praticien (1300) et un support externe (90) détenu par le patient, ledit support externe comportant un identifiant de support externe (ID card) et un identifiant de pays d'origine ainsi que des moyens d'identification et de cryptage/décryptage attribué au patient;
- lecture de l'identifiant du support externe (1403) ainsi que du pays d'origine du patient;
- vérification (1404, 1405) auprès dudit second serveur (300'-B) si l'identifiant de support externe correspond à un dossier médical associé au patient;
- si un dossier médical est identifié:
- transmettre une transmettre une requête (1406) audit serveur d'origine (300'- A) et télécharger la date de la dernière mise à jour;
- comparer la dernière mise à jour dudit serveur d'origine (300'-A) avec la mise à jour dudit second serveur (300'-B);
- télécharger une mise à jour cryptée (1409) depuis ledit serveur d'origine (300'- A) et mettre à jour ledit second serveur (300 -B);
- si un dossier médical n'est pas identifié:
- transmettre une requête au serveur d'origine (300'-A) pour télécharger une mise à jour cryptée du dossier médical;
- créer une copie du dossier médical au sein dudit second serveur (300'-B);
- l'enregistrement provisoire des nouvelles données médicales saisies par le praticien lors du déroulement de la consultation;
- le stockage de la mise à jour du dossier médical au sein dudit second serveur .
28. Procédé selon la revendication 27 caractérisé en ce que ledit support externe est un téléphone mobile, un ordinateur portable, une tablette tactile ou une clé USB comportant ses propres moyens de traitement.
29. Procédé selon la revendication 27 caractérisé en ce que lesdites données médicales sont des données médicales anonymes.
30. Procédé d'accès et de partage à un dossier médical informatique stocké sur un serveur (1050) et accessible depuis un premier système (1010) associé à un support externe comportant un premier moyen d'identification d'un patient, ainsi que des moyens de cryptage/décryptage pour la communication avec ledit serveur, ledit procédé comportant les étapes:
- détection (310) de la présence du support externe du patient au sein dudit premier système;
- transmission (320) d'une requête audit serveur pour solliciter la programmation d'une consultation à distance via un second système (1020) et mise en oeuvre d'une première authentification dudit premier système (1010);
FEU I LLE DE REM PLACEM ENT (RÈG LE 26) - génération et transmission (330) d'une notification électronique audit second système (1020) comportant des moyens d'identification dudit serveur, des éléments de cryptage/décryptage ainsi qu'un mot de passe en vue d'un établissement d'un second accès audit dossier médical via ledit second système;
- transmission d'une requête (340) audit serveur par le second système en utilisant lesdits moyens d'identification, de cryptage/décryptage et le mot de passe reçus de la part dudit premier système;
- la vérification (350) par ledit serveur (1050) de la présence de moyens d'authentification associés audit second système (1020);
- ouverture d'une seconde session (370) entre ledit serveur et ledit second système;
- génération & partage (380) du DM sur lesdits premier et second systèmes (1010, 1020);
- stockage (390) et/ou mise à jour du DM 1050 avec les informations saisies sur ledit second système (1020);
- fermetures desdites premières et secondes sessions (400).
31. Procédé selon la revendication 30 caractérisé en ce que ledit support externe comporte un code exécutable sur ledit premier système permettant l'exécution d'une visionneuse d'images de radiographies stockées sur un support présent dans le premier système et en ce que le procédé comporte les étapes suivantes:
- la prise du contrôle du premier système (1010) par ledit second système (1020);
- la sélection par ledit second système (1020) d'une ou plusieurs images extraites dudit support;
- la conversion desdites images sélectionnées en fichiers numériques indépendants; et
- l'intégration desdites images sélectionnées au sein dudit dossier médical partagé par lesdits premier et second système.
32. Procédé selon la revendication 30 ou 31 caractérisé en ce que ledit support externe est une carte à puce ou une clé USB comportant un code exécutable s'exécutant dès l'insertion de la carte ou de la clé.
33. Procédé selon la revendication 30 ou 31 caractérisé en ce que ledit support externe est un téléphone mobile, une tablette tactile, ou un assistant personnel portable (PDA).
34. Procédé selon la revendication 33 caractérisé en ce que la visionneuse est une visionneuse de type DICOM par exemple permettant l'extraction et la conversion d'images au format JPG, qui sont intégrées au dossier médical.
FEU I LLE DE REM PLACEM ENT (RÈG LE 26)
35. Procédé selon l'une des revendications 30 à 34 caractérisé en ce qu'il comporte l'étape d'introduction via ledit second système (1020) de liens vers des ressources génériques et/ou personnalisées permettant d'enrichir le dossier médical, pour une consultation ultérieure de ce dossier par le patient.
36. Procédé selon l'une des revendications 30 à 34 caractérisé en ce que l'accès dudit praticien au dossier médical est déterminé par des droits d'accès sous le contrôle du patient.
37. Procédé d'accès à un dossier médical informatique stocké sur un serveur (1050) et accessible depuis un premier système (1010) associé à un support externe comportant un premier moyen d'identification d'un patient, ainsi que des moyens de cryptage/décryptage pour la communication avec ledit serveur, ledit procédé comportant les étapes:
- détection de la présence du support externe du patient au sein d'un second système;
- démarrage d'un accès audit serveur (1050) par le dit second système, en utilisant les moyens de connexion et d'authentification présent sur ledit support externe;
- vérification de l'authentification dudit second système par le site serveur (1050);
- accès au dossier médical personnalisé via ledit second système.
38 Support externe caractérisé en ce qu'il comporte les moyens pour la mise en oeuvre du procédé défini dans l'une quelconque des revendications 1 à 14 et l6 à 37.
39. Serveur de données informatiques adapté pour la mise en oeuvre du procédé revendiqué dans l'une des revendications 1 à 14 et l6 à 37.
FEU I LLE DE REM PLACEM ENT (RÈG LE 26)
EP12778946.9A 2011-09-08 2012-09-10 Procede d'acces et de partage d'un dossier medical Ceased EP2754104A2 (fr)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1102726A FR2980019B1 (fr) 2011-09-08 2011-09-08 Procede d'acces et de partage d'un dossier informatique enrichi par des ressources multimedias personnalisees
FR1200907A FR2980020B1 (fr) 2011-09-08 2012-03-27 Procede d'acces et de partage d'un dossier medical
PCT/EP2012/003790 WO2013034310A2 (fr) 2011-09-08 2012-09-10 Procede d'acces et de partage d'un dossier medical

Publications (1)

Publication Number Publication Date
EP2754104A2 true EP2754104A2 (fr) 2014-07-16

Family

ID=46197361

Family Applications (1)

Application Number Title Priority Date Filing Date
EP12778946.9A Ceased EP2754104A2 (fr) 2011-09-08 2012-09-10 Procede d'acces et de partage d'un dossier medical

Country Status (3)

Country Link
EP (1) EP2754104A2 (fr)
FR (2) FR2980019B1 (fr)
WO (1) WO2013034310A2 (fr)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3004827B1 (fr) * 2013-04-19 2018-10-12 Hopi Procede pour l'utilisation a distance d'un lecteur usb de carte a puce associe a une carte professionnelle de sante ou a une carte patient dite carte vitale et systeme associe.
WO2015191099A1 (fr) * 2014-06-09 2015-12-17 Anthony Wright Notification de l'état d'un patient
MA43057A (fr) 2016-01-07 2018-08-08 Patrick Coudert Carte médicale duale de gestion administrative et de dossier médical et procédés associés
EP3451341A1 (fr) * 2017-08-31 2019-03-06 Siemens Healthcare GmbH Téléchargement d'un dossier de données vers un référentiel cloud
CN108040056B (zh) * 2017-12-15 2020-11-27 福州大学 基于物联网的安全医疗大数据系统
CN113393925B (zh) * 2021-05-11 2022-08-16 福建升腾资讯有限公司 一种医疗卡信息统一化系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010019587A1 (en) * 2000-03-03 2001-09-06 Ddi Corporation Image transmission system, viewing system for received images, and image transmission viewing system with TV conference function
US20040059603A1 (en) * 2002-04-15 2004-03-25 Brown Jacob Theodore System and method for virtual health services
EP2166484A1 (fr) * 2008-09-19 2010-03-24 SCP Asclépios Procédé d'accès à des données nominatives, tel qu'un dossier médical personnalisé, à partir d'un agent local de génération
US20100076789A1 (en) * 2004-03-17 2010-03-25 William Pan Method for remote consultation via mobile communication apparatus and system thereof
US20110106557A1 (en) * 2009-10-30 2011-05-05 iHAS INC Novel one integrated system for real-time virtual face-to-face encounters

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6874085B1 (en) * 2000-05-15 2005-03-29 Imedica Corp. Medical records data security system
US20050071189A1 (en) * 2003-09-25 2005-03-31 Blake Richard A. System, method, and business method for storage, search and retrieval of clinical information
AU2004201058B1 (en) * 2004-03-15 2004-09-09 Lockstep Consulting Pty Ltd Means and method of issuing Anonymous Public Key Certificates for indexing electronic record systems
JP2007531124A (ja) * 2004-03-26 2007-11-01 コンヴァージェンス シーティー 患者医療データ記録のアクセス及び利用を制御するためのシステム及び方法
FR2881248A1 (fr) * 2005-01-26 2006-07-28 France Telecom Systeme et procede d'anonymisation de donnees personnelles sensibles et procede d'obtention de telles donnees
US20090265316A1 (en) * 2008-04-21 2009-10-22 John Poulin System And Method For Facilitating Access To De-Identified Electronic Medical Records Data

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010019587A1 (en) * 2000-03-03 2001-09-06 Ddi Corporation Image transmission system, viewing system for received images, and image transmission viewing system with TV conference function
US20040059603A1 (en) * 2002-04-15 2004-03-25 Brown Jacob Theodore System and method for virtual health services
US20100076789A1 (en) * 2004-03-17 2010-03-25 William Pan Method for remote consultation via mobile communication apparatus and system thereof
EP2166484A1 (fr) * 2008-09-19 2010-03-24 SCP Asclépios Procédé d'accès à des données nominatives, tel qu'un dossier médical personnalisé, à partir d'un agent local de génération
US20110106557A1 (en) * 2009-10-30 2011-05-05 iHAS INC Novel one integrated system for real-time virtual face-to-face encounters

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2013034310A2 *

Also Published As

Publication number Publication date
FR2980020A1 (fr) 2013-03-15
FR2980019A1 (fr) 2013-03-15
FR2980019B1 (fr) 2013-10-18
FR2980020B1 (fr) 2016-01-22
WO2013034310A2 (fr) 2013-03-14
WO2013034310A3 (fr) 2013-08-29

Similar Documents

Publication Publication Date Title
EP2932431B1 (fr) Procede d'acces securise a des donnees medicales confidentielles, et support de stockage pour ledit procede
US7865735B2 (en) Method and apparatus for managing personal medical information in a secure manner
US8909660B2 (en) System and method for secured health record account registration
WO2013034310A2 (fr) Procede d'acces et de partage d'un dossier medical
EP1544768A1 (fr) Syst me de gestion d'information m dicale
FR2902553A1 (fr) Systemes et procedes pour identifier et/ou evaluer des risques potentiels d'intolerance associes a une therapie medicale.
CA2736360A1 (fr) Procede d'acces a des donnees nominatives, tel qu'un dossier medical personnalise, a partir d'un agent local de generation
US8805702B1 (en) Interactive medical card and method of processing medical information stored thereon
US20190304574A1 (en) Systems and methods for managing server-based patient centric medical data
Díaz-Palacios et al. Biometric access control for e-health records in pre-hospital care
WO2015015321A1 (fr) Système d'informations numérique et informatisé pour accéder à un contact et à des données d'antécédents médicaux d'individus dans une situation d'urgence
EP4035095A1 (fr) Utilisation de données de santé d'un utilisateur stockées sur un réseau de soins de santé pour la prévention de maladies
WO2021067141A1 (fr) Système et procédé pour fournir à des tierces parties un accès à des informations de santé d'un utilisateur
JP7062249B1 (ja) 情報処理装置、情報処理方法、およびプログラム
Miller et al. Risk analysis of residual protected health information of android telehealth apps
FR2995431A1 (fr) Procede d'acces et de partage d'un dossier medical
Scelsi Care and Feeding of Privacy Policies and Keeping the Big Data Monster at Bay: Legal Concerns in Healthcare in the Age of the Internet of Things
EP3190530A1 (fr) Carte médicale duale de gestion administrative et de dossier médical et procédés associés
Mitchell et al. Making sense of meaningful use stage 2: second wave or tsunami?
JP7262826B2 (ja) 情報処理装置、情報処理方法、およびプログラム
US20210005299A1 (en) System and method for improving treatment of a chronic disease of a patient
Ravi et al. Foundations, need, state-of-the-art blockchain technologies, its adaptions, and impact on healthcare industries
JP2022142791A (ja) 情報処理装置、情報処理方法、およびプログラム
López-Moreno et al. Ensuring Secure Health Data Exchange across Europe. SHIELD Project.
Poole Enhancing The Privacy Framework: An analysis of Privacy in Canadian and Brazilian health care

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20140329

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
PUAG Search results despatched under rule 164(2) epc together with communication from examining division

Free format text: ORIGINAL CODE: 0009017

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20180918

B565 Issuance of search results under rule 164(2) epc

Effective date: 20180918

RIC1 Information provided on ipc code assigned before grant

Ipc: G06F 21/62 20130101ALI20180913BHEP

Ipc: G06Q 10/10 20120101AFI20180913BHEP

Ipc: G06Q 50/22 20120101ALI20180913BHEP

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20211004