FR2800481A1 - Systemes, procedes et dispositifs pour transferer des donnees medicales entre des appareils distants - Google Patents

Abstract

Pour transférer des données confidentielles (221) relatives à un patient de manière sécurisée entre un programmateur (222) et un système de données éloigné (224), une base de données résidant dans le programmateur (222) contient l'information relative au patient obtenue par un dispositif médical implantable (10). Une source de clés (228) fournit au programmateur (222) une première clé et au centre de données éloigné (224) une deuxième clé à utiliser au cours du processus de chiffrement/ déchiffrement. Un moteur de chiffrement (230) résidant à l'intérieur du programmateur (222) chiffre l'information confidentielle (221) contenue dans la base de données, en utilisant la première clé. Le programmateur transmet l'information chiffrée au centre de données éloigné (224) par l'intermédiaire d'un système de communication de données (226). Un moteur de déchiffrement (234) résidant à l'intérieur du centre de données éloigné (224) déchiffre l'information chiffrée en utilisant la deuxième clé.

Description

La présente invention a de maniere générale trait à des systèmes médicaux. L'invention est, en particulier, relative à un -système de communication bidirectionnel avec un ou plusieurs dispositifs programmables, qui sont associés à des dispositifs médicaux implantables dits "IMD". De maniere générale, l'invention a trait à un système intégré et à son procédé de communication bidirectionnel entre un centre de données expert basé sur la "toile d'araignée" connue sous le nom de Web et au moins un programmateur, utilisant divers types de plates-formes réseaux et d'architectures pour mettre en oeuvre, dans le programmateur, des services de diagnostic, de maintenance, de mise à jour et d'information de gestion, offrant un système économique et très interactif en relation avec des soins thérapeutiques et cliniques. L'invention a, plus particulièrement, trait à des systèmes, des procédés et des dispositifs pour transférer de manière sécurisée une information confidentielle, telle qu'une information relative à un patient, entre un programmateur et un centre de données éloigné, en utilisant une structure et des procédés de chiffrement que l'on met en oeuvre dans des systèmes à la fois matériels et logiciels pour éviter les abus.

Un système de soins médicaux basé la technologie, qui intègre entièrement les aspects techniques et sociaux des soins et de la thérapie aux patients devrait être capable de relier parfaitement le client à des soignants indépendamment de la distance de séparation ou de l'emplacement des participants. Quoique les cliniciens continuent à traiter les patients suivant une pratique médicale moderne usuelle, des développements dans les technologies de communication sont en train de rendre possible l'offre de services médicaux indépendants du temps et de l'emplacement.

Les procédés des services cliniques de l'état de l'art sont de manière générale limités à des opérations au sein des hôpitaux. Par exemple, si un médecin a besoin de réexaminer les paramètres des performances d'un dispositif implantable chez un patient, il est probable que le patient soit obligé d'aller à la clinique. De plus, si les états médicaux d'un patient muni d'un dispositif implantable justifient une surveillance ou un réglage continu du dispositif, le patient devra rester à l'hôpital indéfiniment. Un tel traitement en continu pose à la fois des problèmes économiques et sociaux. Dans le scénario cité en exemple, comme le segment de la population muni de dispositifs médicaux implantés augmente, de plus en plus d'hôpitaux/de cliniques incluant du personnel de service seront nécessaires pour fournir un service au sein de l'hôpital destiné aux patients, ce qui augmente le coût des soins médicaux. De plus, les patients seront trop limités et importunés par la nécessité soit de rester à l'hôpital soit faire des visites très fréquentes dans une clinique.

Une autre disposition de la pratique de l'état de l' requiert qu'un patient se rende à un centre clinique pour la récupération occasionnelle des données à partir du dispositif implanté afin d'évaluer le fonctionnement du dispositif et de recueillir l'historique du patient à des fins à la fois cliniques et recherche. En fonction de la fréquence de collection des données, cette procédure peut poser une difficulté sérieuse et importuner les patients qui vivent zone rurale ou ont une mobilité réduite. De manière similaire, dans le cas où il est nécessaire de mettre a jour le logiciel d'un dispositif médical implantable, le patient devra venir à la clinique ou à l'hôpital pour se voir installer la mise à j De plus, en médecine il y a une norme qui est de garder un enregistrement précis des procédures passées et actuelles relatives à un dispositif médical implantable. De manière générale, un rapport doit être produit chaque fois qu'un composant médical qu'un programmateur et/ou un analyseur est connecté au dispositif médical implantable. Diverses informations doivent être contenues dans ce rapport incluant une identification de tous les composants médicaux utilisés pendant une procédure. En particulier, tous les dispositifs périphériques et principaux qui sont utilisés en liaison descendante vers le dispositif médical implantable doivent être notés dans le rapport. I1 n'y a actuellement pas de système automatisé permettant de fournir un rapport automatisé de tous les composants principaux utilisés au cours d'une procédure impliquant des transmissions avec un dispositif médical implantable. La pratique courante est de faire enregistrer ou entrer physiquement les données relatives aux dispositifs utilisés dans la procédure de liaison descendante par un personnel médical. Une des limitations de cette procédure est le fait qu'elle est sujette à des erreurs et nécessite souvent re- vérification des données pour vérifier la précision. De plus, la pratique courante ne permet pas de sécuriser le transfert des données relatives au patient à travers des systèmes de communication.

La protection de la sécurité et la confidentialité de l'information médicale relative à un patient devient une préoccupation grandissante des organisations de soins médicaux. La croissance exponentielle des environnements basés sur le réseau Internet et sur une informatique répartie est largement responsable de la connexion de plates-formes informatiques éloignées des soignants antérieurement déconnectées. Le coût d'établissement et de maintenance de réseaux de données privés entre des ordinateurs de communication et des centres de données est très élevé. Donc les organisations de soins médicaux ont de plus en plus recours à des réseaux "publics" non sécurisés, tels que les systèmes basés sur le réseau Internet ou sur le téléphone public pour connecter des plates- formes informatiques éloignées. En conséquence, tandis qu'ils transitent, les enregistrements médicaux confidentiels relatifs aux patients sont compromis et les soignants peuvent être confrontés au droit la vie privée et de la violation de confidential '. De manière générale, ces risques ne sont pas rencontrés au sein de plates-formes informatiques qui ne sont pas en réseau. Comme la sophistication des dispositifs médicaux augmente, les soignants doivent faire face à de nouveaux défis pour la protection de l'information confidentielle relative au patient. Certains dispositifs médicaux sont déjà capables d'effectuer des transferts de données indépendants à travers des réseaux de communication vers des centres de données, ou vers d'autres dispositifs médicaux. Un exemple d'un dispositif médical de ce type est un programmateur. Les programmateurs sont utilisés pour initialiser et mettre en service divers dispositifs implantés. Ces dispositifs implantés comprennent, par exemple, des implants neuronaux, des stimulateurs et des dispositifs de cardioversion-défibrillation. Actuellement, les programmateurs classiques utilisés par les médecins sont de manière générale de la taille et de la forme d'un ordinateur de bureau portable. La communication avec un dispositif implanté est accomplie au travers d'une liaison en radiofréquences (dites RF) en utilisant un accessoire connecté au programmateur. Le programmateur inclut de plus un écran pour afficher une information alphanumérique, et pour afficher, en option, une information graphique telle qu'un électrogramme (dit EGM) ou un électrocardiogramme (dit ECG). Le programmateur inclut également une interface avec une imprimante pour imprimer une information, telle que des paramètres de programmation réglés pour un stimulateur particulier, des données centralisées par le stimulateur pendant une période présélectionnee, ou une courbe d'ECG.

Le chiffrement des données est de plus en plus utilisé pour ajouter une sécurité et confidentialité aux transmissions de données, de sons et d!images à travers les réseaux publics. chiffrement implique la traduction des données en code secret. Un procédé courant inclut le brouillage de configurations binaires. Pour lire un fichier chiffré, un utilisateur doit avoir accès à une clé secrète ou à un mot de passe pour déchiffrer les données.

données non chiffrées sont appelées texte en clair alors que les données chiffrées sont appelées texte chiffré. I1 y a deux types principaux de chiffrement (décrits plus en détail ci-dessous) . le chiffrement asymétrique (appelé également chiffrement à cle publique) et le chiffrement symétrique. Les algorithmes de chiffrement étaient disponibles depuis assez longtemps, mais ce n'est que récemment que des processeurs peu coûteux sont devenus assez rapides pour effectuer les fonctions de chiffrement et de déchiffrement en un temps raisonnable.

Plusieurs procédés peuvent être utilisés pour chiffrer des flux de données, tous peuvent être facilement mis en oeuvre par un logiciel. Le plus simple de tous est la table de traduction. Chaque élément de données (habituellement un octet) est utilisé comme un décalage à l'intérieur d'une table de traduction, et la valeur traduite résultante provenant de la table est alors écrite dans le flux de sortie. Les programmes de chiffrement et de déchiffrement utilisent chacun une table qui traduit les .donnees chiffrées. Certaines unités de traitement centrales (par exemple, la série connue commercialement sous le nom de 8086 de la firme Intel Corporation) ont instruction connue dans la technique sous le nom de "XLAT" qui effectue la traduction au niveau matériel. Bien que le procédé basé sur la table de traduction soit très simple et rapide, une fois que la table de traduction est connue, le code est "cassé" ou découvert.

Une modification du procédé basé une table de traduction utilise au moins deux tables basées sur la position des octets à l'intérieur du flux de données, ou sur le flux de données lui-même. Le décodage devient plus complexe, puisque le même processus doit être inversé de manière fiable. En utilisant plus d'une table de traduction (à savoir, en particulier quand elles sont mises en oeuvre selon un ordre "pseudo-aléatoire"), la découverte du code de chiffrement devient considérablement plus difficile. Par exemple, un procédé de traduction pourrait utiliser une table de traduction "A" sur tous les octets pairs, et une table de traduction "B" sur tous les octets impairs. Quoiqu'une personne essayant de découvrir le code sait qu'il y a exactement deux tables, même avec des données de source et des données chiffrées utilisables, le processus de déchiffrement est relativement difficile.

Un autre procédé de chiffrement, appelé repositionnement de données, lit un tampon de données provenant de la source d'entrée, réarrange l'ordre des octets, et écrit le résultat sur une sortie "non ordonnée"; le programme de déchiffrement lit ensuite la sortie, et remet les données "non ordonnées" en ordre.

Le procédé de chiffrement le plus couramment employé (et le plus complexe) implique rotation mot/octet et un masquage binaire OU exclusif. Dans ce procédé, si des mots ou des octets d'un flux données subissent une rotation, en utilisant des sens multiples et variables et une durée de rotation en une configuration reproductible, un flux de données est rapidement codé grâce à un procédé qui est presque impossible à découvrir. De plus, si un masque OU exclusif est utilisé en combinaison avec les rotations (à savoir, en "permutant" les bits de positions prédéfinies de 1 à 0, ou de 0 à 1), le processus de découverte du code est rendu encore plus difficile.

Une caractéristique d'un bon système de chiffrement est là possibilité de spécifier une "clé" ou un "mot de passe", et d'avoir le procédé chiffrement qui se modifie lui-même de telle manière que chaque "clé" ou "mot de passe" produit une sortie chiffrée différente, qui nécessite une unique "clé" "mot de passe" pour le déchiffrement. Un chiffrement symétrique est un type de chiffrement caractérisé en ce que la même clé est utilisée pour chiffrer et déchiffrer le message. Celui-ci diffère du chiffrement asymétrique (ou à clé publique), qui utilise une clé pour chiffrer un message et une autre (différente) pour déchiffrer le message.

Dans un système de chiffrement à clé symétrique, au départ deux personnes se mettent d'accord sur une phase de passage, telle qu'un numéro de téléphone ou un numéro de télécopie. A l'extrémité d'envoi, le logiciel de chiffrement change la phase de passage en un nombre binaire, puis utilise ce nombre binaire (à savoir, la clé) pour chiffrer tous les messages sortants. Le module mathématique utilisé pour chiffrer le message est appelé l'algorithme. Tout le système est appelé un chiffre. A l'extrémité de réception, chaque message entrant est déchiffré en utilisant la même clé. Le récepteur se met en phase de passage agréée, le logiciel le convertit en clé binaire et utilise la clé binaire pour déchiffrer le texte chiffré (à savoir, le message entrant). Par la conversion, on obtient le texte en clair (à savoir, le message initial sous forme lisible). Pour résumer, lors d'un chiffrement à clé symétrique, la même clé est utilisée pour chiffrer et déchiffrer. Le chiffrement à clé symétrique garantit que le récepteur et l'émetteur ont une autre façon de communiquer qui est également très sécurisée, de sorte que les clés peuvent être diffusées sans risque.

Au contraire du chiffrement à clé symétrique, le chiffrement à clé publique utilise deux clés différentes -- une clé publique connue de tout le monde et une clé privée -- connue seulement du destinataire du message. Par exemple, quand un expéditeur veut envoyer un message sécurisé au destinataire, l'expéditeur utilise la clé publique du destinataire pour chiffrer le message. Le destinataire utilise alors sa clé privée pour déchiffrer le message. Lors d'un chiffrement à clé publique, les clés publique et privée sont en relation de telle manière que seule clé publique peut être utilisée pour chiffrer des messages et seule la clé privée correspondante peut être utilisée pour déchiffrer les messages. De plus, il est virtuellement impossible de déduire la clé privée ' la clé publique est connue. Une difficulté des systèmes à clé publique est que l'expéditeur a besoin de connaltre la clé publique du destinataire pour chiffrer un message.

Quoique le chiffrement sauvegarde les données transmises entre l'expéditeur et le destinataire, une signature numérique est souvent employée pour valider l'authenticité d'une transmission. L'usage le plus courant d'une signature numérique est de vérifier qu'un utilisateur expédiant un message est celui qui le revendique. En utilisant le chiffrement à clé publique décrit ci-dessus, une signature numérique peut être créée en utilisant une clé privée pour chiffrer une assimilation de message (c'est-à-dire, une représentation de texte sous la forme d'une unique chaîne de chiffres, créée en utilisant une formule appelée fonction 'de hachage unidirectionnelle). Un format possible pour une assimilation de message une fonction de hachage unidirectionnelle de 128 bits similaire à un code de vérification d'erreurs utilise pour détecter des communications défaillantes. En utilisant 128 bits il y a 21Z$ combinaisons possibles rendant l'assimilation de message trop intensive à déchiffrer par informatique.

La signature numérique peut être vérifiée utilisant la clé publique de l'expéditeur pour déchiffrer la signature. Parce qu'elle est chiffrée a l'aide de la clé privée, seul le créateur du message pourrait l'avoir préparée. Et puisqu'elle est déchiffrée à l'aide de la clé publique, n'importe quel utilisateur peut vérifier qu'elle a été envoyée par le créateur. La signature numérique peut être utilisée liaison avec un message en créant d'abord l'assimilation de message grâce à la clé privée l'expéditeur en attachant la signature numérique à la communication, puis en chiffrant à la fois le message et la signature numérique grâce à la clé publique du destinataire. Le destinataire inverse ces phases, déchiffrant d'abord le message grâce à sa clé privée, puis déchiffrant la signature grâce à la clé publique.

Quoiqu'on a constaté une augmentation de l'emploi du chiffrement de données et des signatures numériques dans les transferts de données d'ordinateur à ordinateur et dans les applications de messagerie à travers les réseaux publics, ces mesures de sécurité n'ont pas été utilisées dans des applications basées sur des dispositifs médicaux. Jusqu'à récemment, la technologie pour transférer une information de fonctionnement entre des programmateurs utilisés en liaison avec un dispositif médical implantable et centre de données éloigné se révélait difficilement applicable, sinon impossible. Du fait de la nature très importante de l'information impliquée, la sécurité la fiabilité du transfert sont d'une importance manifeste. Les dispositifs médicaux sont souvent largement dispersés à travers le monde, nécessitant support de communication commun utilisable par tous les utilisateurs des dispositifs médicaux à travers le monde, quel que soit l'endroit où le dispositif médical est localisé. Les moyens de transmission de données doivent également être universellement disponibles, rapides, performants en coût, et faciles à utiliser.

Une limitation supplémentaire de l'état de l'art a trait à la gestion de plusieurs dispositifs implantables chez un seul patient. Les progrès de la thérapie et du traitement modernes des patients permettent d'implanter un certain nombre de dispositifs chez un patient. Par exemple, il peut être implanté, chez un seul patient, des dispositifs implantables tels qu'un défibrillateur ou un stimulateur, un implant neuronal, une pompe pour administrer des médicaments, un dispositif de surveillance physiologique autonome et divers autres dispositifs implantables. Pour gérer avec succès les opérations et évaluer les performances de chaque dispositif chez un patient multi-implanté, il est nécessaire de mettre à jour et de surveiller en continu les dispositifs. De plus, il peut être préférable d'avoir une communication qui fonctionne entre les divers implants afin d'offrir au patient une thérapie clinique coordonnée. Donc, il est nécessaire de surveiller les performances dispositifs implantables sur une base régulière, sinon continue, afin d'assurer un soin optimal au patient. En l'absence d'autres solutions, ceci est une lourde charge pour le patient si un hôpital ou une clinique est le seul centre où pourraient être réalises le suivi, l'évaluation et le réglage fréquents nécessaires des dispositifs médicaux. De plus, même si cela est réalisable, la situation exige l'établissement de multiples zones de service ou centres cliniques afin de fournir des services adéquats au nombre croissant de patients multi-implantés à travers le monde. En conséquence, il est vital d'avoir unité de programmation qui se connecterait à un centre médical expert éloigné pour fournir l'accès à systèmes experts et importer l'expertise vers un environnement local. Cette approche autoriserait l'accès non encombré au dispositif médical implantable ou au patient. De plus, il est impératif, vu le nombre croissant de patients munis de dispositifs médicaux à multi- implantation à travers le monde, fournir des services à distance. Donc, l'utilisation fréquente de programmateurs pour communiquer avec le dispositif médical implantable et fournir divers services à distance, est devenu un aspect important des soins au patient comme cela est indiqué dans descriptions contenues dans les demandes du même déposant intitulées "Apparatus and Method for Remote Troubleshooting, Maintenance and Upgrade of Implantable Device Systems," déposée le 26 Octobre 1999; "Tactile Feedback for Indicating Validity of Communication Link with an Implantable Medical Device," déposée le 29 Octobre 1999; "Apparatus and Method for Automated Invoicing of Medical Device Systems," déposée le 29 Octobre 1999; "Apparatus and Method for Remote Self- Identification of Components in Médical Device Systems," déposée le 29 Octobre 1999; Apparatus and Method to Automate Remote Software Updates of Médical Device Systems," déposée le 29 Octobre 1999.

L'état de l'art fournit divers types d'émission à distance et de' communication avec des dispositifs médicaux implantables. Un exemple de ce type est décrit par Gessman dans le brevet délivré des Etats-Unis d'Amérique n 5 321 618. Dans cette divulgation, un appareil éloigné est fait pour recevoir des instructions de moyens de surveillance centraux et transmettre des données vers des dispositifs de surveillance centraux sur des voies de communication téléphonique. L'appareil éloigné inclut également des moyens pour l'acquisition d'une forme d'onde d'ECG d'un patient et la transmission de cette forme d'onde aux moyens centraux par les voies de communication téléphonique. L'appareil éloigné inclut également un segment, sensible à une instruction reçue des moyens de surveillance centraux, pour permettre l'émission de signaux sonores à partir d'un cardioverteur- défibrillateur. Les signaux sonores sont détectés et envoyés aux moyens de surveillance centraux par l'intermédiaire de la voie de communication téléphonique. L'appareil éloigné inclut également des dispositifs d'alerte, qui sont actives par des instructions reçues des moyens de surveillance centraux par la voie de communication téléphonique.

Une des nombreuses limitations de 'appareil et du procédé décrits dans le brevet Gessman est que le segment, qui peut être construit pour être équivalent à un programmateur, n'est pas réglable ' distance à partir du dispositif de surveillance central. Le segment agit simplement comme un poste de commutation entre l'appareil éloigné et le poste de surveillance central. De plus, il n'y a aucune indication de sécurité pour les données en cours de collecté relatives au patient.

Un exemple supplémentaire de l'état de l'art inclut un système 'de télémédecine par paquets pour une communication d'information entre des postes de surveillance centraux et un poste de surveillance éloigné installé chez le patient décrit dans le brevet Pfeifer, W099/14882 publié le 25 mars 1999.

description a trait à un système de télémédecine par paquets pour communiquer des données vidéo, vocales et médicales entre un poste de surveillance central et patient qui est situé à distance par rapport au poste de surveillance central. Le poste de surveillance patient récupère les données de mesure numériques vidéo, vocales et médicales chez un patient et enferme les données dans des paquets et envoie les paquets un réseau vers le poste de surveillance central. Puisque l'information est enfermée dans des paquets, l'information peut être envoyée sur de nombreux types ou combinaison d'architectures de réseaux, incluant un réseau de télévision par câble, le réseau téléphonique public, le réseau numérique à intégration de service (dit RNIS), le réseau Internet, un réseau local, un réseau local étendu, ou sur un réseau de communication sans fil, ou sur un réseau à mode de transfert asynchrone. Un code de transmission distinct n'est pas requis pour chaque type différent de support de transmission.

Un des avantages de l'invention Pfeifer est qu'elle autorise le formatage de données de diverses formes en un unique paquet sans s'occuper de l'origine ou du support de transmission. En revanche, le système de transfert de données n'a pas de possibilité de supprimer à distance les erreurs des paramètres de performance du dispositif d'interface médical ou du programmateur. De' plus, Pfeifer ne décrit pas un procédé ou une structure grâce auquel les données médicales en cours de transmission sont sécurisées afin de protéger la vie privée et d'éliminer les données privées au personnel non autorisé.

Dans une technique connexe, Thompson décrit un système de suivi de patient dans une demande du même déposant intitulée "World-wide Patient Location and Data Telemetry System For Implantable Médical Devices numéro de demande 09/045272, déposée le 20 Mars 1998. La description fournit des caractéristiques supplémentaires pour le suivi d'un patient dans environnement mondial mobile par le système connu dans la technique sous le nom de GPS. Toutefois, concepts avancés par la présente invention ne font partie du domaine de la divulgation Thompson parce qu'il n'y a aucun enseignement sur un environnement fondé sur le Web dans lequel un programmateur est communication de données sécurisée avec un centre données expert éloigné afin d'échanger des données relatives au patient si cela est nécessaire.

Dans une autre technique connexe, Ferek-Petric décrit un système de communication avec un dispositif médical dans une demande du même déposant, numéro de demande 09/348506. La divulgation a trait à un système qui permet des communications avec un dispositif médical tel qu'un programmateur. En particulier, le système permet des communications pour informer les experts du dispositif sur l'état et les problèmes du programmateur. Les experts fourniront alors des conseils et des supports au personnel de service éloigné ou aux opérateurs placés au niveau du programmateur. Le système peut inclure un dispositif médical fait pour être implanté chez un patient; ordinateur individuel de type serveur communiquant avec le dispositif médical; l'ordinateur individuel de serveur ayant des moyens pour recevoir les données émises sur une voie d'accès dispersée de communication de données, telle que le réseau Internet et ordinateur individuel client ayant des moyens pour recevoir les données émises sur une voie communication dispersée à partir de l'ordinateur individuel de type serveur. Dans certaines configurations, l'ordinateur individuel de type serveur peut avoir des moyens pour émettre des données sur une voie d'accès dispersée de communication de données (réseau Internet) le -long d'une première voie et d'une deuxième voie; et l'ordinateur individuel client peut avoir des moyens pour recevoir les données à travers une voie d'accès dispersée de communication à partir de l'ordinateur individuel de type serveur le long d' première voie et d'une deuxième voie.

Un des enseignements importants de divulgation Ferek-Petric, dans le contexte de la présente invention, inclut la mise en oeuvre de systèmes de communication, associés à des dispositifs médicaux implantables qui sont compatibles avec le réseau Internet. La divulgation fait, en particulier, avancer la technique de communication entre un dispositif médical, tel qu'un programmateur et des experts situés à un emplacement éloigné en utilisant le réseau Internet. Comme indiqué ci-dessus, le système de communication est structuré pour alerter surtout des experts éloignés sur des problèmes existants ou imminents du dispositif de programmation afin qu'une action prudente, telle qu'une maintenance précoce ou d'autres phases de remède puissent être mises en oeuvre de manière opportune. De plus, grâce à la surveillance précoce ou à une connaissance en avance du probleme, l'expert éloigné pourra être bien informé afin d'offrir un télé-avis ou un télé-conseil au personnel de service ou aux opérateurs au niveau du programmateur.

Bien que l'invention Ferek-Petric fasse avancer la technique des systèmes de communication relatifs à l'interaction avec un programmateur par l'intermédiaire d'un support de communication tel que le réseau Internet, le système ne propose ni ne suggère un système de transmission de données sécurisé dans lequel un programmateur local échange des informations relative au patient entre des dispositifs médicaux implantables et un centre de données expert éloigné d'une manière qui protège les données de la vie privée.

En conséquence, il serait avantageux de prévoir un système dans lequel un programmateur pourrait établir une liaison ascendante vers un centre de données expert éloigné afin d'échanger des données pertinentes de manière sécurisée. Un autre avantage souhaitable serait de prévoir un système afin de mettre en oeuvre l'utilisation de systèmes experts éloignés pour gérer un programmateur en temps réel par échange de données ayant trait à la vie privée d'une manière sécurisée. Un avantage souhaitable supplémentaire serait de prévoir un système de communication qui est compatible avec divers supports de communication, afin d'offrir une liaison ascendante rapide 'un programmateur vers des systèmes experts éloignés et des ressources de données spécialisées tout en maintenant la confidentialité des données lors de la transmission. Un autre avantage souhaitable serait<B>de</B> prévoir un système de communication rapide afin de permettre la transmission de sons haute fidélité, d'images et de données afin de faire progresser et de mettre en oeuvre une télégestion de@données efficace et sécurisée d'un système clinique/thérapeutique par l'intermédiaire d'un programmateur ce qui améliorerait les soins cliniques apportés au patient. Comme cela est décrit ici, la présente invention fournit ces avantages souhaitables ainsi que d'autres.

La présente invention a, de maniere générale, trait à un système de communication dans lequel un centre de données expert éloigné basé sur le Web interagit avec un patient ayant un plusieurs dispositifs médicaux implantables par l'intermédiaire d'un dispositif médical externe associé, préférence un programmateur, placé à proximité des dispositifs médicaux implantables. Certains des avantages les plus significatifs de l'invention incluent l'utilisation de supports de communication sécurisés entre le centre de données expert éloigné basé sur le Web et le programmateur pour échanger à distance des informations cliniquement significatives sans compromettre la confidentialité des données médicales lors de la transmission.

Ainsi, l'invention concerne un système de communication bidirectionnel intégré avec un centre de données expert éloigné basé sur la "toile d'araignée" connue sous le nom de Web, caractérisé en ce qu'un programmateur médical destiné à un dispositif médical implantable dit IMD est relié de manière ascendante au centre de données expert basé sur le Web par l'intermédiaire du système , de communication bidirectionnel, le centre de données expert basé sur le Web en configuration avec le programmateur formant un réseau sécurisé d'échange d'information médicale dans lequel les enregistrements relatifs au patient sont transférés, le réseau d'échange d'information médicale comprenant: une base de données résidant à l'intérieur du programmateur pour stocker une information confidentielle; une' source de clés en communication de données avec le programmateur et le centre de données expert basé sur le Web pour transmettre une clé de chiffrement au programmateur et une clé de déchiffrement au centre de données expert; un moteur de chiffrement résidant à l'intérieur du programmateur pour chiffrer l'information confidentielle en utilisant la clé de chiffrement; une interface pour coupler le programmateur au centre de données expert; et un moteur de déchiffrement résidant à l'intérieur du centre de données expert pour déchiffrer l'information confidentielle chiffrée en utilisant la clé de déchiffrement.

Ce système peut présenter une ou plusieurs des caractéristiques suivantes: -le dispositif constituant le programmateur est en communication par télémesure avec le dispositif médical implantable; -l'information confidentielle stockée à l'intérieur de la base de données inclut données obtenues à partir du dispositif médical implantable; -l'information confidentielle stockée à l'intérieur de la base de données inclut une information confidentielle relative au patient -l'interface est une connexion ligne téléphonique; -l'interface est une connexion par réseau intranet; -l'interface est une connexion par le reseau Internet; -l'interface est une connexion satellite; l'interface est une connexion par système mondial de localisation; -l'interface comprend au moins deux liaisons de communication choisies parmi le groupe de liaisons de communication se composant d'une communication par ligne téléphonique, d'une communication par reseau intranet, d'une communication par le réseau Internet, d'une communication satellite, et d'une communication par système mondial de localisation; -la clé de chiffrement et la clé de déchiffrement sont des clés symétriques; la clé de chiffrement et la clé de déchiffrement sont des clés asymétriques; -l'information confidentielle chiffrée inclut une signature numérique; -le centre de données expert éloigné un deuxième dispositif médical.

L'invention concerne également un systeme de communication bidirectionnel intégré avec un centre de données expert éloigné basé sur la "toile d'araignée" connue sous le nom de Web, caractérisé en qu'un programmateur médical destiné à un dispositif médical implantable dit IMD est relié de manière ascendante au centre de données expert basé sur le Web par l'intermédiaire du système de communication bidirectionnel, le centre de données expert basé le Web en configuration avec le programmateur formant un réseau d'échange d'information médicale sécurise dans lequel des enregistrements relatifs au patient sont transférés, le réseau d'échange d'information médicale comprenant un système pour transférer une information d'un programmateur vers un programmateur, le système comprenant une base de données résidant à l'intérieur du centre de données expert éloigné pour stocker une information confidentielle; une source clés en communication de données avec le programmateur et le centre de données expert éloigné pour diffuser une clé de chiffrement au centre de données expert "loigné et une clé de déchiffrement au programmateur; un moteur de chiffrement résidant à l'intérieur du centre de données expert éloigné pour chiffrer l'information confidentielle en utilisant la clé de chiffrement; une interface pour coupler le centre de données expert éloigné au programmateur; et un moteur de déchiffrement résidant à l'intérieur du programmateur pour déchiffrer l'information confidentielle chiffrée en utilisant la clé de déchiffrement.

Ce système peut présenter une ou plusieurs des caractéristiques suivantes: -le programmateur est en communication par télémesure avec un dispositif médical implantable chez un patient; -l'information confidentielle stockée à l'intérieur de la base de données inclut données obtenues à partir du dispositif médical implantable; -l'information confidentielle stockée à l'intérieur de la base de données inclut une information confidentielle relative au patient -l'interface est une connexion ligne téléphonique; -l'interface est une connexion par réseau intranet; -l'interface est une connexion par le réseau Internet; -l'interface est une connexion satellite; -l'interface est une connexion par système mondial de localisation; -l'interface se compose d'au moins deux liaisons de communication choisies parmi le groupe des liaisons de communication se composant d'une communication par ligne téléphonique, d'une communication par réseau intranet, d'une communication par le réseau Internet d'une communication satellite, et d'une communication par système mondial de localisation; -la clé de chiffrement et la clé de déchiffrement sont des clés symétriques; -la clé de chiffrement et la clé de déchiffrement sont des clés asymétriques; -l'information confidentielle chiffrée inclut signature numérique.

L'invention concerne aussi un système pour transférer une information entre un programmateur et un centre de données expert éloigné, caractérisé en ce que ledit système comprend une source de clés en communication de données avec le programmateur et le centre de données expert éloigné pour diffuser un ensemble de clés de chiffrement au programmateur et au centre de données expert éloigné; une interface pour coupler le programmateur au centre de données expert éloigné; un premier moteur de chiffrement résidant dans le programmateur pour chiffrer un premier élément de l'information confidentielle résidant dans le programmateur en utilisant une des clés de chiffrement de l'ensemble généré par la source de clés; un deuxième moteur de chiffrement résidant à l'intérieur du centre de données expert éloigné pour chiffrer un deuxième élément de l'information confidentielle résidant dans le centre de données expert éloigné en utilisant une des clés de chiffrement de l'ensemble généré par la source de clés; un premier moteur de déchiffrement résidant à l'intérieur du programmateur pour déchiffrer le deuxième élément de l'information confidentielle généré par le deuxième moteur de chiffrement; et deuxième moteur de déchiffrement résidant à l'intérieur du centre de données expert éloigné pour déchiffrer premier élément de@l'information confidentielle généré par le premier moteur de chiffrement.

Ce système peut présenter une ou plusieurs des caractéristiques suivantes: -le programmateur est en communication électrique avec un dispositif médical implantable chez un patient; -le premier élément de l'information confidentielle inclut des données obtenues à partir du dispositif médical implantable; -le premier élément de l'information confidentielle inclut une information confidentielle relative au patient; -l'interface est une connexion par ligne téléphonique; -l'interface est une connexion par réseau intranet; -l'interface est une connexion par le réseau Internet; -l'interface est une connexion satellite; -l'interface est une connexion par système mondial de localisation; -l'interface comprend au moins une liaison de communication choisie parmi le groupe des liaisons de communication se composant d'une communication par ligne téléphonique, d'une communication par réseau intranet, d'une communication par le réseau Internet, d'une communication satellite, et d'une communication par système mondial de localisation; -l'ensemble des clés de chiffrement sont des clés symétriques; -l'ensemble des clés de chiffrement sont des clés asymétriques; -le premier élément de l'information confidentielle inclut une signature numérique; -le deuxième élément de l'information confidentielle inclut une signature numérique. L'invention concerne en outre un système pour transférer de manière sécurisée 1 information confidentielle reçue d'au moins un fil positionné à l'intérieur d'une voie d'accès d'un coeur connexe à un dispositif médical implantable à un centre de données expert éloigné, caractérisé en ce que ledit système comprend un programmateur en communication de données avec le dispositif médical implantable pour recevoir et traiter l'information confidentielle du dispositif médical implantable; une source de clés en communication de données. avec le programmateur et le centre de données expert éloigné pour diffuser une clé de chiffrement au programmateur et clé de déchiffrement au centre de données expert éloigné; un moteur de chiffrement résidant à l'intérieur du programmateur pour chiffrer l'information confidentielle en utilisant la clé de chiffrement; une interface pour coupler le programmateur au centre de données expert éloigné ; et un moteur de déchiffrement résidant à l'intérieur du centre de données expert éloigné pour déchiffrer l'information confidentielle chiffrée en utilisant la clé de déchiffrement.

Ce système peut présenter une ou plusieurs des caractéristiques suivantes: -l'interface est une connexion par ligne téléphonique; -l'interface est une connexion par réseau intranet; -l'interface est une connexion par le reseau Internet; -l'interface est une connexion satellite; -l'interface est une connexion par système mondial de localisation; -l'interface se compose d'au moins une liaison de communication choisie parmi le groupe des liaisons de communication se composant d'une communication par ligne téléphonique, d'une communication par reseau intranet, d'une communication par le réseau Internet, d'une communication satellite, et d'une communication par système mondial de localisation; -la clé de chiffrement et la clé de déchiffrement sont des clés symétriques; -la clé de chiffrement et la clé de déchiffrement sont des clés asymétriques; -l'information confidentielle chiffrée inclut une signature numérique.

L'invention concerne aussi un procédé pour transférer de manière sécurisée une information confidentielle d'un programmateur à un centre de données expert éloigné , caractérisé en ce que ledit procédé comprend la génération d'une clé de chiffrement à diffuser au programmateur; la génération d'une clé de déchiffrement à diffuser au centre de données expert éloigné; le chiffrement de l'information confidentielle résidant dans le programmateur avec la clé de chiffrement; le transfert de l'information confidentielle chiffrée du programmateur au centre de données expert éloigné; et le déchiffrement de l'information confidentielle chiffrée résidant dans le centre de données expert éloigné avec la clé de déchiffrement.

Ce procédé peut présenter une ou plusieurs des caractéristiques suivantes: -le programmateur est connecté à un dispositif médical implantable chez un patient; -la phase de chiffrement de l'information confidentielle résidant dans le programmateur comprend de plus la création d'une signature numérique pour l'information confidentielle chiffrée; -la phase de déchiffrement de l'information confidentielle chiffrée résidant dans le centre de données expert éloigné comprend de plus vérification de la signature numérique associée à l'information confidentielle chiffrée.

L'invention concerne également dispositif pour la mise en oeuvre d'un tel procédé caractérisé en ce qu'il consiste en un support lisible centre de données expert éloigné contenant des instructions pour commander un système de centre de données expert éloigné.

L'invention concerne également un procédé pour transférer de manière sécurisée 'information confidentielle d'un centre de données expert éloigné à un programmateur, caractérisé en ce que ledit procédé comprend la génération d'un clé de chiffrement à diffuser au centre de données expert éloigné; la génération d'une clé de déchiffrement à diffuser au programmateur; le chiffrement de 'information confidentielle résidant dans le centre de données expert éloigné avec la clé de chiffrement; le transfert de l'information confidentielle chiffrée centre de données expert éloigné au programmateur; et le déchiffrement de l'information confidentielle chiffrée résidant dans le programmateur avec la cle de déchiffrement.

Ce procédé peut présenter une ou plusieurs des caractéristiques suivantes: -le programmateur est connecté à un dispositif médical implantable chez un patient.

-la phase @ de chiffrement de l'information confidentielle résidant dans le centre de données expert éloigné comprend de plus la création une signature numérique pour l'information confidentielle chiffrée.

-la phase de déchiffrement de l'information confidentielle chiffrée résidant dans le programmateur comprend de plus la vérification de la signature numérique associée à l'information confidentielle chiffrée.

L'invention concerne aussi un dispositif pour la mise en oeuvre d'un tel procédé, caractérisé en que qu'il consiste en un support lisible de centre de données expert éloigné contenant des instructions pour commander un système de centre de données expert éloigné.

L'invention concerne aussi un système pour transférer l'information d'un programmateur à un centre de données expert éloigné, caractérisé en ce que ledit système comprend des moyens pour générer une clé de chiffrement à diffuser au programmateur; des moyens pour générer une clé de déchiffrement à diffuser au centre de données expert éloigné; des moyens pour chiffrer l'information confidentielle résidant dans le programmateur avec la clé de chiffrement; des moyens pour transférer l'information confidentielle chiffrée du programmateur au centre de données expert éloigné; et des moyens pour déchiffrer l'information confidentielle chiffrée résidant dans le centre de données expert éloigné avec la clé de déchiffrement.

Ce système peut présenter une plusieurs des caractéristiques suivantes: -on connecte le programmateur a un dispositif médical implantable chez un patient; -les moyens pour chiffrer l'information confidentielle résidant dans le programmateur comprennent de plus des moyens pour créer une signature numérique pour l'information confidentielle chiffrée; -les moyens pour déchiffrer l'information confidentielle chiffrée résidant dans le centre de données expert éloigné comprennent de plus des moyens pour vérifier la signature numérique associée à l'information confidentielle chiffrée.

L'invention concerne en outre un système pour transférer une information confidentielle d'un centre de données expert éloigné à un programmateur, caractérisé en ce que ledit système comprend des moyens pour générer une clé de déchiffrement à diffuser au centre de données expert éloigné; des moyens pour générer une clé de chiffrement à diffuser au programmateur; des moyens pour chiffrer l'information confidentielle résidant dans le centre de données expert éloigné avec la clé de chiffrement; des moyens pour transférer l'information confidentielle chiffrée du centre de données expert éloigné au programmateur; et des moyens pour déchiffrer l'information confidentielle chiffrée résidant dans le programmateur avec la clé de déchiffrement.

Ce système peut présenter une plusieurs des caractéristiques suivantes: -on connecte le programmateur a un dispositif médical implantable chez un patient; -les moyens pour chiffrer l'information confidentielle résidant dans le centre de données expert éloigné comprennent de plus des moyens pour créer une signature numérique pour l'information confidentielle chiffrée; -les moyens pour déchiffrer l'information confidentielle chiffrée résidant dans le programmateur comprennent de plus des moyens pour vérifier la signature numérique associée l'information confidentielle chiffrée.

Ainsi, dans le contexte la présente invention, un des nombreux aspects de l'invention inclut un accès en temps réel d'un programmateur à un centre de données expert éloigné basé le Web, par l'intermédiaire d'un réseau de communication sécurisé, qui inclut le réseau Internet. La structure opérationnelle de l'invention inclut -le centre de données expert éloigné basé sur le Web dans lequel on maintient un système expert en communication bidirectionnelle de données de sons et d'images en temps réel avec le programmateur par l'intermédiaire d'une large gamme de systèmes de liaison de communication sécurisés. Le programmateur est à son tour en communication par télémesure avec les dispositifs médicaux implantables de telle manière que les dispositifs médicaux implantables peuvent établir une liaison ascendante vers le programmateur ou que le programmateur peut établir une liaison descendante vers les dispositifs médicaux implantables, si cela est nécessaire, en utilisant des systèmes de transmission de données sécurisés.

Dans un autre contexte de l'invention, un programmateur est identifié, surveillé, évalué et mis à jour à distance si cela est nécessaire en important des systèmes experts depuis un centre de données expert éloigné par l'intermédiaire d'un système de communication sans fil ou équivalent sécurisé. Le logiciel opérationnel et fonctionnel des systèmes incorporés dans le programmateur peut être ajusté mis à jour ou modifié à distance quand c'est manifeste. Certaines des modifications du logiciel peuvent être mises en oeuvre de manière ultime dans les dispositifs médicaux implantables si cela est nécessaire en établissant une liaison descendante du programmateur vers les dispositifs médicaux implantables. De plus, les composants spécifiques utilisés dans l'interface programmateur- dispositifs médicaux implantables seront identifiés et accompagnés de documents afin se conformer aux normes médicales.

Un autre contexte de l'invention inclut un système de communication qui offre un procédé une structure sécurisés, fortement intégrés et efficaces de la gestion d'informations cliniques dans lesquels divers réseaux tels qu'un réseau de télévision par câble, un réseau local, un réseau local étendu, un réseau numérique à intégration de service (RNIS , le réseau téléphonique public, le réseau Internet, un réseau sans fil, un réseau à mode de transfert asynchrone, un réseau laser, des réseaux satellite, mobiles et similaires sont mis en oeuvre pour transférer la voix, les données et les images entre le centre de données éloigné et un programmateur. Dans le mode de réalisation préférentiel, les systèmes de communication sans fil, un modem et des systèmes laser sont illustrés uniquement comme des exemples et ne doivent pas être considérés comme limitant l'invention à ces seuls types de communication. De plus, en vue de simplifier, les demandeurs appellent les divers systèmes de communication, dans les parties pertinentes, systèmes de communication. Toutefois, il faut noter que, dans le contexte de cette invention, les systèmes de communication sont interchangeables et peuvent être relatifs à divers systèmes de communication par câble, par fibres optiques, par micro-ondes, par `ondes radio, par ondes laser et analogue ou toute combinaison pratique de ceux-ci.

Une autre caractéristique distinctive de l'invention inclut l'utilisation d'un système de communication très flexible et adaptable pour favoriser des communications sécurisées continues et en temps réel entre un centre de données expert éloigné et un programmateur associé à une pluralité de dispositifs médicaux implantables. Les dispositifs médicaux implantables sont structurés pour partager l'information et peuvent interagir -avec le programmateur, en temps qu'unité. En particulier, les dispositifs médicaux implantables peuvent être interrogés conjointement ou individuellement afin mettre en oeuvre ou d'extraire des informations cliniques si cela est nécessaire. Autrement dit, tous les dispositifs médicaux implantables peuvent être accessibles par l'intermédiaire d'un dispositif médical implantable ou, selon une autre solution, chacun dispositifs médicaux implantables peut être accessible individuellement. L'information collectée de cette manière peut être transférée au programmateur par liaison ascendante des dispositifs médicaux implantables si cela est nécessaire.

De plus, la présente invention offre des avantages significatifs sur l'état de l'art en permettant l'acquisition d'une information d'auto- identification sécurisée et automatisée d'un programmateur à distance. Le système d'auto- identification automatisé est compatible avec un centre de données basé sur le Web de préférence mondial qui est configuré pour interroger et obtenir l'identification des composants. La procédure d'identification des composants a essentiellement trait aux sessions programmateur-dispositifs médicaux implantables. Les composants utilisés dans ces sessions sont identifiés et centralisés pour des exigences de référence et de conformité. De manière générale, le centre de données expert basé sur le Web interrogera programmateur pour identifier les composants utilisés dans les sessions.

L'invention offre une compatibilité et évolutivité significatives par rapport aux autres applications basées sur le Web telles que télémédecine et les technologies basées sur le Web émergeantes telles que la télé-immersion. Par exemple, le système peut être fait pour des applications basées sur le Web dans lesquelles une unité peut être utilisée pour établir une liaison ascendante entre le patient et un centre de données éloigné afin d'échanger des informations non importantes entre les systèmes médicaux implantables et le centre de données expert éloigné. Dans ces applications similaires basées sur le Web et autres, les données collectées, dans l'esprit et le fond de la présente invention peuvent être utilisées comme écran préliminaire afin d'identifier les nécessités d'une intervention ultérieure utilisant technologies de pointe basées sur le Web.

En conséquence, l'invention offre des solutions à certains problèmes existants dans l'état de l' , tels que : (a) une incapacité à transmettre de manière sécurisée des données confidentielles entre un programmateur et un dispositif de réception à travers un réseau public; (b) une incapacité à authentifier et identifier uniquement la source d'une transmission de données à partir d'un dispositif médical; (c) une incapacité à fournir des moyens sécurisés pour transmettre les attributs fonctionnels d'un dispositif médical vers le fabricant du dispositif médical; (d) une incapacité à offrir au fabricant d'un dispositif médical un moyen sécurisé de téléchargement des mises à jour d'un logiciel vers un programmateur; et (e) incapacité à offrir au fabricant d'un dispositif médical des moyens sécurisés pour transmettre données confidentielles relatives au patient d'un ordinateur centralisé vers un programmateur à travers un réseau public.

De plus, le système et le procédé de l'invention offrent certains avantages, incluant : (a) la capacité à fournir un échange de données sécurisé entre un programmateur et un ordinateur à travers un réseau public; (b) la capacité à identifier uniquement la source d'une transmission de données à partir d'un dispositif médical grâce à une signature numérique; la capacité à valider l'authenticité d' communication dirigée vers un programmateur à partir d'un ordinateur; (d) la capacité à échanger directement des données confidentielles relatives au patient entre deux programmateurs à travers un réseau public par l'intermédiaire d'un chiffrement des données; et (e) la capacité à transmettre de manière sécurisée des attributs fonctionnels d'un dispositif médical vers le fabricant du dispositif médical.

Le système et le procédé de l'invention incluent certaines caractéristiques, incluant un moteur de chiffrement de données présent dans un programmateur pour chiffrer des informations confidentielles obtenues par le programmateur. L'invention inclut aussi une caractéristique de transmission des données chiffrées relatives au patient depuis le programmateur vers un ordinateur par l'intermédiaire d'un réseau de communication public. Une autre caractéristique de l'invention est un' moteur de déchiffrement de données présent dans l'ordinateur pour déchiffrer les données chiffrées relatives au patient créées par le programmateur. Une caractéristique supplémentaire de l'invention est une source de clés qui fournit au moteur de chiffrement et au moteur de dechiffrement un ensemble de clés utilisé par le processus de chiffrement/déchiffrement.

D'autres buts, avantages et caractéristiques de l'invention apparaîtront de manière manifeste en se référant aux dessins et la description détaillée qui suit.

La présente invention sera considérée et mieux comprise en faisant référence à description détaillée qui suit du mode de réalisation préférentiel de l'invention considéré en liaison avec les dessins joints, dans lesquels les mêmes numéros de référence désignent des parties identiques sur les figures de ceux-ci, et dans lesquels: La figure 1 est un diagramme schématique simplifié d'une communication par télémesure principale ascendante et descendante entre un poste clinique éloigné, un programmateur et une pluralité de dispositifs médicaux implantables; La figure 2 est un schéma de principe représentant les principaux composants d'un dispositif médical implantable; La figure 3A est un schéma de principe représentant les principaux composants d programmateur ou d'une unité basée sur le Web; La figure 3B est un schéma de principe représentant un émetteur-récepteur laser pour transmission rapide de données vocales, vidéo et autres; La figure 4 est un schéma de principe illustrant la structure d'organisation du système communication sans fil selon la présente invention; La figure 5 est un schéma de principe illustrant un premier mode de réalisation d' mécanisme de transfert de données sécurisé selon présente invention; La figure 6 est un schéma de principe illustrant un deuxième mode de réalisation d' mécanisme de transfert de données sécurisé selon présente invention; La figure 7 est un schéma de principe illustrant un troisième mode de réalisation d' mécanisme de transfert de données sécurisé selon la présente invention; La figure 8 est un organigramme illustrant un procédé pour la transmission sécurisée d'informations confidentielles d'un programmateur vers un ordinateur selon la présente invention; La figure 9 est un organigramme illustrant un procédé pour la transmission sécurisée d'informations confidentielles d'un ordinateur vers un programmateur selon la présente invention; La figure 10 est un schéma de principe d' centre de données éloigné ou d'un système d'ordinateur et d'un support d'ordinateur pouvant être correspondant incorporant un procédé pour la transmission sécurisée d'informations confidentielles relatives au patient, d'un programmateur vers ordinateur, selon la présente invention.

La figure 1 est un schéma simplifié principaux composants de la présente invention. I1 est en particulier, représenté un système de communication sans fil bidirectionnel entre un programmateur 20, unité basée sur le Web 20' et un certain nombre de dispositifs médicaux implantables représentés par un IMD 10, un IMD 10' et un IMD 10". Les dispositifs médicaux implantables sont implantés chez un patient 12 sous la peau ou le muscle. Les dispositifs médicaux implantables sont reliés électriquement à des électrodes 18, 30, et 36 respectivement d'une manière connue dans la technique. Le dispositif médical implantable 10 contient un microprocesseur pour des fonctions de synchronisation, de détection et de stimulation correspondant à des fonctions programmées préétablies. De manière similaire, les dispositifs médicaux implantables 10' et 10" sont gérés par microprocesseur afin de fournir des fonctions de synchronisation et de détection afin d'exécuter les fonctions cliniques pour lesquels ils sont employés. Par exemple, le dispositif médical implantable 10 pourrait offrir une stimulation neuronale au cerveau par l'intermédiaire de l'électrode 30 et le dispositif médical implantable 10" pourrait fonctionner comme système de délivrance de médicaments qui est commandé par l'électrode 36. Les diverses fonctions dispositifs médicaux implantables sont coordonnées en utilisant une télémesure sans fil. Les liaisons sans fil 42, 44 et 46 conjointement et individuellement relient les dispositifs médicaux implantables 10, 10' et 10" de telle manière que le programmateur 20 puisse transmettre des instructions ou des données vers n'importe lequel ou vers tous les dispositifs médicaux implantables par l'intermédiaire d'une des antennes de télémesure 28, 32 et 38. Cette structure offre un système de communication sans fil très flexible et économique entre les dispositifs médicaux implantables. De plus, la structure offre un système de communication redondant, qui permet l'accès à n'importe lequel d'une multiplicité de dispositifs médicaux implantables en cas de dysfonctionnement d'une ou de deux des antennes 28, 32 et 38.

Des instructions de programmation des données sont transmises du programmateur 20 vers les dispositifs médicaux implantables 10, 10' et par l'intermédiaire de l'antenne de télémesure RF externe 24. L'antenne de télémesure 24 peut être une tête RF ou un équivalent. L'antenne 24 peut être placée le programmateur 20 à l'extérieur sur le boîtier. L'antenne de télémesure 24 est de manière générale télescopique et peut être réglable sur le boîtier du programmateur 20. Le programmateur 20 et l'unité 20' basée sur le Web peuvent être tous les deux placés à quelques dizaines de centimètres du patient 12 et seraient encore à l'intérieur d'une zone pour communiquer sans fil avec des antennes de télémesure 28, 32 et 38.

La liaison ascendante vers le centre de données expert éloigné basé sur le Web 62, ci-après appelé de manière interchangeable sans limitation, "centre de données 62", "centre de données expert 62" ou "centre de données basé sur le Web 62", est réalisée à travers le programmateur 20 ou l'unité basée sur le Web 20'. En conséquence le programmateur 20 et l'unité basée sur le Web 20' fonctionnent comme une interface entre les dispositifs médicaux implantables 10, 10' et 10" et le centre de données 62. Un des nombreux éléments de distinction de la présente invention inclut l'utilisation de divers systèmes de communication sans fil évolutifs, fiables et rapides pour transmettre de manière bidirectionnelle des données haute fidélité numériques/analogiques entre le programmateur 20 et le centre de données 62.

Il y a une grande variété de supports sans fil à travers lesquels des communications de données pourraient être établies entre le programmateur 20 ou l'unité basée sur le Web 20' et le centre de données 62. La liaison de communication entre le programmateur 20 ou l'unité basée sur le Web 20' et le centre de données 62 pourrait être un modem 60' qui est d'un côté connecté au programmateur 20 au niveau de la ligne 63 et de l'autre côté au centre de données 62 au niveau de la ligne 64. Dans ce cas, les données sont transférées du centre de données 62 au programmateur 20 par l'intermédiaire du modem 60. D'autres systèmes de transmission de données incluent, sans limitation, des antennes micro-ondes et/ou RF stationnaires 48 connectées sans fil au programmateur 20 par une onde fréquence accordable définie par la ligne 50. L'antenne 48 est en communication avec le centre de données par une liaison sans fil 65. De manière similaire l'unité basée sur le Web 20', un véhicule mobile 52 et un satellite 56 sont en communication avec le centre de données 62 par une liaison sans fil 65. De plus, le système mobile 52 et le satellite 56 sont en communication sans fil avec le programmateur 20 ou l'unité basée sur le Web 20' par l'intermédiaire d'ondes à fréquence accordable 54 et 58, respectivement. Dans le mode de réalisation préféré, un système connu commercialement et dans la technique sous le nom de Telnet est utilisé pour accéder sans fil au centre de données 62. Telnet émule un modèle client/serveur et nécessite que le client utilise un logiciel dédié pour accéder au centre de données 62. Le système Telnet imaginé pour être utilisé avec la présente invention inclut divers systèmes d'exploitation incluant ceux connus commercialement sous le nom de Unix, Macintosh et Windows dans toutes ses versions.

De manière fonctionnelle, un opérateur au niveau du programmateur 20 ou un opérateur au niveau du centre de données 62 lance le contact à distance. Le programmateur 20 est relié de manière descendante aux dispositifs médicaux implantables par l'intermédiaire des antennes de liaison 28, 32 et 38 pour permettre la réception et la transmission des données. Par exemple, un opérateur ou un clinicien peut au niveau du centre données 62 établir la liaison descendante au programmateur 20 pour effectuer un programme ou une évaluation planifiée du programmateur 20. Dans ce cas, la communication sans fil est établie par l'intermédiaire de la liaison sans fil 65. Si une liaison descendante est requise depuis le programmateur 20 vers le dispositif médical implantable 10 par exemple, la liaison descendante est effectuée en utilisant l'antenne- de télémesure 22. Selon l'autre solution, si une liaison ascendante est lancée du patient 12 vers le programmateur 20 la liaison ascendante est exécutée par l'intermédiaire la liaison sans fil 26. Comme cela est décrit ici ci- dessous, chaque antenne des dispositifs médicaux implantables peut être utilisée pour relier de manière ascendante la totalité ou l'un des dispositifs médicaux implantables au programmateur 20. Par exemple, le dispositif médical implantable 10" qui est relatif à un implant neuronal 30 peut être mis en oeuvre pour relier de manière ascendante par l'intermédiaire de l'antenne sans fil 34 ou de l'antenne sans fil 34', un, deux ou plusieurs dispositifs médicaux implantables au programmateur 20. Des puces connues dans la technique sous le nom de "Bluetooth", adoptées pour fonctionner depuis le corps vers l'extérieur du corps et également adoptées pour fournir un drain de courant faible, sont incorporées afin d'offrir des connections sans fil et sans soudure 42, 44 et 46 entre les dispositifs médicaux implantables 10, 10' et 10". Le système de communication est conçu pour être compatible avec une large bande et être capable de supporter simultanément de multiples ensembles d'information et d'architectures, et de transmettre à une vitesse relativement élevée, afin d'offrir des services données, de son et d'images à la demande.

La figure 2 illustre les composants classiques d'un dispositif médical implantable, tels que ceux envisagés par la présente invention. En particulier les structures opérationnelles principales communes a tous les dispositifs médicaux implantables 10, 10' et 10" sont représentées en format générique. Dans un souci de brièveté, le dispositif médical implantable 10 relatif à la figure 2 se réfère à tous les autres dispositifs médicaux implantables. En conséquence le dispositif médical implantable 10 est implanté chez un patient 12 sous la peau ou le muscle du patient et est électriquement relié au coeur 16 du patient 12 par des électrodes de stimulation/détection et un ou des conducteur(s) à fils comportant au moins un fil de stimulation cardiaque 18 d'une manière connue dans la technique. Le dispositif médical implantable 10 contient outre une commande de thérapie et un émetteur-récepteur de télémesure 78, une commande de synchronisation 72 incluant le système de fonctionnement qui peut employer le microprocesseur 74 ou une machine d'état numérique pour les fonctions de synchronisation,<B>de</B> détection et de stimulation suivant un mode de fonctionnement programmé. Le dispositif médical implantable 10 contient également des amplificateurs de détection pour détecter signaux cardiaques, des capteurs d'activité du patient ou d'autres capteurs physiologiques pour détecter le besoin en débit cardiaque, et des circuits de sortie de génération d'impulsions pour délivrer des impulsions de stimulation à au moins une cavité du coeur sous la commande du système d'exploitation d'une manière bien connue dans la technique. Le système d'exploitation inclut des registres mémoire ou RAM/ROM 76 destinés à stocker une variété de modes de fonctionnement programmés et des valeurs de paramètres sont utilisés par le système d'exploitation. Les registres mémoire ou RAM/ROM 76 peuvent être utilisés pour . stocker des données compilées à partir de 'activité cardiaque détectée et/ou ayant trait à l'historique du fonctionnement du dispositif ou à des paramètres physiologiques détectés à des fins de télémesure vers l'extérieur à la réception d'une instruction de récupération ou d'interrogation. Toutes ces fonctions et opérations sont bien connues dans la technique, et plusieurs sont généralement employées pour stocker des instructions et des données d'exploitat afin de commander le fonctionnement du dispositif et à des fins de récupération pour diagnostiquer la fonction du dispositif ou l'état du patient. Les instructions de programmation ou les données sont transmises entre l'antenne de télémesure RF 28 du dispositif médical implantable 10, par exemple, et une antenne de télémesure externe 24 associée au programmateur 20. Dans ce cas il n'est pas nécessaire que l'antenne de télémesure RF externe 24 soit contenue dans une tête RF du programmateur de sorte qu'elle peut être placée près de la peau du patient recouvrant le dispositif médical implantable 10. Au contraire, l'antenne de télémesure RF externe 24 peut être placée sur le boîtier du programmateur 20. Il faut noter que le programmateur 20 peut être placé à une certaine distance du patient 12 et est localement placé à proximité des dispositifs médicaux implantables de sorte que la communication entre les dispositifs médicaux implantables 10, 10' et 10" et le programmateur 20 se fasse par télémesure. Par exemple, le programmateur 20 et l'antenne de télémesure RF 24 peuvent être à une position à quelques mètres ou plus du patient 12. De plus, le patient 12 peut être actif ou pourrait s'entraîner sur un tapis de trottinement ou analogue pendant une interrogation de télémesure par liaison ascendante d'un ECG en temps réel ou d'autres paramètres physiologiques. Le programmateur 20 peut également être conçu pour programmer, partout dans le monde, des dispositifs médicaux implantables existants qui emploient des antennes de télémesure RF de l'état de l'art et par conséquent avoir également une tête RF de programmateur classique et un logiciel associé à utiliser sélectivement avec.

Au cours d'une communication par liaison ascendante entre le dispositif médical implantable 10 et le programmateur 20, par exemple, la transmission par télémesure 22 est activée pour fonctionner comme un émetteur et l'antenne de télémesure RF externe 24 fonctionne comme un récepteur de télémesure. De cette manière, les données et les informations peuvent être transmises depuis le dispositif médical implantable 10 au programmateur 20. Selon l'autre solution, l'antenne de télémesure RF 26 du dispositif médical implantable 10 fonctionne comme une antenne de reception de télémesure pour établir une liaison descendante de données et d'informations depuis le programmateur 20. Les antennes de télémesure RF 22 et 26 sont toutes les deux reliées à un émetteur-récepteur comprenant un émetteur et un récepteur.

La figure 3A est un schéma de principe de circuit simplifié des principaux composants de fonctionnement du programmateur 20. L antenne de télémesure RF externe 24 sur le programmateur 20 est reliée à un émetteur-récepteur de télémesure 86 et à une carte de circuit de commande d'antennes incluant un émetteur de télémesure et un récepteur de télémesure 34. L'émetteur de télémesure et le récepteur de télémesure sont reliés à un ensemble de circuits de commande et à des registres exploités sous la commande du micro-ordinateur 80. De manière similaire, à l'intérieur du dispositif médical implantable 10, par exemple, l'antenne de télémesure RF 26 est reliée à un émetteur-récepteur de télémesure comprenant un émetteur et un récepteur de télémesure. L'émetteur de télémesure et le récepteur de télémesure du dispositif médical implantable 10 sont reliés à un ensemble de circuits de commande et à des registres exploités sous la commande du micro-ordinateur 74.

En se référant en outre à la figure 3A, un programmateur 20 est un dispositif à microprocesseur du type ordinateur personnel incorporant une unité centrale de traitement, qui peut, par exemple, être un microprocesseur connu commercialement sous le nom de "Intel Pentium" ou analogue. Un bus système interconnecte l'unité centrale de traitement 80 avec une unité à disque dur, stockant les programmes d'exploitation et les données, et avec circuit graphique et un module de commande de l'interface. Un lecteur de disquette ou un lecteur de 'deroms est également relié au bus et est accessible par l'intermédiaire d'une fente d'insertion disque à l'intérieur du boîtier du programmateur 20. Le programmateur 20 comprend en outre un module d'interface, qui inclut un circuit numérique, un circuit analogique non isolé, et un circuit analogique isolé. Le circuit numérique permet au module d'interface de communiquer avec le module de commande d'interface. Le fonctionnement du programmateur selon la présente invention est commandé par le microprocesseur 80.

Afin que le médecin ou tout autre soignant ou opérateur puisse communiquer avec le programmateur 20, un clavier ou un dispositif d'entrée 82 relié à l'unité centrale de traitement 80 est fourni en option. Cependant le mode de communication de départ peut se faire grâce à un écran d'affichage graphique du type "tactile" bien connu commandé par un circuit graphique. Un utilisateur du programmateur 20 peut interagir avec celui-ci par l'utilisation d'un stylet, relié également à un circuit graphique, qui est utilisé pour pointer en différents emplacements de l'écran ou de l'affichage 84 qui affiche des choix de menus pour sélectionner par l'utilisateur ou par l'intermédiaire d'un clavier alphanumérique l'entrée de texte ou de nombres et d'autres symboles. Divers assemblages d'écrans tactiles sont connus et commercialement disponibles. L'affichage 84 et/ou le clavier comprennent des moyens permettant d'entrer des signaux d'instruction provenant de l'opérateur afin de lancer des transmissions de télémesure ascendantes ou descendantes et de lancer et de commander des sessions de télémesure une fois qu'une liaison de télémesure avec le centre de données 62 un dispositif implanté a été établie. L'écran d'affichage 84 est également utilisé pour afficher données relatives au patient et des choix de menus et des champs d'entrée de données utilisés lors de l'entrée des données suivant la présente invention comme cela est décrit ci-dessous. L'écran d'affichage 84 affiche également une variété d'écrans de données obtenues par télémesure vers l'extérieur ou de données en temps réel. L'écran d'affichage 84 peut aussi afficher des signaux d'événement envoyés par liaison ascendante comme ils sont reçus et de ce fait servir de moyens pour permettre à l'opérateur de réexaminer opportunément l'historique de la liaison et l'état.

Le programmateur 20 comprend de plus un module d'interface, qui inclut un circuit numérique, un circuit analogique non isolé, et un circuit analogique isolé. Le circuit numérique autorise le module d'interface à communiquer avec le module de commande d'interface. Comme cela est indiqué ci-dessus, le fonctionnement du programmateur 20, selon la présente invention est commandé par le microprocesseur 80. Le programmateur 20 est préférentiellement du type de celui qui est décrit dans le brevet des Etats-Unis d'Amérique n 5 345 362 de Winkler.

L'écran 84 peut également afficher des signaux d'événement envoyés par liaison ascendante quand ils sont reçus et de ce fait servir de moyens pour permettre à l'opérateur du programmateur 20 de corréler la réception d'une télémesure par liaison ascendante d'un dispositif implanté avec l'application une action provoquant une réponse sur le corps du patient si cela est nécessaire. Le programmateur 20 est également muni d'une imprimante sur bande ou analogue reliée au module de commande d'interface afin de pouvoir produire une copie d'un ECG, d'un du patient, d'un canal de marquage de graphiques affichés sur l'écran d'affichage.

Comme cela sera apprécié par l'homme de l'art, il est souvent souhaitable de fournir des moyens pour que le programmateur 20 adapte son mode fonctionnement en fonction du type ou de la génération du dispositif médical implanté à programmer et se mette en conformité avec le système de communication sans fil au travers duquel des données et des informations sont transmises entre le programmateur 20 et le centre de données 62.

La figure 3B est une illustration des principaux composants de l'unité d'ondes 90 utilisant des technologies laser tels que par exemple l'unité connue commercialement sous le nom de "Wavestar Optic Air", fabriquée par la firme Lucent Technologies un équivalent. Ce mode de réalisation peut être mis en oeuvre pour un transfert important de données à vitesse élevée dans des applications impliquant plusieurs programmateurs. L'unité inclut un laser 92, un émetteur récepteur 94 et un amplificateur 96. Une première unité d'ondes 90 est installée au niveau du centre de données 62 et une deuxième unité 90' est placée à proximité du programmateur 20 ou de l'unité basée sur le Web 20'. La transmission de données entre le centre de données éloigné 62 et l'unité de programmation 20 est exécutée par l'intermédiaire des unités d'ondes 90. De manière générale, la première unité d'ondes accepte les données et les fractionne en une unique longueur d'onde en vue de la transmission. La deuxième unité d'ondes 90' recompose les données en leur forme initiale.

La figure 4 est un schéma de principe simplifié illustrant les systèmes principaux de 'invention. Le système expert éloigné ou centre de données 62 inclut une ressource de données 100. Comme cela est décrit plus haut, le centre de données 62 est de préférence en communication sans fil avec le programmateur 20. Le support de communication 136 entre le programmateur 20 et le centre de données 62 peut être choisi parmi un. ou une combinaison d'une pluralité de systèmes par câble sans fil décrits plus haut. De plus, le programmateur 20 est en communication sans fil par des moyens 131 avec un certain nombre de dispositifs médicaux implantables (10, 10', 10''), tel que cela est représenté sur la figure 1. Quoique trois dispositifs médicaux implantables sont représentés à des fins d'illustration, il faut noter que plusieurs dispositifs médicaux implantables peuvent être mis en oeuvre, et l'usage de la présente invention ne limite pas le nombre d'implants en soi.

La figure 5 est un schéma de principe illustrant un mode de réalisation d'un système structurel de transfert de données sécurisé selon la présente invention représenté de manière générale par 220. Dans ce mode de réalisation, l'information confidentielle 221 (telle qu'une information relative au patient) est transférée sous une forme chiffrée du programmateur 222 au centre de données expert éloigné/centre de données éloigné à travers un support de communication/connexion 226. Les supports de communication de données 226 sont une interface pour interconnecter le programmateur 222 et centre de données éloigné 224. Les supports de communication de données 226 pourraient être configurés afin d'inclure une connexion par ligne téléphonique, une connexion par réseau intranet, une connexion par le réseau Internet, une connexion satellite, un système laser, une constellation de connexions satellites, connexion par système mondial de localisation (GPS), ou une combinaison quelconque de celles-ci.

La source de clés 228 fournit au programmateur 222 et au centre de données éloigné 224 les clés de chiffrement/déchiffrement pour chiffrer/déchiffrer l'information confidentielle 221. Dans un mode de réalisation de l'invention, la source de clés 228 diffuse des clés de chiffrement/déchiffrement symétriques. Dans un autre mode de realisation de l'invention, la source de clés 228 diffuse des clés asymétriques (à savoir, des clés publique/privée). Si les algorithmes de chiffrement/déchiffrement employés par l'invention sont des algorithmes normalisés connus du public, des mesures de sécurité supplémentaires doivent être prises lors de la diffusion des clés depuis la source de clés 228 vers le programmateur 222 et 224 afin de garantir la confidentialite. En plus des informations confidentielles relatives au patient, l'invention peut également transférer au centre de données d'exportation éloigné 224 de manière sécurisée d'autres formes d'informations confidentielles 221, incluant des données relatives aux medecins, des données relatives aux utilisateurs, et/ou des données relatives aux fabricants.

Le programmateur 222 est instrument susceptible d'obtenir, de stocker, et de transmettre une information confidentielle 221. Le programmateur 222 est susceptible d'être relié aux dispositifs médicaux implantable 10, 10' et 10". Le dispositif médical implantable 10 obtient l'information confidentielle 221 par le patient, puis transfère l'information confidentielle relative au patient au programmateur 222.

Avant là transmission de l'information confidentielle 222 à travers les supports de communication de données 226, l'information confidentielle 221 est chiffrée par un moteur de chiffrement 230. Le moteur de chiffrement 230 chiffre l'information confidentielle 221 en utilisant un algorithme de chiffrement et une clé. Par nature, le moteur de chiffrement 230 convertit l'information confidentielle 221 en un message brouillé aléatoire. Le moteur de chiffrement 230 produit des messages brouillés chiffrés différents en fonction de la valeur spécifique et du format de la clé de chiffrement. Divers algorithmes de chiffrement peuvent être utilisés dans le cadre et le contexte de l'invention. Dans un mode de réalisation, l'invention utilise un algorithme de type cryptographie à clé symétrique (à savoir, la même clé est utilisée par le programmateur 222 et le centre de données éloigné 224 pour chiffrer et déchiffrer l'information confidentielle 221). Des exemples de types de cryptographie à clé symétrique incluent la norme de chiffrement américaine (connue dans la technique sous le nom de norme DES) et l'algorithme de chiffrement international (connu dans la technique sous le nom d'algorithme IDEA). Dans un autre mode de réalisation préférentiel, l'invention utilise un algorithme de type de chiffrement cryptographie par clé publique/clé privée (à savoir des clés différentes sont utilisées par programmateur 222 et le centre de données éloigne 224 pour chiffrer et déchiffrer l'information confidentielle 221). Des exemples de types de chiffrement à cryptographie par clé publique incluent l'algorithme Rivest, Shamie et Adleman (connu dans la technique sous le nom d'algorithme RSA) et le logiciel de chiffrement connu dans la technique sous le de logiciel PGP.

Dans un mode de réalisation de l'invention, le moteur de chiffrement 230 ajoute aussi une signature numérique à l'information confidentielle 221 transmise par le programmateur 222. Comme établi plus haut, les signatures numériques sont utiles lors de la validation de l'authenticité d'une communication. Une signature numérique peut être utilisée en liaison avec un message contenant l'information confidentielle 221 en créant d'abord une assimilation de message (une représentation hachée de 128 bits d'un message) avec la clé privée de l'expéditeur (à savoir, le programmateur 222), en attachant l'assimilation de message au message, puis en chiffrant à la fois l'assimilation de message et le message avec la clé publique du destinataire (à savoir, le centre de données éloigné 224). Le destinataire inverse ces phases, déchiffrant d'abord le message avec la clé privée du destinataire, puis déchiffrant la signature avec la clé publique de l'expéditeur.

Après chiffrement de l'information confidentielle 221, l'information confidentielle chiffrée est transmise au centre de données éloigne 224 par l'intermédiaire des supports de communication de données 226. Dans d'autres modes de réalisation, les supports de communication de données 226 sont en oeuvre par une connexion par ligne téléphonique, une connexion par réseau intranet, une connexion par le réseau Internet, une connexion satellite une constellation de connexions satellites, une connexion par système mondial de localisation (GPS), une combinaison quelconque de celles-ci. Les supports de communication de données 226 peuvent être vulnerables du point de vue sécurité, par exemple, pendant la transmission de l'information confidentielle 221 du programmateur 222 au centre de données éloigné 224. En chiffrant l'information confidentielle 221 avant la transmission, la confidentialité de l'information est préservée.

Le centre de données éloigné 224 reçoit l'information confidentielle chiffrée 221 transmise par le programmateur 222. Dans un mode de réalisation de l'invention, le centre de données éloigné 224 est un deuxième instrument médical éloigné. Le moteur de déchiffrement 234 est placé dans le centre de données éloigné 224, et déchiffre l'information confidentielle chiffrée en utilisant un algorithme de déchiffrement correspondant à l'algorithme de chiffrement et clé de déchiffrement correspondant à la clé de chiffrement qui a été utilisée pour chiffrer le message au depart. La sortie du moteur de déchiffrement est l'information confidentielle initiale 221, déchiffrée.

La figure 6 est un schéma de principe illustrant un autre mode de réalisation d' système structurel de transfert de données sécurisé selon la présente invention. Contrairement au mode de réalisation du mécanisme de transfert de données sécurisé antérieurement illustré sur la figure le mode de réalisation illustré sur la figure 6 transfère l'information confidentielle chiffrée 221 du centre de données éloigné 224 vers l'instrument éloigné 222. Dans ce mode de réalisation, l'information confidentielle 221 réside dans le centre de donnees éloigné 224. Le centre de données éloigné 224 inclut un moteur de chiffrement 230 pour chiffrer l'information confidentielle 221 avant son transfert au programmateur 222 par l'intermédiaire de supports de communication/connexion 226. Dans d'autres modes de réalisation, les supports de communication 226 sont en oeuvre par l'intermédiaire d'une connexion par ligne téléphonique, d'une connexion par réseau intranet, d'une connexion par le réseau Internet, d'une connexion satell d'une constellation de connexions satellites, d'une connexion par système mondial de localisation GPS, ou d'une combinaison quelconque de celles '. Le programmateur 222 inclut un moteur de déchiffrement 234 pour déchiffrer l'information confidentielle chiffrée 221 après transfert de l'information confidentielle chiffrée 221 par le centre de donnees éloigné 224. La source de clés 228 fournit à la fois au programmateur 222 et au centre de données éloigne 224 les clés de chiffrement/déchiffrement pour chiffrer/déchiffrer l'information confidentielle 221.

Ce mode de réalisation de l'invention représenté par la figure 6 est utile quand l'information confidentielle 221, telle que des données relatives au patient, des données relatives au fabricant, ou des données de fonctionnement nécessite d'être transférée de manière sécurisée du centre de données éloigné 224 au programmateur 222. Par exemple un patient muni d'un dispositif médical implantable 10 et surveillé par un premier programmateur se déplace vers partie différente du pays, et change de soignants. L'information confidentielle 221 du patient peut abord être transférée du premier programmateur au centre de données éloigné 224, comme antérieurement illustré sur la figure 5. Puis, l'information confidentielle 221 peut être transférée du centre de données éloigné 224 à un deuxième programmateur au nouveau soignant, comme cela est illustré la figure 6. En conséquence, l'information confidentielle 221 peut être rapidement et de façon sécurisée transférée entre deux ou plusieurs programmateurs 222, par l'intermédiaire du centre de données éloigne 224.

Dans une autre application de l'invention, le fabricant du programmateur 222 peut vouloir mettre à jour les applications logicielles ou une autre information spécifique au fabricant dans le programmateur 222. Puisque l'information spécifique au fabricant peut inclure des informations confidentielles, déposées telles que des mises à jour de logiciels ou de nouveaux modules de logiciel, il est impératif pour le fabricant que cette information confidentielle, déposée puisse être correctement protégée. Plutôt que d'installer manuellement les mises à jour du fabricant au niveau d'un emplacement de programmateur (ce qui peut prendre du temps en fonction de l'emplacement du programmateur), l'invention permet le transfert sécurisé des mises à jour du fabricant en utilisant les diverses techniques de chiffrement ou une structure et des procédés équivalents décrits ici.

La figure 7 est un schéma principe illustrant encore un autre mode de réalisation d'une structure et d'un procédé de transfert données sécurisé selon l'invention, pour un patient muni d'un dispositif médical implantable 10. Contrairement aux possibilités de transfert de données unidirectionnel antérieurement illustré (à savoir le transfert de données du programmateur 222 au centre données éloigné 224 et le transfert de données du centre de données éloigné 224 au programmateur 222), ce mode de réalisation permet une transmission de données bidirectionnelle de l'information confidentielle chiffrée entre le centre de données éloigné 224 et le programmateur 222.

Dans le mode de réalisation représenté sur la figure 7, le programmateur 222 contient à la fois un moteur de chiffrement 230 et un moteur de dechiffrement 234. De manière similaire, le centre de données éloigné 224 contient à la fois un moteur de chiffrement 230 et un moteur de déchiffrement 234. La source clés 228 fournit à la fois au programmateur 222 et au centre de données éloigné 224 des clés de chiffrement/déchiffrement pour chiffrer/déchiffrer l'information confidentielle 221 résidant dans le programmateur 222 et/ou le centre de donnees éloigné 224. Les données confidentielles sont transférées entre le programmateur 222 et le centre de données éloigné 224 par l'intermédiaire de supports de communication de données 226. Dans d'autres modes de réalisation, les supports de communication de données 226 sont mis en oeuvre par une connexion par ligne téléphonique, une connexion par réseau intranet, une connexion par le réseau Internet, une connexion satellite, une constellation de connexions satellite, une connexion par système mondial de localisation (GPS) ou toute combinaison quelconque de celles-ci.

Dans une application du mode de réalisation représenté sur la figure 7, le transfert direct de l'information confidentielle chiffrée 221 peut se produire directement entre deux ou plusieurs programmateurs 222. Autrement dit, le centre de données éloigné 224 peut être un deuxième programmateur. Puisque, dans cet exemple, chaque programmateur 222 supporte un transfert de données sécurisé bidirectionnel (à savoir, inclut à la fois un moteur de chiffrement et un moteur de déchiffrement), un centre de données éloigné distinct 224 n'est plus nécessaire pour supporter les communications entre deux ou plusieurs programmateurs 222, comme cela est illustré antérieurement sur la figure 6.

La figure 8 est un organigramme illustrant un procédé pour transmettre de manière sécurisée une information confidentielle relative au patient du programmateur 222 vers le centre de données éloigné 224 selon l'invention, comme cela est représenté d'une façon générale par 280. Le procédé commence par produire une première clé de chiffrement pour une diffusion au programmateur 222, comme cela est représenté à la phase 282. A la phase 284, une deuxième clé de chiffrement est produite pour une diffusion au centre de données éloigné 224. La première clé de chiffrement et la deuxième clé de chiffrement sont toutes les deux produites par la source de clés 228, représentée sur les figures 5-7. Un certain nombre d'algorithmes différents antérieurement décrits peuvent être utilisés pour produire la première clé de chiffrement et la deuxième clé de chiffrement. Dans un mode de réalisation de l'invention, la première clé de chiffrement et la deuxième clé de chiffrement sont identiques (à savoir chiffrement à clé symétrique). Dans un autre mode de réalisation de l'invention la première clé de chiffrement et la deuxième cle de chiffrement sont différentes (à savoir chiffrement à clé publique/privée). Dans les deux modes de réalisation, la première clé de chiffrement la deuxième clé de chiffrement sont connexes de manière qu'un fichier chiffré produit par la première clé de chiffrement puisse être déchiffré par la deuxième clé de chiffrement.

A la phase 286, l'information confidentielle (telle que l'information confidentielle 221) résidant dans le programmateur 222 est chiffrée avec la première clé de chiffrement. Un algorithme de chiffrement résidant dans le programmateur 222 saisit l'information confidentielle 221 et la première clé de chiffrement et délivre en sortie un fichier contenant l'information confidentielle chiffrée.

Ensuite, l'information chiffrée 221 est transférée du programmateur 222 au centre de données éloigné 224 par l'intermédiaire de supports de communication de données /connexion 226, comme cela est représenté à la phase 288. Dans d'autres modes de réalisation, les supports de communication données/ connexion 226 sont obtenus par une connexion par ligne téléphonique, une connexion par réseau intranet, une connexion par le réseau Internet, connexion satellite, une constellation de connexions satellites, une connexion par système mondial localisation (GPS) ou une combinaison quelconque de celles-ci. Comme cela est établi plus tôt, les supports de communication de données/ connexion 226 peuvent être vulnérables du point de vue de la sécurité ce qui compromet la sécurité de l'information confidentielle 221 lorsque l'information est transmise du programmateur 222 au centre de données éloigné 224. En chiffrant l'information confidentielle 221 avant la transmission, la confidentialité de l'information est préservée pendant la transmission sur les supports de communication de données/connexion 226. Enfin, l'information confidentielle chiffrée 221 résidant maintenant dans le centre. de données éloigné 224 est déchiffrée grâce à la deuxième clé de chiffrement, comme cela est représenté à la phase 290. Le moteur de déchiffrement 234 saisit l'information confidentielle chiffrée 221 et la deuxième clé de chiffrement, et délivre en sortie 1 information confidentielle initiale non chiffrée 221 pour l'utiliser par le centre de données éloigné 224.

La figure 9 est un autre organigramme illustrant un procédé pour transmettre de manière sécurisée l'information confidentielle 221 centre de données éloigné 224 au programmateur 222 selon l'invention, comme cela est représenté d'une façon générale par 300. Contrairement au procédé illustré sur la figure 8, le procédé de la figure décrit le transfert de l'information confidentielle 221 du centre de données éloigné 224 au programmateur 222.

Le procédé commence par la génération d'une première clé de chiffrement pour une diffusion à l'ordinateur, comme cela est représenté à phase 302. Ensuite, une deuxième clé de chiffrement est produite pour la diffusion au programmateur 222, comme cela est représenté à la phase 304. La première clé de chiffrement et la deuxième clé de chiffrement sont toutes les deux produites par la source de clés 228 représentée sur les figures 6-8. Un certain nombre d'algorithmes différents, dont certains sont décrits ci-dessus, peuvent être utilisés pour produire la première clé de chiffrement et la deuxième clé de chiffrement. Dans un mode de réalisation, la première clé de chiffrement et la deuxième clé de chiffrement sont identiques (à savoir, chiffrement à clé symétrique). Dans un autre mode de réalisation, la première clé de chiffrement et la deuxième clé de chiffrement sont différentes (à savoir chiffrement à clé publique/privée). Dans les deux modes de réalisation, la première clé de chiffrement et la deuxième clé de chiffrement sont connexes de manière qu'un fichier chiffré produit par la première clé de chiffrement puisse être déchiffré par la deuxième clé de chiffrement.

A la phase 306, l'information confidentielle 221 résidant dans le centre de données éloigné 224 est chiffrée avec la première clé de chiffrement. Un algorithme de chiffrement résidant dans le centre de données éloigné 224 saisit l'information confidentielle 221 et la première clé de chiffrement, puis " ivre en sortie un fichier de sortie contenant l'information confidentielle chiffrée 221.

L'information confidentielle chiffrée 21 est alors transférée du centre de données éloigné 224 au programmateur 222, comme cela est représenté à la phase 308. Enfin, l'information confidentielle chiffrée 221 résidant à présent dans le programmateur 222 est déchiffrée grâce à la deuxième clé de chiffrement, comme cela est représenté à la phase 310. Le moteur de déchiffrement 234 saisit l'information confidentielle chiffrée 221 et la deuxième clé de chiffrement et délivre en sortie l'information confidentielle initiale, non chiffrée 221 pour l'utiliser au programmateur 222.

La figure 10 est un schéma de principe d'éléments illustrant le centre de données éloigné composé des ressources de données 350 et d'un support informatique lisible correspondant 352, incorporant un procédé pour transmettre de manière sécurisée une information confidentielle 221 du programmateur 222 au centre de données éloigné 224 selon l'invention. Les modes de réalisation du support informatique lisible externe 352 incluent, mais ne sont pas limités à, un cédérom, une disquette, ou un chargeur. Un procédé transfert de données sécurisé de l'invention peut être mis en oeuvre selon une variété de langages informatiques compilés et interprétés. Un support lisible informatique externe 352 stocke le code source le code objet, le code exécutable, les commandes en langage natif, et/ou les bibliothèques de liens dynamiques pour le procédé de transfert de données sécurisé. Le dispositif d'entrée 354 lit le support lisible informatique externe 352 et fournit ces données aux ressources de données 350. Les modes de réalisation du dispositif d'entrée 354 incluent, mais .ne sont pas limités à, un lecteur de cédérom, une unité de disquette, ou un lecteur de chargeur.

Le système 350 inclut une unité de traitement centrale 356 pour exécuter le procédé de transfert de données sécurisé selon l'invention. Les ressources données 350 incluent également un stockage à disques local 362 pour stocker localement les données sécurisées avant, pendant et après exécution. procédé de transfert de données sécurisé utilise aussi une mémoire 360 à l'intérieur des ressources de données 350 pendant l'exécution. Lors de l'exécution du procédé de transfert de données sécurisé, des données de sortie sont produites et dirigées vers le dispositif de sortie 358. Les modes de réalisation du dispositif de sortie 358 incluent, mais ne sont pas limités à, un dispositif d'affichage informatique, une imprimante et/ou un dispositif de stockage à disques.

En conséquence, l'invention fournit un système et un procédé pour transférer de manière sécurisée une information confidentielle, telle que des données relatives au patient, d'un programmateur à un ordinateur centralisé ou à un centre de données par chiffrement des données. Le système de transfert de données sécurisé et son procédé selon la présente invention protègent les données confidentielles relatives au patient des risques qui peuvent être rencontrés lors de la transmission de données à travers des réseaux publics. En mettant en oeuvre des systèmes, des méthodes et des structures de chiffrement de données spécialisés, la présente invention permet à un centre de données expert éloigné d échanger une information clinique et toute autre information confidentielle relative au patient par divers supports de communication.

Quoique des modes de réalisation spécifiques de l'invention aient été présentés ici en detail, il faut comprendre que ceci a été fait uniquement à des fins d'illustration et ne doit pas être considéré comme une limitation de la portée de l'invention. Il faut comprendre que diverses altérations, substitutions et modifications peuvent être apportées aux modes de réalisation décrits ici sans s'écarter de l'esprit et de la portée de l'invention.

Claims (69)

REVENDICATIONS

1. Système de communication bidirectionnel intégré avec un centre de données expert éloigné basé sur la "toile d'araignée" connue sous nom de Web, caractérisé en ce qu'un programmateur médical (20; 222) destiné à un dispositif médical implantable (10) dit IMD est relié de manière ascendante centre de données expert basé sur le Web (224) par l'intermédiaire du système de communication bidirectionnel, le centre de données expert basé sur le Web (224) en configuration avec le programmateur (222) formant un réseau sécurisé d'échange informations médicales dans lequel les enregistrements relatifs à un patient sont transférés, le réseau d'échange d'information médicale comprenant: une base de données résidant à l'intérieur du programmateur (222) pour stocker une information confidentiel (221); une source de clés (228) en communication de données avec le programmateur (222) et le centre de données expert basé sur le Web (224) pour transmettre une clé de chiffrement au programmateur (222) et une clé de déchiffrement au centre de données expert (224) ; un moteur de chiffrement (230') résidant à 'intérieur du programmateur (222) pour chiffrer l'information confidentielle (221) en utilisant la clé de chiffrement; une interface (226) pour coupler le programmateur (222) au centre de données expert (224); et un moteur de déchiffrement (234 résidant à l'intérieur du centre de données expert (224) pour déchiffrer l'information confidentielle chiffrée en utilisant la clé de déchiffrement.

2. Système selon la revendication 1, caractérisé en ce que le dispositif constituant le programmateur est en communication par télémesure avec le dispositif médical implantable (10).

3. Système selon la revendication 2, caractérisé en ce que l'information confidentielle (221) stockée à l'intérieur de la base de données inclut des données obtenues à partir du dispositif médical implantable (10).

4. Système selon la revendication 1, caractérisé en ce que l'information confidentielle (221) stockée à l'intérieur de la base de données inclut une information confidentielle relative au patient.

5. Système selon la revendication 1, caractérisé en ce que l'interface (226) est une connexion par ligne téléphonique.

6. Système selon la revendication 1, caractérisé en ce que l'interface (226) est une connexion par réseau intranet.

7. Système selon la revendication 1, caractérisé en ce que l'interface (226) est une connexion par le réseau Internet.

8. Système selon la revendication 1, caractérisé en ce que l'interface (226) est une connexion satellite.

9. Système selon la revendication 1, caractérisé en ce que l'interface (226) est une connexion par système mondial de localisation.

10. Système selon la revendication 1, caractérisé en ce que l'interface (226) comprend au moins deux liaisons de communication choisies parmi le groupe des liaisons de communication se composant une communication par ligne téléphonique, d'une communication par réseau intranet, d'une communication par le réseau Internet, d'une communication satellite, et d'une communication par système mondial de localisation.

11. Système selon la revendication 1, caractérisé en ce que la clé de chiffrement et la clé de déchiffrement sont des clés symétriques.

12. Système selon la revendication 1, caractérisé en ce que la clé de chiffrement et la clé de déchiffrement sont des clés asymétriques.

13. Système selon la revendication 1, caractérisé en ce que l'information confidentielle chiffrée inclut une signature numérique.

14. Système selon la revendication , caractérisé en ce que le centre de données expert éloigné (224) est un deuxième dispositif médical.

15. Système de communication bidirectionnel intégré avec un centre de données expert éloigné basé sur la "toile d'araignée' connue sous nom de Web, caractérisé en ce qu'un programmateur médical (222) destiné à un dispositif médical implantable (10) dit IMD est relié de manière ascendante centre de données expert basé sur le Web (224) par l'intermédiaire du système de communication bidirectionnel (226), le centre de données expert basé sur le Web (224) en configuration avec le programmateur (222) formant un réseau d'échange d'information médicale sécurisé dans lequel des enregistrements relatifs au patient sont transférés, le réseau d'échange d'information médicale comprenant un système pour transférer une information d'un programmateur vers un programmateur, le système comprenant une base de données résidant à l'intérieur du centré de données expert éloigné (224) pour stocker une information confidentielle (221); une source de clés (228) en communication de données avec le programmateur (222) et le centre de données expert éloigné (224) pour diffuser une clé de chiffrement au centre de données expert éloigné (224) et une clé de déchiffrement au programmateur (222); un moteur de chiffrement (230) résidant à l'intérieur du centre de données expert éloigné (224) pour chiffrer l'information confidentielle (221) en utilisant la clé de chiffrement; une interface (226) pour coupler le centre de données expert éloigné (224) au programmateur (222); et un moteur de déchiffrement (226) résidant l'intérieur du programmateur (222) pour déchiffrer l'information confidentielle chiffrée en utilisant clé de déchiffrement.

16. Système selon la revendication 15, caractérisé en ce que le programmateur (222) est en communication par télémesure avec un dispositif médical implantable (10) chez un patient.

17. Système selon la revendication 16 caractérisé en ce que l'information confidentiel (221) stockée à l'intérieur de la base de données inclut des données obtenues à partir du dispositif médical implantable (10).

18. Système selon la revendication 15, caractérisé en ce que l'information confidentielle (221) stockée à l'intérieur de la base de données inclut une information confidentielle relative patient.

19. Système selon la revendication , caractérisé en ce que l'interface (226) est une connexion par ligne téléphonique.

20. Système selon la revendication 15, caractérisé en ce que l'interface (226) est une connexion par réseau intranet.

21. Système selon la revendication 15, caractérisé en ce que l'interface (226) est connexion par le réseau Internet.

22. Système selon la revendication , caractérisé en ce que l'interface (226) est une connexion satellite.

23. Système selon la revendication 15, caractérisé en ce que l'interface (226) est une connexion par système mondial de localisation.

24. Système selon la revendication , caractérisé en ce que l'interface se compose d'au moins deux liaisons de communication choisies parmi le groupe des liaisons de communication se composant d' communication par ligne téléphonique, d'une communication par réseau intranet, d'une communication par le réseau Internet, d'une communication satellite et d'une communication par système mondial localisation.

25. Système selon la revendication 15 caractérisé en ce que la clé de chiffrement et la clé de déchiffrement sont, des clés symétriques.

26. Système selon la revendication 15 caractérisé en ce que la clé de chiffrement et .la clé de déchiffrement sont des clés asymétriques.

27. Système selon la revendication 15, caractérisé en ce que l'information confidentielle chiffrée inclut une signature numérique.

28. Système pour transférer une information entre un programmateur et un centre de données expert éloigné, caractérisé en ce que ledit système comprend une source de clés (228) en communication de données avec le programmateur (222) et le centre de données expert éloigné (224) pour diffuser un ensemble de clés de chiffrement au programmateur (222) et au centre de données expert éloigné (224); une interface (226) pour coupler le programmateur (222) au centre de données expert éloigné (224) ; un premier moteur de chiffrement 0) résidant dans le programmateur pour chiffrer un premier élément de l'information confidentielle (221) résidant dans le programmateur (222) en utilisant une des clés de chiffrement de l'ensemble généré par la source de clés (228) ; un deuxième moteur de chiffrement ) résidant à l'intérieur du centre de données expert éloigné (224) pour chiffrer un deuxième élément de l'information confidentielle (221) résidant dans le centre de données expert éloigné (224) en utilisant une des clés de chiffrement de l'ensemble généré par la source de clés (228); un premier moteur de déchiffrement (234) résidant à l'intérieur du programmateur (222) pour déchiffrer le deuxième élément de l'information confidentielle (221) généré le deuxième moteur de chiffrement (230) ; et un deuxième moteur de déchiffrement (234) résidant à l'intérieur du centre de données expert éloigné (224) pour déchiffrer le premier élément de l'information confidentielle (221)généré par le premier moteur de chiffrement 0).

29. Système selon la revendication 28, caractérisé en ce que le programmateur est en communication électrique avec un dispositif médical implantable (10) chez un patient.

30. Système selon la revendication 29, caractérisé en ce que le premier élément de l'information confidentielle (221) inclut des données obtenues à partir du dispositif médical implantable (10).

31. Système selon la revendication , caractérisé en ce que le premier élément de l'information confidentielle (221) inclut information confidentielle relative au patient.

32. Système selon la revendication , caractérisé en ce que l'interface (226) est une connexion par ligne téléphonique.

33. Système selon la revendication 28, caractérisé en ce' que l'interface (226) est connexion par réseau intranet.

34. Système selon la revendication , caractérisé en ce que l'interface (226) est une connexion par le réseau Internet.

35. Système selon la revendication 28, caractérisé en ce que l'interface (226) est connexion satellite.

36. Système selon la revendication , caractérisé en ce que l'interface (226) est une connexion par système mondial de localisation.

37. Système selon la revendication 28, caractérisé en ce que l'interface (226) comprend au moins une liaison de communication choisie parmi le groupe des liaisons de communication se composant d'une communication par ligne téléphonique, d'une communication par réseau intranet, d'une communication par le réseau Internet, d'une communication satellite et d'une communication par système mondial localisation.

38. Système selon la revendication 28 caractérisé en ce que l'ensemble des clés chiffrement sont des clés symétriques.

39. Système selon la revendication 28, caractérisé en ce que l'ensemble des clés de chiffrement sont des clés asymétriques.

40. Système selon la revendication 28, caractérisé en ce que le premier élément de l'information confidentielle (221) inclut une signature numérique.

41. Système selon la revendication 28, caractérisé en ce que le deuxième élément de l'information confidentielle (221) inclut signature numérique.

42. Système pour transférer de maniere sécurisée l'information confidentielle reçue d'au moins un fil positionné à l'intérieur d'une voie d'accès d'un coeur connexe à un dispositif médical implantable (10) à un centre de données expert éloigné (224) selon la revendication 1, caractérisé en ce que ledit système comprend un programmateur (222) en communication de données avec le dispositif médical implantable (10) pour recevoir et traiter l'information confidentielle du dispositif médical implantable (10); une source de clés (228) en communication de données avec le programmateur (222) et le centre de données expert éloigné (224) pour diffuser une clé de chiffrement au programmateur (222) et une clé de déchiffrement au centre de données expert éloigné (224); moteur de chiffrement (230) résidant à l'intérieur du programmateur (222) pour chiffrer 'information confidentielle (221) en utilisant la clé de chiffrement; une interface (226) pour coupler le programmateur (222) au centre de données expert éloigné (224) ; et un moteur de déchiffrement (234 résidant à l'intérieur du centre de données expert éloigné (224) pour déchiffrer l'information confidentielle chiffrée en utilisant la clé de déchiffrement.

43: Système selon la revendication 42, caractérisé en ce que l'interface (22 ) est une connexion par ligne téléphonique.

44. Système selon la revendication 42, caractérisé en ce que l'interface (226) est une connexion par réseau intranet.

45. Système selon la revendication 42, caractérisé en ce que l'interface (226) est une connexion par le réseau Internet.

46. Système selon la revendication 42, caractérisé en ce que l'interface (22 est une connexion satellite.

47. Système selon la revendication 42, caractérisé en ce que l'interface (22 est une connexion par système mondial de localisation.

48. Système selon la revendication 42, caractérisé en ce que l'interface se compose d'au moins une liaison de communication choisie parmi le groupe des liaisons de communication se composant d'une communication par ligne téléphonique, d'une communication par réseau intranet, d'une communication par le réseau Internet, d'une communicat satellite, et d'une communication par système mondial de localisation.

49. Système selon la revendication 42, caractérisé en ce que la clé de chiffrement et la clé de déchiffrement sont des clés symétriques.

50. Système selon la revendication 42, caractérisé en ce que la clé de chiffrement et la clé de déchiffrement sont des clés asymétriques.

51. Système selon la revendication 42, caractérisé en ce que l'information confidentielle chiffrée inclut une signature numérique.

52. Procédé pour transférer de manière sécurisée une information confidentielle (221) d'un programmateur (222) à un centre de données expert éloigné (224), caractérisé en ce que ledit procédé comprend la génération d'une clé de chiffrement à diffuser au programmateur (222) ; la génération d'une clé de déchiffrement à diffuser au centre de données expert éloigné (224) ; le chiffrement de l'information confidentielle (221) résidant dans le programmateur (222) avec la clé de chiffrement; le transfert de l'information confidentielle chiffrée du programmateur (222) au centre de données expert éloigné (224); et le déchiffrement de l'information confidentielle chiffrée résidant dans le centre de données expert eloigné (224) avec la clé de déchiffrement.

53. Procédé selon la revendication 52, caractérisé en ce que l'on connecte le programmateur (222) à un dispositif médical implantable (10) chez un patient.

54. Procédé selon la revendication 52, caractérisé en ce que la phase de chiffrement de l'information confidentielle (221) résidant dans le programmateur (222) comprend de plus la création d'une signature numérique pour l'information confidentielle chiffrée.

55. Procédé selon la revendication 54, caractérisé en ce que la phase de déchiffrement de l'information confidentielle chiffrée résidant dans le centre de données expert éloigné comprend de plus la vérification de la signature numérique associée à l'information confidentielle chiffrée.

56. Procédé pour transférer de maniere sécurisée l'information confidentielle d'un centre de données expert éloigné (224) à un programmateur (222), caractérisé en ce que ledit procédé comprend la génération d'un clé de chiffrement à diffuser au centre de données expert éloigné (224) ; la géneration d'une clé de déchiffrement à diffuser au programmateur (222); le chiffrement de l'information confidentielle (221) résidant dans le centre de données expert éloigné (224) avec la clé de chiffrement; le transfert de l'information confidentielle chiffrée du centre de données expert éloigné (224) au programmateur (222); et le déchiffrement de l'information confidentielle chiffrée résidant dans le programmateur (222) avec la clé de déchiffrement.

57. Procédé selon la revendication 56 caractérisé en ce que l'on connecte le programmateur (222) à un dispositif médical implantable (10) chez patient.

58. Procédé selon la revendication , caractérisé en ce que la phase de chiffrement de l'information confidentielle (221) résidant dans le centre de données expert éloigné (224) comprend de plus la création d'une signature numérique pour l'information confidentielle chiffrée.

59. Procédé selon la revendication 58, caractérisé en ce que la phase de déchiffrement de l'information confidentielle chiffrée résidant dans le programmateur (222) comprend de plus la vérification la signature numérique associée à l'information confidentielle chiffrée.

60. Système pour transférer l'information d' programmateur à un centre de données expert éloigné caractérisé en ce que ledit système comprend des moyens pour générer une clé de chiffrement à diffuser programmateur (222); des moyens pour générer une clé déchiffrement à diffuser au centre de données expert éloigné (224); des moyens pour chiffrer l'information confidentielle (221) résidant dans le programmateur (222) avec la- clé de chiffrement; des moyens pour transférer l'information confidentielle chiffrée programmateur (222) au centre de données expert éloigné (224); et des moyens pour déchiffrer l'information confidentielle chiffrée résidant dans le centre de données expert éloigné (224) avec la de déchiffrement.

61. Système selon la revendication 60, caractérisé en ce que le programmateur (222) est connecté à un dispositif médical implantable ( chez un patient.

62. Système selon la revendication 60, caractérisé en ce que les moyens pour chiffrer l'information confidentielle (221) résidant dans le programmateur (222) comprennent de plus des moyens pour créer une signature numérique pour l'information confidentielle chiffrée.

63. Système selon la revendication 62, caractérisé en ce que les moyens pour déchiffrer l'information confidentielle chiffrée (221) résidant dans le centre de données expert éloigné (224) comprennent de plus des moyens pour vérifier la signature numérique associée à l'information confidentielle chiffrée.

64. Système pour transférer une information confidentielle d'un centre de données expert éloigné à un programmateur, caractérisé en ce que ledit système comprend, des moyens pour générer une clé de déchiffrement à diffuser au centre de données expert éloigné (224); des moyens pour générer une clé de chiffrement à diffuser au programmateur (222); des moyens pour chiffrer l'information confidentielle (221) résidant dans le centre de données expert éloigné (222) avec la clé de chiffrement; des moyens pour transférer l'information confidentielle chiffrée du centre de données expert éloigné (224) au programmateur (222); et des moyens pour déchiffrer l'information confidentielle chiffrée résidant dans le programmateur (222) avec la clé de déchiffrement.

65. Système selon la revendication 64, caractérisé en ce que le programmateur (222) est connecté à un dispositif médical implantable ( chez un patient.

66. Système selon la revendication 64, caractérisé en ce que les moyens pour chiffrer l'information confidentielle (221) résidant dans le centre de données expert éloigné (224) comprennent de plus des moyens pour créer une signature numérique pour l'information confidentielle chiffrée.

67. Système selon la revendication 66, caractérisé en ce que les moyens pour déchiffrer l'information confidentielle chiffrée (221) résidant dans le programmateur comprennent de plus des moyens pour vérifier la signature numérique associée à l'information confidentielle chiffrée.

68. Dispositif pour la mise en oeuvre du procédé selon l'une quelconque des revendications à 55, caractérisé en ce qu'il consiste en un support lisible de centre de données expert éloigné contenant des instructions pour commander un système de centre de données expert éloigné (224).

69. Dispositif pour la mise en oeuvre procédé selon l'une quelconque des revendications 56 à 59, caractérisé en ce qu'il consiste en un support lisible de centre de données expert éloigné contenant des instructions pour commander un système de centre de données expert éloigné (224).