FR2980020A1 - Procede d'acces et de partage d'un dossier medical - Google Patents

Abstract

Un procédé d'accès et partage d'un dossier informatique personnalisé comportant des données nominatives et non nominatives dans un réseau comportant : - un premier serveur (DMA - 300) basé sur un identifiant anonyme (IDA) ; - au moins un second serveur (GED - 500 ; RG&P 700-800) comportant des pièces jointes ainsi que des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA) ; - un premier système (1-1, 1-n) permettant l'accès audits premiers et seconds serveurs, comportant un agent DMN de génération d'un dossier informatique personnalisé et au moins un fichier de chiffrement/déchiffrement et une table (PLT) de correspondance de liens entre les données nominatives et ledit identifiant anonyme (IDA), - un second système (1000) ; le procédé comportant les étapes suivantes : - identification (402) ; - téléchargement (403) d'une liste d'identifiants anonymes IDA associés audit identifiant ; - génération (404) d'une liste de clients ; - sélection d'un client (405) ; - téléchargement (406) du dossier informatique anonyme ; - construction (407) d'un dossier informatique personnalisé ; - mise à jour (408) dudit dossier informatique personnalisé ; et caractérisé en ce qu'il comporte les étapes : - téléchargement (409) depuis lesdits serveurs d'une liste d'identifiants de ressources génériques ; - affichage (410) et composition d'une liste de sélection de ressources génériques ; - ajout optionnel (411) de ressources personnalisées générés par le prestataire ; - enregistrement du dossier informatique anonyme comportant la liste de sélection de ressources génériques et personnalisées dans ledit premier serveur (DMA - 300) ; - création (505) d'un identifiant de connexion à l'attention dudit second système (1000) pour lesdits premier et au moins second serveurs (300, 500, 700-800) ; - génération d'au moins une clé de chiffrement attribué audit second système (1000) ; - transmission de l'identifiant de connexion, la ou les clés de chiffrement ainsi que l'identifiant IDA audit second système (1000) de manière à permettre un accès partagé au dossier informatique anonyme, à l'exclusion de toute information nominative.

Description

- 1 - Procédé d'accès et de partage d'un dossier médical Domaine technique de l'invention La présente invention concerne les systèmes d'information, et notamment un procédé d'accès et de partage d'un dossier informatique médical Etat de la technique Avec l'essor des télécommunications et celui du réseau Internet, le commerce en ligne mais également les prestations de services connaissent un développement considérable. Bien des consommateurs n'hésitent plus aujourd'hui à s'en remettre, en dépit de son absence de convivialité, à la simplicité d'une connexion télématique pour confier à divers prestataires présents sur le web le soin d'effectuer des prestations qu'ils auraient jadis confiées à des professionnels proches de leur domicile. Les prestations dématérialisées se généralisent, que ce soit dans le domaine bancaire, le secteur de l'assurance etc... à l'instar du commerce électronique.

Une catégorie particulière de professionnels et prestataires échappe encore à ce bouleversement qu'imposent les Nouvelles Technologies de l'Information et de la Communication (NTIC). En effet, en raison du caractère séculaire de leur profession, de la notoriété et du crédit lentement mûris au cours de l'Histoire, les professions libérales échappent encore à cette intrusion de la télématique dans leur relation particulière avec leur clientèle. Les professions thérapeutiques tout spécialement, mais également bien des professions libérales se sont attachées à développer un lien privilégié avec la clientèle et la nature très privilégiée de cette - 2 - relation s'oppose clairement au phénomène de dématérialisation que connaissent sans limite tous les autres secteurs. Comme on le sait, la grande majorité de ces professionnels est soumise au secret professionnel, lequel est absolu et doit être préservé à tout prix. C'est le cas bien évidemment du médecin, de l'infirmière, de tous les thérapeutes mais aussi de l'avocat, de l'architecte etc... Si les thérapeutes et d'une manière générale les professionnels libéraux échappent ainsi en partie aux bouleversements résultant de l'invasion généralisée des systèmes de télécommunications, il reste toutefois souhaitable de leur offrir de nouveaux outils propres aux NTIC, adaptés au caractère spécifique de leur profession et qui leur permettent de proposer de nouveaux services à leur clientèle.

Se trouve là la condition du développement des professions libérales dans la nouvelle société de l'information. La demande de brevet n° 08368018.1 du 19 Septembre 2008 (Publication EP2166484), intitulée « Procédé d'accès à des données nominatives, tel qu'un dossier médical personnalisé, à partir d'un agent local de génération » et dont les demandeurs de la présente demande sont à l'origine, décrit une première technique visant à dématérialiser le dossier médical d'un patient venant consulter un groupe de thérapeutes. A cet effet des procédures spécifiques sont mises en oeuvre pour assurer un stockage anonyme sur un serveur dit DMA (Dossier Médical Anonyme), lequel stockage sert, lors d'une consultation du patient chez un praticien, à construire, au sein même du cabinet du praticien, une instance du Dossier Médical Nominatif - ou personnalisé - du patient et ce en préservant le caractère confidentiel des informations hautement sensibles que comporte ce dossier médical. De cette manière, il est permis au patient d'aller consulter divers praticiens, notamment au sein d'un même groupement professionnel mais situés en des lieux physiquement éloignés et qui pourront accéder partout au dossier médical personnalisé sans risque que les prestataires informatiques intervenant dans la transmission de l'information puissent briser la chaîne du secret. - 3 - On parvient ainsi à préserver la confidentialité des informations stockées sur le réseau Internet. La solution qui se trouve décrite dans cette demande précitée apporte ainsi une amélioration significative au service rendu au patient qui, toutefois, reste confiné dans le sein du cabinet du praticien et prend fin dès lors que le patient prend congé de son praticien. Pour autant il reste souhaitable de pouvoir accroître davantage la diffusion du dossier médical, et spécifiquement la portabilité, en permettant à son titulaire, d'une part, de pouvoir accéder simplement à son dossier depuis son domicile mais également, d'autre part, d'aller consulter divers thérapeutes, en France et à l'étranger, inscrits ou non au service mis en place, et d'enrichir le dossier médical des observations et du résultat de ces consultations.

Bien évidemment, s'il convient de permettre le développement de cette "portabilité" du dossier médical - lequel doit pouvoir "suivre" les déplacements du patient en quelque lieu où il se trouve - il reste nécessaire de préserver la protection et la confidentialité de ce dossier.

La présente invention a pour but de répondre à ce problème, en mettant à disposition des praticiens thérapeutes et de leurs patients, un dossier médical parfaitement portable qui pourra être consulté en tous lieux dans des conditions de sécurité optimales.

Par ailleurs, l'invention permet d'offrir, en toute sécurité, une panoplie de nouveaux services aux professionnels libéraux et à leurs patients. Enfin, et il ne s'agit pas du moindre des problèmes, il convient d'accroître la lisibilité de la lecture du dossier médical par le patient et d'offrir de surcroît à la collectivité de nouveaux outils de collecte statistiques afin de renforcer l'impact des politiques de Santé Publique. - 4 - Se trouve ici l'enjeu d'une médecine de progrès, entrant de plein pied dans le nouveau millénaire et intégrant le monde de la santé dans une démarche active de participation et de responsabilisation des patients en modernisant la prévention, l'optimisation des soins et l'évaluation des thérapies qui sont proposées.

Exposé de l'invention La présente invention a pour objet de doter les professionnels libéraux d'un nouvel outil permettant d'ouvrir la voie à de nouveaux services pour leur clientèle, tout en préservant le caractère confidentiel de leur relation avec cette même clientèle.

La présente invention a pour autre objet de doter les professionnels libéraux d'un nouvel outil permettant d'accroître le confort de l'exercice de leur profession, d'accentuer l'impact de leur consultation auprès de leurs patients en permettant à ceux-ci de prolonger la consultation qui a trouvé sa source dans le secret de leur cabinet, et qui se voit prolongée à distance, par le biais de ressources personnalisées accessibles à distance, soigneusement sélectionnées par le professionnel à l'attention de son client. Plus généralement, la présente invention a pour objet de doter les professions libérales et les organismes professionnels d'outils de supervision 25 statistique permettant de suivre en temps réel les consultations. C'est un quatrième objet de la présente invention de fournir aux professions médicales un outil moderne permettant la constitution d'une solution informatique de partage de l'information médicale, paramédicale et sociale respectant la 30 confidentialité des informations nominatives. L'invention résout ces problèmes au moyen d'un procédé d'accès et de partage d'un dossier informatique personnalisé géré par un prestataire de service pour le bénéfice d'un client, ledit dossier comportant des données de nature - 5 - technique, notamment des données médicales, et des données nominatives hautement confidentielles au sein d'une architecture qui comporte : - un premier serveur (DMA) comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec ledit identifiant anonyme (IDA); - au moins un second serveur (GED, RG&P ) comportant des pièces jointes contenues dans ledit dossier personnalisé et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA); - un premier système destiné au prestataire et permettant l'accès audits premiers et seconds serveurs, ledit premier système comportant dans sa mémoire un agent DMN de génération d'un dossier informatique personnalisé et au moins un fichier de chiffrement/déchiffrement comprenant une clé de chiffrement et une table (PLT) de correspondance de liens entre les données nominatives d'un patient et un identifiant anonyme (IDA), - un second système (1000) destiné au patient et permettant l'accès audits premiers et second systèmes; le procédé comportant les étapes suivantes: - identification (login) sur ledit premier serveur correspondant à l'identifiant dudit prestataire; - téléchargement d'une liste d'identifiants anonymes IDA associés audit prestatair; - génération d'une liste de clients à partir de la liste d'identifiant IDA et de ladite table PLT ; - sélection d'un client particulier; - téléchargement du dossier informatique anonyme depuis ledit premier serveur; - construction du dossier informatique personnalisé à partir des informations téléchargés depuis lesdits premier et second serveurs et les informations 30 nominatives présentes dans ladite table PLT. - mise à jour dudit dossier informatique personnalisé. Le procédé comporte en outre les étapes suivantes : - 6 - - téléchargement depuis lesdits serveurs d'une liste d'identifiant de ressources génériques; - affichage desdites ressources et composition d'une liste de sélection de ressources génériques; - ajout optionnel de ressources personnalisées générés par le prestataire; - enregistrement du dossier informatique anonyme comportant la liste de sélection de ressources génériques et personnalisées dans ledit premier serveur (DMA -300); - création d'un identifiant de connexion à l'attention dudit second système 10 pour lesdits premier et au moins second serveurs (DMA, GED, RG&I); - génération d'au moins une clé de chiffrement attribué audit second système du patient ; - transmission dudit identifiant de connexion, de la ou les clés de chiffrement et de l'identifiant IDA à un serveur administrateur et/ou audits premier et au moins 15 second serveurs ; - transmission de l'identifiant de connexion, la ou les clés de chiffrement ainsi que l'identifiant IDA audit second système attribué au client de manière à permettre un accès partagé au dossier informatique Anonyme, à l'exclusion de toute information nominative. 20 Suivant un mode de réalisation, les premier et second systèmes sont un ordinateur, un ordinateur portable, une tablette communicante, un terminal portable ( smartphone) ou un téléphone. 25 Dans un mode de réalisation particulier, la transmission au second système de l'identifiant de connexion, de la ou des clés de chiffrement ainsi que de l'identifiant IDA sont effectuées via un support de stockage externe, telle qu'une clé USB biométrique, ou via une liaison de communication sans fils entre deux dispositifs 30 communicants ou par courrier électronique. De préférence, le procédé comporte, postérieurement à la génération de l'identifiant de connexion et des clés de chiffrement dudit second système la création d'une - 7 - attestation/certificat permettant de confirmer la création de l'accès audit second système. Parmi les ressources personnalisées, l'on peut prévoir un enregistrement audio ou 5 vidéo réalisé à partir dudit premier système lors de la consultation chez le praticien. Dans un mode de réalisation particulier, les échanges entre ledit premier système (resp. second système) et lesdits premier et au moins second serveurs (300, 500, 700-800) sont chiffrés au moyen de clés de chiffrage publique/privée du premier 10 système (resp. second système). De préférence, le procédé est appliqué au partage d'un dossier médical anonyme stocké sur le premier serveur, auquel le second système attribué au client/patient peut accéder en bénéficiant de ressources génériques et personnalisées préparés 15 par un thérapeute. De préférence, le procédé comporte en outre un serveur de collecte et d'information statistiques destiné à suivre les accès audit premier serveur ainsi que les téléchargement desdites ressources génériques et personnelles dans le but de 20 produire une information statistique, notamment sur les diagnostiques, les traitement et l'utilisation des ressources génériques et personnalisées. L'invention réalise également un procédé d'accès et partage d'un dossier médical personnalisé géré par un prestataire de service pour le bénéfice d'un 25 patient, ledit dossier comportant des données médicales et des données nominatives hautement confidentielles, au sein d'une architecture comportant: - au moins un serveur comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec un identifiant anonyme 30 (IDA) et comportant également des pièces jointes et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA); l'accès audit serveur depuis un système détenu par un praticien résultant des étapes suivantes: - 8 - - détection d'un support attribué au patient comportant des éléments d'identification (non nominatif) et des moyens de cryptage/décryptage; - lecture et décryptage de l'identifiant anonyme (IDA) ; - lancement d'une connexion audit serveur ; - test de l'identifiant (IDA) anonyme de manière à vérifier si celui-ci correspond à un dossier médical anonyme stocké dans ladite base; - vérification de l'identité du praticien; - affichage d'un dossier médical anonyme sous une première interface à droits limités (URGENCE) de manière à mettre à disposition du praticien des 10 informations médicales critiques concernant le patient même lorsque le patient est inconscient. Dans un mode de réalisation particulier, le support pourra être une carte à puce, une clé USB voir même un terminal mobile tel qu'un téléphone intelligent 15 (smartphone dans la littérature anglo-saxonne). Dans un mode de réalisation particulier, la vérification du praticien comporte un test portant sur la carte professionnelle de santé (CPS) présentée par ce dernier. 20 De préférence, les données médicales anonymes transmises par ledit serveur provoque l'affichage du dossier médical anonyme en relation avec des interfaces distinctes pour les professionnels médicaux et le patient lui-même, les interfaces comportant des droits d'accès différents. 25 Dans un mode de réalisation particulier, l'accès au DMA depuis le domicile du patient comporte un test de mot de passe pour s'assurer l'identité du patient et lui permettre, en toute conscience, d'étendre les droits d'accès pour un praticien déjà intervenu sur son dossier. 30 Dans un mode de réalisation, le patient dispose de sa propre interface (PATIENT) comportant un accès à des ressources générales et personnelles spécifiquement crées par les praticiens ayant oeuvré sur son dossier. Plus spécifiquement, l'interface PATIENT comporte un moteur de recherche exploitant les données du Dossier Médical Anonymes stockées sur ledit serveur. - 9 - Dans un mode de réalisation particulier, le procédé d'accès au dossier médical anonyme comporte un test de localisation permettant de déterminer si le territoire sur lequel le patient consulte est un territoire exposé ou sécurisé, les données de mise à jour du DMA étant exclusivement stockées sur la carte patient dans le cas d'un territoire exposé. Plus spécifiquement, une phase de synchronisation peut être mise en oeuvre dès lors que le patient revient sur un territoire présumé sécurisé afin de mettre à jour les données médicales du DMA.

Dans un mode de réalisation, pour effectuer le test de localisation l'on vient tester l'adresse IP utilisé pour accéder au dossier ou, alternativement, le procédé recourt à une géolocalisation au moyen d'un récepteur GPS (Global Positionning System).

Description des dessins D'autres caractéristiques, but et avantages de l'invention apparaîtront à la lecture de la description et des dessins ci-après, donnés uniquement à titre d'exemples non limitatifs. Sur les dessins annexés : La figure 1 illustre un premier mode de réalisation d'une architecture générale permettant la mise en oeuvre du procédé de l'invention. La figure 2 illustre un second mode de réalisation d'une architecture pouvant servir à la mise en oeuvre du procédé selon l'invention. La figure 3 illustre un mode de réalisation d'un procédé de création et d'enregistrement d'une Ressource générique au sein, respectivement des serveurs 700 et 800 des figures 1 et 2.

La figure 4 illustre un mode de réalisation du procédé de consultation et d'accès au Dossier Médical Nominatif depuis l'ordinateur du praticien. - 10 - La figure 5 illustre un mode de réalisation de la création des identifiants de connexion du patient pour la consultation en ligne du DMA. La figure 6 illustre un mode de réalisation du procédé d'accès en ligne au DMA à partir de l'identifiant de connexion crée par le praticien. La figure 7 illustre un mode de réalisation d'un procédé de mise à jour de la table PLT en cas de succession de thérapeute n'appartenant pas à un même groupement professionnel.

La figure 8 illustre un mode de réalisation d'un assistant d'aide au diagnostique utilisé lors de l'étape 408 de mise à jour du Dossier Médical Nominatif La figure 9 illustre la consultation d'un praticien n°3 dans un Environnement sécurisé (CPS ) (1ère visite) La figure 10 illustre un procédé mis en oeuvre permettant l'accès au praticien n°3 après la première visite.

La figure 11a est un mode de réalisation d'un procédé mis en oeuvre lorsque le patient vient consulter un praticien n°4 situé dans un pays exposé à un risque de fraude La figure llb est un mode de réalisation d'un procédé de synchronisation de 25 la carte PATIENT avec les serveurs 200-500 lorsque son titulaire revient en zone sécurisée. La figure 12 illustre un mode de réalisation d'une carte patient sous la forme d'une carte à puce dotée d'un connecteur USB. 30 Description d'un mode de réalisation préféré L'on décrit à présent un mode de réalisation de l'invention visant à mettre en place un dossier médical informatisé à destination des patients et des divers thérapeutes, praticiens et membres des professions médicales ou non susceptibles d'intervenir sur la constitution et le développement de leurs dossiers médicaux informatisés.

Si l'on songe bien naturellement à l'intervention des médecins, kinésithérapeutes, infirmiers, podologues, psychologues, dentistes, radiologues, biologistes, diététiciens.... d'autres membres de professions médicales et paramédicales pourront être envisagés pour venir enrichir, en tant que de besoin, le dossier médical informatisé d'un patient.

L'invention peut être utilisée quelque soit le mode d'exercice des professionnels considérés. Bien évidemment, l'on considérera en premier lieu les médecins libéraux et tous les membres des professions exerçant dans un cadre dit "libéral". Mais cela n'épuise nullement les possibilités de la présente invention qui pourra s'appliquer également à tous les professionnels exerçant dans un cadre de salariat. Les salariés d'organisations complexes (cliniques, associations professionnels etc...) pourront utiliser avantageusement dans l'exercice de leurs fonction les outils et procédés décrits ci-après.

Afin de bien appréhender les multiples variantes et possibilités offertes par la présente invention, l'exposé abordera successivement: I. Eléments d'architecture et définitions générales; Il. Procédures mises en oeuvre pour l'obtention des nouvelles fonctionnalités 30 et notamment la portabilité du dossier médical anonyme (DMA) - 12 - I. Eléments d'architecture et définitions générales a) Eléments d'architecture Dans un souci de concision et de simplicité, on s'appuiera sur l'architecture présentée et décrite dans la demande de brevet 08368018.1 afin de décrire un mode de réalisation, lequel sera toutefois nullement limitatif de la présente invention.

Comme cela est illustré dans la figure 1, on considère une pluralité de praticiens, exerçant de manière individuelle ou, comme cela est décrit dans la demande de brevet précitée, au sein d'un même groupement de professionnels et disposant d'un système informatique quelconque. En considérant plus spécifiquement le cas d'un groupement de n professionnels ou thérapeutes, on a représenté dans la figure un ensemble de n ordinateurs 1-1 à 1-n (on suppose que le groupement considéré comporte n systèmes), dotés chacun d'un processeur 6, de moyens de stockage dont une RAM 7 dans laquelle se trouve chargé un système d'exploitation 11 (tel que WINDOWS (marque déposée) ou LINUX par exemple), un logiciel applicatif 12, un module d'interface utilisateur 13 ainsi qu'un agent DMN 14 destiné à mettre en oeuvre les procédures décrites ci-après. Le système 1-1 est doté en outre de moyens d'entrée/sortie conventionnels permettant la connexion à un écran 2, un clavier 3, un dispositif de pointage tel qu'une souris 4, ainsi que des ports spécifiques pour la connexion des périphériques adéquats, par exemple un périphérique série de type USB (Universel Serial Bus) ou IEEEI394 (firewire)... Chaque système 1-1 peut également comporter des moyens de stockage externe, comme ce que l'on voit avec une clé USB 20 qui pourra, dans un mode de réalisation, comporter un fichier 21 stockant une table PLT ainsi que des clés de cryptage/décryptage 22 décrites plus loin.

Chaque système 1-1 à 1-n dispose en outre de moyens de communication, notamment avec le réseau Internet 100 de manière à pouvoir accéder, par exemple via le protocole http (Hyper Text Transfer Protocol) ou tout protocole équivalent, à des serveurs extérieurs, et en particulier à un serveur Administrateur 200, un - 13 - serveur dit DMA 300 pour le stockage de données médicales anonymes, un serveur TSB 400 pour le stockage de données nominatives temporaires, un serveur GED 500 pour la Gestion de documents, un serveur 600 pour la collecte et l'analyse de données statistiques ainsi qu'un serveur RG&P 700 destiné au stockage des Ressources Génériques et Personnalisées qui seront mises à disposition des patients. Il est à noter que les serveurs 200 et 600 pourront également communiquer avec le serveur DMA 300 par des moyens de communications de type TCP/IP suivant une architecture de communication client-serveur bien connue d'un homme du métier qu'il n'est pas besoin de développer d'avantage.

Enfin, pour achever l'exposé de la figure 1, il convient d'observer que le patient dispose lui-également d'un ordinateur 1000, tel qu'un ordinateur portable mais plus généralement tout dispositif de traitement de l'information, doté de moyens de communication tel qu'un téléphone, un terminal de poche (« smartphone » suivant la littérature anglo-saxonne) , un PDA (Personal Document Assistant), une tablette graphique communicante etc..., permettant au patient d'accéder, en toute confidentialité via les procédures qui seront décrites ci-après, à son propre dossier médical personnalisé. L'ordinateur 1000 pourra être équipé des mêmes dispositifs que ceux présent dans le cabinet du praticien, et notamment un port USB, un disque de stockage externe, voire un lecteur de carte à puce 30 pour la lecture d'une carte personnelle de santé ( par exemple la carte dite VITALE en France). Dans un mode de réalisation particulier, le port USB de l'ordinateur 1000 sert 25 à la connexion d'une carte PATIENT comportant des moyens d'identification, de cryptage et de stockage d'un programme exécutable pour la mise en oeuvre des procédures décrites ci-après. D'une manière générale, il convient de noter que, suivant l'enseignement de 30 la demande de brevet 08368018.1 précitée, les données stockées dans les serveurs 300, 400 et 500 sont cryptées au moyen des clés de cryptage des praticiens qui sont intervenus pour créer les fichiers. - 14 - Par dérogation à l'enseignement de la demande précitée, l'on peut considérer à présent que les données stockées sur les serveurs ne sont pas systématiquement cryptées, mais que leur cryptage intervient uniquement lors des échanges entre les serveurs et les ordinateurs 1-1 à 1-n ou même des ordinateurs du patient et des autres thérapeutes susceptibles d'intervenir sur le dossier. La figure 1 illustre un premier mode de réalisation comportant deux serveurs distincts, respectivement 500 et 700 pour le stockage des documents électroniques propres aux dossiers médicaux des patients (serveur GED 500) et le stockage des Ressources Génériques et Personnalisées (serveur RG&P 700) dont l'accès sera ultérieurement permis à ces mêmes patients suivant les procédures plus loin. Bien évidemment, il ne s'agit là que d'un exemple et l'on pourra, dans un second mode de réalisation, tel qu'illustré en figure 2, stocker l'intégralité des documents électroniques et ressources électroniques proposées aux patients dans un seul et unique serveur de Gestion Electronique des Documents et de Ressources (GED&R) 800. La figure 2 illustre également le cas d'un unique praticien (un seul ordinateur 1-1 étant illustré) exerçant seul dans le secret de son cabinet, les autres références numériques inchangées par rapport à la figure 1 renvoyant aux mêmes éléments. Quel que soit le mode de réalisation considéré, l'on notera que, d'une manière générale, les ordinateurs des praticiens pourront être chargés avec un agent DMN, tel que décrit dans la demande de brevet précitée, et incorporée dans la présente demande par simple référence, de manière à mettre en oeuvre les procédures prévues dans cette demande précitée pour notamment : créer la première table PLT stockée sur l'ordinateur d'un praticien ainsi que la clé de cryptage associée à ce même praticien ; créer, le cas échéant, de nouvelles tables PLT secondaires à partir d'une table PLT primaire de manière à permettre à d'autre praticiens (N praticiens étant considérés dans l'exemple de la figure 1) appartenant au même groupe de professionnels que le praticien titulaire de la première table PLT de partager les informations stockées sur les serveurs ; - 15 - mettre à jour les tables PLT stockées pour venir ajouter ou supprimer des patients ; et de manière générale mettre en oeuvre les divers serveurs précités de manière a permettre un accès personnalisé au Dossier Médical du patient tout en préservant la confidentialité des informations nominatives sensibles à ce dernier. Cet agent DMN pourra prendre des formes multiples. Il pourra s'agit d'un code exécutable signé stocké dans une mémoire externe, d'un programme stocké directement sur l'ordinateur 1-1 du praticien, voire même d'un programme de type Applet Java exécuté au sein d'un logiciel navigateur comme « Internet Explorer » de l'éditeur américain MICROSOFT Corp. (marque déposée). Outre les procédures rappelées précédemment, l'agent DMN sera conçu pour intégrer en outre les nouvelles fonctionnalités qui seront décrites ci-après. b) Définitions générales Dans un souci de cohérence avec la demande de brevet précitée, l'on reprendra ci-après, brièvement les définitions suivantes : 1. Données Médicales Nominatives (DMN) : l'on vise sous cette appellation le dossier complet du patient, comportant aussi bien des informations administratives et surtout nominatives (nom, age, sexe, particularités, adresse, téléphone...) que des informations médicales ( pathologies, éléments de diagnostique, traitements, etc...). Par extension de langage, on comprendra également sous l'appellation DMN le Dossier Médical Nominatif à savoir la structure de données spécifiquement crées à un instant donné et intégrant les données médicales nominatives. Comme cela est enseigné dans la demande de brevet précitée, afin de garantir un haut niveau de sécurité, les données DMN ne sont jamais stockées sur les serveurs. 200-800. Dans le cadre de la demande de brevet précitée, ces données sont générées, - 16 - uniquement sur demande du praticien, directement en local sur son système 1-1 au moyen du dispositif de stockage 20. 2. Données Médicales Anonymes (DMA - 300). L'on vise, dans cette catégorie, des informations uniquement médicales à l'exclusion de toute information à caractère nominatif, tel que le nom, l'adresse, les coordonnées téléphoniques etc... Par extension de langage, on comprendra également ce vocable DMA comme désignant le Dossier Médical Anonyme, à savoir la structure de données comportant les informations du même nom. Ce dossier DMA comportant les données médicales anonymes, moins sensibles que les données complètes DMN, est stocké sur le serveur DMA 300 indexé par un identifiant non nominatif, désigné par IDA. Il est à noter que les informations stockées sur le serveur 300 notamment sont d'une grande utilité pour les pouvoirs publics et les organisations représentatives des professionnels concernés car elle apportent des données statistiques d'un grand intérêt pour la mise en oeuvre d'une Politique de Santé Publique. D'une manière générale, comme on va le voir plus loin, les téléchargements des informations stockées sur les serveurs DMA 300 sont protégés par des clés de cryptage connues des seuls praticiens/patients de manière à préserver la confidentialité des échanges entre les serveurs et les praticiens (mais également, comme on le verra plus loin, les patients). 3. Base de Stockage Temporaire (TSB - 400). Cette base comporte des informations permettant une gestion des mises jour des dispositifs de stockage 20 utilisées au sein du groupement professionnel considéré, comme cela est décrit 25 plus spécifiquement dans la demande de brevet précitée. 4. Base de stockage de documents (GED - 500) : Cette base contient des fichiers correspondant à divers documents électroniques, tels que des documents PDF ou image JPG propres au dossier médical du patient. 30 5. Table de liens (PLT): Cette table sert de pivot pour les échanges entre les différents serveurs comme cela apparaîtra plus loin. En effet, se trouve regroupée dans cette table, et uniquement dans celle-ci, la correspondance des informations nominatives avec l'index IDA utilisé notamment par le serveur DMA 300. - 17 - L'on rappelle que les données nominatives - hautement sensibles - et les données purement médicales (pathologies - diagnostique - traitements) - qui sont simplement sensibles - font l'objet d'un traitement différentié puisque les premières restent dans le cabinet du praticien tandis que les secondes sont stockées sur le serveur DMA 300. Suivant un mode de réalisation de la présente invention, l'on peut venir rajouter les éléments de définition qui suivent : 6. Serveur de collecte & d'analyse statistique 600 Suivant un mode de réalisation, l'architecture peut comporter en outre un serveur 600 servant à collecter les données anonymes stockées dans le serveur DNM 300 et les requêtes échangées entre lui et les autres serveurs dans le but de constituer une base de données, parfaitement anonyme, mais pouvant servir à des fins d'analyse statistique pour la mise en oeuvre des politiques de santé publiques. 7. Base de Ressources Génériques et Individuelles personnalisées (RG&P 700) Cette base sert au stockage de Ressources Génériques et Personnalisées qui pourront être créées par les thérapeutes mais également les organismes professionnels de thérapeutiques, et constituer un réservoir de documents électroniques et fichiers multimédias (audio-vidéo-texte) spécialement mis à disposition au profit du patient suivant les procédures qui seront décrites ci-après, et notamment une interface dite PATIENT spécifiquement dédiée au titulaire du DMA lorsqu'il accède à ce dernier depuis son domicile. Cette base 700 ou 800 est destinée à permettre le stockage de deux types de ressources : des Ressources Génériques ou Ressources Modèles; des Ressources Personnalisées, à savoir individuelles car propres à un patient donné. Le premier type de ressources sont des ressources génériques ayant vocation à être utilisées à de multiples reprises, pour un grand nombre de patients, et qui - 18 - pourront servir de ressources modèles pour prolonger de multiples consultations données par les praticiens. En particulier, de telles ressources pourront être rassemblées au sein de cliniques, dans lesquelles exercent de multiples professionnels et thérapeutes et qui pourront trouver grand intérêt à venir puiser 5 dans ce réservoir de ressources génériques. Plus généralement, ces ressources pourront émaner d'organismes et d'institutions de formation spécialisés et mêmes des Universités et Facultés de Médecine. L'invention vise par conséquent à développer un vivier gigantesque de ressources professionnelles, soigneusement sélectionnées et conçues pour apporter au bénéfice des patients un complément 10 d'information à haute valeur ajoutée. Par ailleurs, le second type de ressources se compose de ressources personnalisées ou individuelles, générées en tant que de besoin, au fil d'une consultation donnée, et permettant au praticien de venir ajouter aux ressources 15 génériques qu'il envisage d'offrir à son patient dans le but de prolonger la consultation qui se déroule en son cabinet. L'on songera bien évidemment à un fichier vidéo dans lequel le thérapeute, pendant quelques instants, résume l'essentiel de la consultation faite à son patient, en l'éclairant sur les éléments de diagnostic, des indications thérapeutiques etc..., mais également à tout document 20 spécifiquement préparé par le praticien à l'attention de son patient. Ces ressources se présentent le plus souvent sous la forme de fichiers informatiques stockés sur les serveurs 700 (resp. 800) de la figure 1 (resp. figure 2), et sont utilement classifiées suivant une pathologie considérée ou un élément du 25 corps humain à traiter. 8. CARTE PATIENT. La carte PATIENT est une carte individuelle délivrée par l'Administrateur du réseau au patient qui en fait la demande, ou optionnellement remise au Patient lors d'une première consultation chez un Thérapeute 30 régulièrement enregistré auprès de l'Administrateur du réseau. Cette carte patient consiste en un support matériel sur lequel est stocké un programme exécutable, de la mémoire, et des éléments d'identification et de cryptage (clés privées/publiques) requis pour l'accès aux serveurs décrits précédemment. - 19 - L'accès aux programmes et aux données stockées sur la carte peut être effectué au moyen d'un lecteur de carte 30 comme cela est illustré dans les figures 1 et 2.

Dans un mode de réalisation spécifique, illustré dans la figure 12, la carte PATIENT est une carte à puce 90 (dite SMARTCARD), ayant un facteur de forme format ID-1 de dimension 85,60 x 53,98 mm, et comportant une puce 93 incorporée suivant la normalisation IS07816 intégrant des données d'identification sécurisées. Par ailleurs la carte PATIENT comporte un port USB 92 pour la communication série avec l'ordinateur 1000, et des moyens de stockage 95 destinés au stockage d'un code d'exécutable pour la mise en oeuvre des fonctionnalités décrites ci-après, et notamment les accès sécurisés aux divers serveurs 300-400 et 500 de l'architecture de la figure 1. D'une manière générale, les circuits électroniques actifs de la carte 90 pourront être disposés au sein d'une surface 94 intégrant les différents composants électroniques, dont la puce 93 noyés dans le matériau constitutif de la carte. Un capuchon 91 situé dans un angle de la carte 90 permet de recouvrir le port USB lorsque celui-ci n'est pas utilisé. 9. INTERFACES d'ACCES au DMA Comme on le verra en détail plus loin avec l'exposé détaillé des procédures mises en oeuvre entre les différents ordinateurs 1-1 (resp. 1-n), 1000 et les serveurs 200800, la présente invention permet la portabilité des données composant le dossier médical anonyme DMA afin d'en permettre l'accès non seulement au patient, à son généraliste référent, mais également à toute une série de spécialistes, de thérapeutes et praticiens paramédicaux et même, dans une certaine mesure, à des professionnels non thérapeutes comme certains "coaches" de sportifs de haut niveau pour lesquels il y a grand intérêt à introduire, au sein du DMA, la préparation physique et les entraînements.

Toutes ces informations ont bien naturellement vocation à être collectées au sein du Dossier Médical Anonyme, de manière à en permettre la dématérialisation et à le rendre accessible, en tous lieux, pour le plus grand intérêt de son titulaire. - 20 - En particulier, chaque intervenant qui est susceptible d'accéder au DMA dispose d'une interface dédiée, permettant des accès à certains couches ou strates du dossier, à certaines catégories d'information à l'exclusion d'autres en fonction du profil de l'intervenant.

Dans un mode de réalisation spécifique, l'on prévoit en particulier cinq interfaces qui seront décrites ci-après à titre d'exemples (et qui pourront bien entendu être complétées et/ou déclinées de manière plus spécifiques).

Une première interface dite URGENCE (ou "Safety Patient') permet l'accès à un premier niveau de données du DMA correspondant à des données critiques susceptibles de servir en cas d'accident, notamment lorsque le patient est dans un état d'inconscience. La nature du groupe sanguin, des indications relatives aux allergies etc... appartiennent clairement à ce premier niveau de données et seront accessibles à partir de la carte PATIENT, quand bien même le patient inconscient n'est pas en mesure d'entrer son mot de passer pour l'utilisation de la carte. Il est à noter que, dans un mode de réalisation particulier, les données de l'interface URGENCE pourront être même sauvegardées sur la carte ou la clé USB PATIENT (notamment dans la zone de stockage 95) remise par l'Administrateur du réseau 200 au titulaire du DMA. Une seconde interface PRATICIEN est celle spécifiquement réservée aux praticiens auprès desquels vient consulter le patient. Cette interface permet plus largement un accès aux données médicales anonymes en relation avec le champ d'expertise du praticien donné tout en permettant une gestion de droits d'accès. Dans un mode de réalisation particulier, on pourra plus particulièrement décliner l'interface MEDECIN en fonction de la qualité du praticien (GENERALISTE, SPECIALISTE), de son domaine de spécialité, voire de la nature (habituelle/occasionnelle), de la consultation du patient. Une interface spécifique à une spécialité donnée permettra, en particulier, l'affichage sur l'ordinateur du spécialiste d'outils susceptibles de venir générer des ressources générales et individuelles propres à la spécialité donnée, comme cela sera illustré dans les figures 3 et 4. - 21 - Dans un mode de réalisation particulier, l'interface MEDECIN est associée à un certain nombre de droits d'accès régissant les accès à différentes strates de données, au sein des données DMA stockées sur les serveurs.

Plus spécifiquement, l'on pourra envisager que le patient puisse modifier au cours de son existence, et en recourant à sa propre interface PATIENT (qui sera décrite plus loin) l'étendue des droits concédées aux différents praticiens gérant sa santé. Une troisième interface dite PARAMEDICAL permet de rendre certaines couches 10 du Dossier Médical Anonyme accessibles à des professions paramédicales, dans le respect du secret professionnel. Une quatrième interface dite NON MEDICAL permet de rendre certaines couches du dossier Médical Anonyme accessibles à certains professionnels n'appartenant 15 pas spécifiquement au milieu médical, notamment les "coachs" sportifs et certains prestataires (nutritionnistes .... ) ayant à intervenir sur le DMA, notamment lorsque le patient est un sportif de haut niveau. Bien évidemment, l'accès, le cas échéant, à certaines données du DMA se fait uniquement dans le pur respect du secret professionnel et, notamment, avec l'accord du patient. 20 Enfin, un cinquième interface est l'interface PATIENT qui est réservée spécifiquement à l'usager, au titulaire du dossier médical anonyme. Cette interface est particulièrement importante car elle a fonction à remplir deux 25 rôles distincts: - elle tend en premier lieu à faciliter la lecture des données complexes composant le DMA et constituer pour le patient une source d'information significative relative à ses pathologies, ses traitements etc...; 30 - elle permet en second lieu la gestion des droits d'accès éventuels pour les différents praticiens intervenant sur sa santé. Parce que l'information médicale est d'une grande complexité, l'invention assure une meilleure lisibilité de cette information et des données générées lors des - 22 - diverses consultations, analyses, observations, éléments de diagnostique et de traitement etc... que le patient est susceptible d'avoir à connaître. Pour accroître cette lisibilité, suivant un mode de réalisation de l'invention, l'interface PATIENT est dotée d'un moteur de recherche spécifique au domaine médical, à l'instar des moteurs de recherches existant dans le milieu commercial (le moteur GOOGLE par exemple bien connu sur le réseau Internet), permettant de venir apporter au patient une source d'informations complémentaires.

De cette manière, le patient peut venir saisir des mots clés dans le moteur de recherche de l'interface PATIENT de manière à lancer une recherche visant à identifier des ressources disponibles sur le réseau Internet (accessibles via le lien Uniform Ressources Locators ou U.R.L.) susceptibles de lui apporter des informations complémentaires pour la compréhension de ses pathologies et utiles pour en gérer le traitement. Dans un mode de réalisation particulier, le moteur de recherche disponible au sein de l'interface PATIENT dispose d'un accès aux données non nominatives du DMA pour orienter une recherche contextuelle qui ne sera que plus pertinente eu égard aux observations, aux éléments de diagnostique, aux traitements spécifiques du titulaire du DMA. Ce lien direct existant entre le moteur de recherche de l'interface PATIENT et les données codifiées présentes dans le DMA rendront les recherches significativement plus pertinentes et, par conséquent, plus utiles au patient. Grâce à l'invention, et aux classifications particulièrement fines (notamment celles basées sur la classification internationale CIM-10) utilisées au sein du DMA, le moteur de recherche peut effectuer une recherche complémentaire de grande qualité dans le but de venir compléter l'information "brute" présente dans son dossier médical anonyme, et résultant des observations, des analyses et des éléments de diagnostique générés par la chaîne de praticiens et thérapeutiques qui ont pu intervenir sur le dossier. - 23 - Par ailleurs, le moteur de recherche pourra également, comme tout moteur de recherche conventionnel, tirer avantage de l'historique des requêtes présentées par le patient ou des liens déjà consultés par lui pour affiner une recherche et apporter une information complémentaire toujours plus riche et pertinente.

Comme on le voit, l'invention permet, par la qualité des informations qui sont mises à sa disposition, à gérer de manière plus efficace les pathologies dont il souffre, la connaissance et le suivi de ces dernières, et plus simplement le fait de "vivre" avec ses maladies.

Par ailleurs, et ceci constitue un autre apport significatif et particulièrement avantageux de la présente invention, l'interface PATIENT permet de mettre à disposition du titulaire du DMA, comme on le constatera en relation avec la description des figures 3 et 4, une information d'un intérêt majeur pour lui puisqu'il s'agira de ressources générales et personnelles (stockées dans le serveur RG&P 700 de la figure 1) spécifiquement sélectionnées et/ou générées par ses propres thérapeutes. Au travers des diverses interfaces et droits d'accès qui sont aménagées, l'invention permet le développement d'un dossier médical riche de multiples informations collectées par ou pour un patient durant son existence, parfaitement anonyme puisque ne comportant aucune donnée nominative le concernant, tout en offrant une grande portabilité tant pour le patient que pour les thérapeutiques qui seront amenés à intervenir et à travailler sur le dossier.

Malgré la portabilité remarquable de ce dossier DMA, l'on va constater, avec l'exposé des procédures mises en oeuvre qui va suivre, que les données contenues dans ce dossier demeurent particulièrement bien protégées.30 - 24 - Il. Exposé des procédures mises en oeuvre pour la portabilité du Dossier Médical informatisé L'on va décrire plus en avant des modes de réalisation de procédures permettant d'assurer la portabilité du Dossier Médical Anonyme. Il ne s'agit évidemment que d'exemples de modes de réalisation n'épuisant nullement toutes les possibilités de l'invention. A cet égard, l'on va constater la grande souplesse et flexibilité du dossier médical anonyme en exposant successivement les procédures suivantes: 1. La consultation par le patient d'un praticien habituel (désigné n°1) 2. La consultation du DMA au domicile du patient 3) la consultation par le patient d'un nouveau praticien n°2, régulièrement enregistré auprès du service administrateur 200 . 4) la consultation d'un nouveau praticien n°3 en environnement sécurisé 5). la consultation d'un nouveau praticien n°4 en environnement exposé 1. La consultation par le patient d'un praticien habituel (désigné n°1) Le dossier médical anonyme a bien naturellement vocation à servir le praticien généraliste habituel (désigné communément par le médecin référent) que vient 25 consulter en premier lieu le patient pour toute affection le concernant. Bien que s'agissant d'un praticien habituel, il y a un grand intérêt à venir constituer et développer un dossier médical anonyme DMA dématérialisé (sur les différents serveurs 200-800) car le patient peut être amené à changer de praticien habituel, et 30 le stockage du dossier DMA sur des serveurs professionnels est une garantie de pérennité pour les informations qui y sont stockées. En outre, en accédant au dossier DMA via son interface PRATICIEN, le thérapeute dispose, suivant un aspect de l'invention, d'une interface dédiée dotée de droits - 25 - d'accès, et comportant notamment des outils spécifiques susceptible de permettre la sélection/création de ressources génériques et/ou personnalisées à l'attention du patient.

La figure 3 illustre un procédé de création et de stockage d'une ressource générique créée soit par un praticien donné, soit directement au sein du serveur administrateur 200 en vue de son stockage dans la bibliothèque des ressources génériques ou modèles (au sein des serveurs 700 ou 800).

Le procédé démarre par une étape 301. Puis, dans une étape 302, l'administrateur ou, selon le cas, le praticien introduit son identifiant (login), lequel fait l'objet d'un test. Si le test échoue, le procédé s'achève avec l'étape 309. Au contraire, si le test de l'identifiant (login) s'avère positif, alors le procédé se poursuit avec une étape 303 qui est le téléchargement d'une liste de pathologies et/ou de parties du corps (localisations). A cet effet, l'on pourra utiliser tout classement approprié des pathologies et/ou localisation suivant une structure arborescente. Les pathologies pourront être classées en trois grands chapitres : blessures, maladies et accidents, sous la forme d'une arborescence permettant de retrouver 20 aisément les pathologies recherchées : Blessures : classement par localisation (body)= partie du corps affectée par la blessure ; Maladie : classement par spécialité (infectieux, digestif, ORL, dermato ...) 25 Accident : classement par partie du corps (body), mais regroupement lors d'un accident de plusieurs pathologies ou blessures L'on pourra également développer la classification utilisée en recourant à d'autres catégories, tels que par exemple : « renseignements sur les risques et 30 inconvénients qu'une pathologie peut présenter » ; « renseignements sur la surveillance du traitement » ; « conseils sur l'observation » ; « explications d'imagerie » ; « conseils pre et post chirurgicaux » ; « exercices de rééducations » « conseils de rééducation » ; « évaluations et conseils psychologiques » etc... - 26 - Puis, dans une étape 305, le procédé effectue la création de la Ressource Générique, par la génération d'un fichier, comportant en général un document multimédia (audio/vidéo) circonstancié associé à la pathologie et/ou la localisation.

En particulier, l'on pourra considérer l'enregistrement de tout fichier vocal - généré à partir du système informatique du praticien - ou de tout fichier vidéo créée à partir de la combinaison du microphone intégré à l'ordinateur et d'une caméra connectée au système, et spécifiquement la webcam , suivant une terminologie anglo-saxonne.

Le procédé poursuit avec une étape 306 qui est la compression éventuelle (par tout algorithme de compression tel que les algorithmes bien connus MPEG-1, MPEG-2 ou MPEG-4 mis aux point par le Movie Picture Expert Group) et le cryptage du fichier électronique pour en assurer la sécurité pendant la transmission jusqu'au serveur 700 ou 800. En ce qui concerne le cryptage, l'on peut envisager tout algorithme de chiffrement/déchiffrement symétrique ou non... En général, l'on utilise ci-après un algorithme de chiffrage/déchiffrage asymétrique de type RSA basé sur l'emploi de clés publique/privé Dans la suite, pour simplifier l'exposé, l'on parlera indistinctement de Ressources ou de Fichiers pour désigner le fichier comprimé. Puis, dans une étape 307, le procédé procède à l'enregistrement dans la base DMA 300 de l'identifiant (id ) de la Ressource nouvellement créée, laquelle Ressource est 25 finalement stockée, dans une étape 308, au sein du serveur 700 (de la figure 1) ou 800 (de la figure 2). En réitérant le procédé de la figure 3, l'on vient ainsi constituer une base de données ou bibliothèque de ressources génériques stockées dans les serveurs 700- 30 800 et dont les identifiants seront stockés dans les serveurs DMA 300. Les identifiants serviront, à l'instar de l'identifiant Uniform Resources Locator (URL) utilisé dans le protocole Hyper Text Transfer Protocol HTTP utilisé dans la navigation sur Internet. Ces ressources seront également disponibles depuis le moteur de recherche de l'interface PATIENT accessible au patient du praticien. - 27 - Il est à noter également que l'ensemble des ressources génériques, qu'elles soient crées par les praticiens, l'administrateur ou un tiers (une Faculté de médecine par exemple) ont vocation à servir d'assise à des droits de propriété intellectuelle et que la reproduction de ces oeuvres, via les procédés décrits ci-après, feront l'objet de conventions adéquates entre les différents titulaires et les organisateurs et administrateurs du système. De tels aspects débordent le cadre simplement technique de la présente demande de brevet et ne seront pas conséquent pas développés plus avant. On se contentera de noter que l'étape 302 de validation de l'identifiant (login) servira à des fins de traçabilité pour conserver l'identifiant du créateur de la Ressource pour permettre le suivi de la politique contractuelle et , le cas échéant, la facturation. L'on va à présent décrire plus précisément la création d'une Ressource Personnalisée, laquelle interviendra le plus souvent durant le fil d'une consultation en cours. A cet égard, la figure 4 illustre le procédé mis en oeuvre par l'agent DNM de l'ordinateur 1-1 à 1-n du praticien. Le procédé démarre par une étape 401. Puis dans une étape 402, le procédé effectue un test d'identification (login) du praticien, lequel, s'il échoue, conduit à l'achèvement du procédé par une étape 413. Si le test de l'identifiant (login) est positif, alors le procédé se poursuit avec une étape 403 au cours de laquelle une requête est transmise de l'ordinateur 1-1 du praticien vers le serveur DMA 300 pour solliciter la liste des identifiants IDA qui lui correspondent. 30 Le serveur DMA 300 répond en transmettant, de manière cryptée au moyen de la clé publique du praticien la liste des IDA lui correspondant et l'agent DNM de l'ordinateur 1-1 procède ensuite à une étape 404 au cours de laquelle la liste des IDA est décryptée (au moyen des fichiers de décryptage présents, par exemple, sur 25 -28- la clé USB20) ; comparée et complétée avec les éléments nominatifs présentés sur la table PLT localisée sur la clé USB 20, de manière à générer la liste des patients de ce praticien.

Dans une étape 405, un patient particulier (qui correspondra à celui dont la consultation est en cours) est sélectionné ou, à défaut, le procédé s'achève avec l'étape 413. Une fois un patient sélectionné, le procédé poursuit avec une étape 406 au cours de laquelle une requête est préparée et transmise à l'agent DMA 300 pour accéder au Dossier Médical Anonyme (DMA) de ce même patient. A cet égard, comme cela est décrit dans la demande de brevet précitée, la requête est transmise sous une forme cryptée au serveur 300 qui retourne le dossier DMA lui-même cryptée au moyen de la clé publique du praticien, lequel pourra ensuite la déchiffrée grâce à sa clé privée. Puis, dans une étape 407, l'agent DNM construit le Dossier Médical Nominatif en complétant le DMA téléchargé avec les informations nominatives présentes au sein de la table PLT présente sur la clé USB ou sur son système 1-1. En cas de besoin, si le praticien ressent le besoin de consulter une pièce jointe au dossier, l'agent procédera au téléchargement de celle-ci depuis le serveur GED 500 au moyen de l'identifiant IDA. Puis, dans une étape 408, le praticien déroule sa consultation et durant cette consultation comportant l'examen clinique, l'observation, l'interrogation etc... Comme cela a été déjà décrit précédemment, dans un mode de réalisation particulier, le praticien dispose de son interface PRATICIEN comportant un véritable « assistant » via une interface graphique sur l'ordinateur 1-1 illustrée en figure 8, lequel permet de diagnostiquer une pathologie particulière et de conduire une prescription circonstanciée. L'assistant utilise à cet effet un ensemble de menus déroulants et guides basée sur la codification issue de la classification ICD10 (CIM10) attribuant un code à chacune des pathologies de façon a permettre un calcul statistique ainsi que des traductions multilinguistiques. - 29 - La consultation se déroulant ainsi de manière « assistée » par l'assistant de consultation de l'interface PRATICIEN, l'agent DNM procède à la mise à jour du dossier DNM, soit par l'ajout, la modification ou la suppression de données nominatives et/ou médicales, lesquelles viendront modifier de façon correspondante le Dossier Médical Anonyme qui sera stockée à nouveau sur le serveur DMA 300 voire même la table PLT. Si la pathologie est découverte et évoquée en premier lieu, l'agent DNM, sous le contrôle du praticien, procédera à l'enregistrement de la pathologie dans le dossier DMN, ce qui se répercutera sur sa version « anonyme » DMA stockée sur le serveur 300.

Successivement, ou concomitamment, l'agent DNM procède, durant une étape 409, au téléchargement depuis le serveur 300 d'une liste d'identifiants contextuels, à savoir des identifiants de ressources génériques associées à la pathologie et/ou la localisation, cryptée à nouveau au moyen de la clé publique du praticien et déchiffrée par ce dernier grâce à sa clé privée. L'agent DNM procède ensuite, lors d'une étape 410, à l'affichage en vue de leur sélection, de la liste des ressources génériques téléchargées. A cet effet, l'agent DNM dispose d'une Interface Graphique (ou GUI - Graphical User Interface) adaptée lui permettant de dérouler l'arborescence des classifications opérées lors de la constitution de la bibliothèque de ressources, afin de composer une liste de sélection de ressources génériques, judicieusement choisies en fonction des circonstances, et qui serviront à prolonger la consultation lorsque le patient aura pris congé de son médecin.

Clairement la réalisation d'une interface graphique permettant la mise en oeuvre de d'outils de navigations, les menus déroulants, les boites de sélection etc... est bien connue d'un homme du métier et ne sera pas développée plus avant.

Puis dans une étape 411, l'agent DNM procède à l'ajout de ressources individuelles, personnalisées. A cet effet, l'agent pourra prendre la commande des capteurs audio-vidéo de l'ordinateur 1-1, et notamment d'une caméra disponible (webcam), pour permettre la saisie d'un court message audio ou d'une courte vidéo permettant au praticien de résumer les points essentiels clés de la consultation. Cette - 30 - ressource spécifique conduit à la création d'un fichier audio-vidéo comprimé, crypté et qui sera stocké sur les serveurs de ressources 700-800. L'identifiant particulier de cette ressource spécifique sera stocké sur le DMA, lui-même stocké sur le serveur 300.

Alternativement, l'agent DNM pourra procéder à la génération de tout autre fichier multimédia voire même tout document électronique utile au patient, comme par exemple décrivant un exercice spécifique recommandé par le praticien. Puis, dans une étape 412, l'agent DNM procède à l'enregistrement définitif du lo Dossier médical nominatif, en mettant à jour, en tant que de besoin la PLT, mais surtout le Dossier Médical enrichi par la liste de sélection des identifiants de ressources (génériques et individuelles) associés à la pathologie/localisation considérée, et qui sera en définitive à nouveau stocké sur le serveur anonyme 300, et auxquelles le patient pourra accéder depuis son domicile via sa propre interface 15 PATIENT. Le procédé s'achève ensuite avec l'étape 413 qui pourra être la fin de la consultation au sein du cabinet du praticien. 20 Il est à noter que, suivant un mode de réalisation de l'invention, lors de la première consultation au sein du cabinet du praticien, le patient reçoit un accès personnalisé, non seulement à son dossier médical, mais également à une sélection particulière de Ressources Génériques et Individuelles auxquelles il aura accès, durant une session, sécurisée, grâce à une procédure d'enregistrement que l'on décrit à 25 présent en relation avec la figure 5. Le procédé démarre par une étape 501. Le test de l'identifiant (login) du praticien intervient ensuite durant une étape 502 30 qui, en cas d'échec, s'achève avec l'étape 510. Au contraire, si le test de l'identifiant (login) aboutit, le procédé se poursuite avec une étape 503 similaires aux étapes 403-404 précédentes, au cours de laquelle - 31 - l'agent DNM procède au téléchargement de la liste des identifiants IDA puis, après décryptage, comparaison avec la PLT, à l'affichage d'une liste de patients. Dans une étape 504, un patient est sélectionné ou, à défaut, le procédé s'achève avec l'étape 510. Une fois un patient sélectionné, le procédé poursuit avec une étape 505 au cours de laquelle l'agent DNM génère un identifiant de connexion qui sera utilisé par le patient lors de sa future connexion au serveur DMA 300. A cet effet, le procédé génère une clé aléatoire (Publique/privée). L'IDA du patient est également crypté avec la clé publique stockée sur le DMA et l'ensemble composé de l'IDA crypté et de la clé privée est ensuite stocké dans un fichier personnel, qui sera remis au patient via sa carte PATIENT qui, comme on l'a exposé, prend la forme d'un support amovible, d'une clé USB ou même une carte à puce (SMARDCARD) telle qu'illustrée dans la figure 12, et qui servira à la fois au déchiffrage des fichiers reçus des différents serveurs mais également à la signature des requêtes pour l'accès aux différents serveurs, et notamment au serveur DMA 300. L'agent DNM transmet également en même temps l'identifiant IDA. Dans un mode de réalisation particulier, la carte PATIENT peut récupérer les informations nominatives se trouvant sur le fichier PLT du praticien afin de permettre à un autre praticien de mettre à jour son propre fichier PLT. Alternativement, de telles informations nominatives pourront être stockées dans une zone mémoire particulièrement protégées présentes sur la carte à puce (SMARTCARD) de la carte PATIENT. Le praticien successeur aura donc la possibilité, grâce à ce fichier remis par la patient de mettre à jour le DMP du patient. A la connexion du patient, le fichier permettra de déduire son IDA après décryptage (clé privée). Puis, dans une étape 506, l'agent procède à la génération d'un certificat électronique (signature patient) permettant au patient de confirmer la procédure de validation de l'accès au dossier médical anonyme. Il est à noter que, dans un mode de réalisation particulier, la transmission des informations de connexion et de chiffrement/déchiffrement pourra se faire via un - 32 - autre canal que celui de la carte PATIENT, notamment tous autres supports USB. Alternativement, les identifiant de connexion et les clés de chiffrement/déchiffrement pourront être transférés par courrier électronique ou via le téléphone mobile, le terminal mobile ( smartphone), le PDA présent par le patient lors de la consultation.

D'une manière générale, de multiples possibilités sont envisageables et ne dépendent que des besoins considérés. La transmission de l'identifiant de connexion et des clés publiques/privées ayant été faite, l'agent DNM poursuit avec une étape 507 qui est la transmission à l'administrateur 200 d'un message avisant ce dernier de la création de l'accès personnalisé du patient. De cette manière les serveurs DMA 300 et 700-800 sont avisés de l'identifiant de connexion, de l'identifiant IDA et de la clé publique du patient qui devra être utilisée pour le chiffrement Dossier Médical Anonyme mais également pour vérifier la signature du patient. Alternativement, l'on pourra envisager que c'est l'administrateur 200 qui informera les serveurs DMA 300 et 700800. Une fois l'enregistrement effectué auprès de l'administrateur 200 (et optionnellement du serveur 300), le procédé s'achève avec l'étape 510. 2. La consultation du DMA au domicile du patient Grâce à l'enregistrement de cet accès personnalisé au Dossier Médical Anonyme stocké sur le serveur 300, le patient peut à présent, grâce à l'accès qu'il a reçu via sa carte PATIENT ou par des moyens divers (clés USB, téléphone mobile, courriel etc...) bénéficier d'un prolongement de la consultation avec son praticien en allant se connecter, une fois rentré à son domicile, sur le serveur DMA 300. A cet effet un agent spécifique est mis en oeuvre sur l'ordinateur 1000 du patient, agent qui peut prendre la forme d'un code exécutable directement depuis le système d'exploitation de l'ordinateur 1000 et préalablement stocké sur la carte PATIENT ou la clé USB reçue lors de la consultation chez le praticien, ou par tout autre moyen, courrier électronique et même une applet JAVA se déroulant au sein d'un logiciel navigateur. - 33 - Le procédé démarre par une étape 601, au cours de laquelle, par exemple, le patient introduit sa carte PATIENT dans le lecteur de carte 30 connecté à son ordinateur 1000.

Puis, dans une étape 602, le procédé se poursuit par une étape automatique de connexion sur le serveur DMA 300 au moyen de l'identifiant de connexion généré par l'agent DNM du praticien lors de l'étape 506 de la figure 5. Dans un mode de réalisation particulier, un test de mot de passe est mis en oeuvre pour éviter les accès illicites au dossier médical anonyme.

Cette demande de connexion est testée par le serveur 300 qui a été avisé préalablement de l'identifiant du patient et de sa clé publique. En cas d'échec de connexion, le procédé s'achève avec l'étape 610.

En cas de succès, au contraire, le procédé procède au décryptage de l'identifiant et récupère l'identifiant IDA durant une étape 603. Puis, dans une étape 604, l'agent spécifique transmet l'identifiant IDA et procède au téléchargement du Dossier Médical Anonyme (DMA) stocké sur le serveur DMA 300, et enrichi par la liste de sélection de ressources préparée par le praticien. Les informations chiffrées au moyen de la clé publique du patient, peuvent alors être déchiffrées par ce dernier grâce à sa clé privée.

Puis, dans une étape 605, l'agent spécifique procède à l'affichage du dossier médical anonyme téléchargé suivant une interface graphique dite PATIENT. Il est à noter que, le DMA étant parfaitement anonyme, les informations affichées seront également anonymes mais cela ne posera aucune difficulté en l'espèce puisque, par définition, le patient consultant son dossier ne s'intéresse nullement aux informations nominatives associées à ce dossier, mais bien aux informations à caractère médical le concernant. - 34 - Par conséquent, et c'est une grande différence par rapport à ce qui se passe pour l'exécution de l'agent DNM du praticien, l'affichage se déroulant chez le patient pourra rester parfaitement anonyme également.

Alternativement, l'on pourra imaginer que l'agent spécifique utilise un moyen annexe, par exemple les informations contenues dans une carte à puce sécurisée (carte VITALE par exemple) ou stockées sur un support sécurisé tel que la carte illustrée en figure 12, pour venir combiner les informations anonymes téléchargées depuis le serveur 300 avec des informations nominatives extraites de cette carte/support et offrir alors au patient un dossier médical réellement nominatif, à l'instar de celui qu'il aura vu au cabinet de son praticien. Mais cela n'est absolument pas nécessaire et, dans bien des situations, le patient pourra se satisfaire largement d'un affichage anonyme qui lui apportera la totalité 15 des informations médicales le concernant. En outre, comme on le voit avec l'étape 606, le patient pourra sélectionner, grâce à son interface utilisateur spécifique (interface PATIENT), une pathologie particulière voire une localisation particulière contenue dans son DMA. 20 L'agent spécifique procède alors, dans une étape 607, au téléchargement des ressources Génériques et/ou Spécifiques depuis les serveurs 700-800 lesquels procéderont à la transmission des fichiers correspondants, convenablement chiffrés au moyen de la clé publique qui leur aura été communiquée par l'administrateur 200 25 lors de l'étape 505 de la figure 5. Une fois téléchargées, l'agent spécifique peut alors les déchiffrer au moyen de la clé privée du patient et afficher les ressources générales et ou Personnelles dans une étape 608, que le patient pourra alors consulter en tant que de besoin. 30 Le patient dispose ainsi d'un accès non seulement à son dossier médical anonyme, mais également à un ensemble de ressources génériques et personnelles circonstanciées pour chacune des pathologies dont il souffre. De cette manière, il lui - 35 - est offert la possibilité d'une lecture plus aisée de ce dossier médical qui, bien souvent, reste assez occulte pour le grand public. En outre, le patient pourra tirer avantage du moteur de recherche présent au sein 5 de l'interface PATIENT, lequel s'appuiera sur les données non nominatives présentes dans le DMA pour venir compléter, en tant que de besoin, les ressources générales et personnelles sélectionnées par le praticien. Par ailleurs la codification issue de la classification ICD10 (CIM10) sera d'un grand intérêt pour le moteur de recherche de l'interface PATIENT qui y puisera les mots clés utiles pour conduire 10 les recherches documentaires à effectuer. Avec les procédés qui viennent d'être décrits, le patient dispose d'une sorte de « grille de lecture » de son dossier médical, comportant non seulement les éléments objectifs qui le constituent ( examens, radios, bilans), mais également de nombreux 15 éléments complémentaires d'un grand intérêt pour lui, notamment ceux directement sélectionnées et/ou générés par ses praticiens habituels. C'est ainsi un grand progrès dans la transparence médicale qui est permis pour le patient. 20 Lorsque le patient a terminé la consultation de son dossier médical - anonyme ou non - le procédé s'achève avec l'étape 610. 3) la consultation par le patient d'un nouveau praticien n°2, régulièrement enregistré 25 auprès du service administrateur 200 . Ce cas correspond à la situation envisagée dans le brevet précité, à la différence que le nouveau praticien n°2 que vient consulter le patient dispose de ses propres éléments d'identification/cryptage/décryptage régulièrement acquis auprès du 30 serveur administrateur et qu'il n'a donc pas bénéficié d'un accès dérivé de la création d'une clé USB secondaire comme cela a été décrit dans la demande de brevet n° 08368018.1 précitée. Dans la situation qui est à présent envisagée, le praticien n°2 est simplement "enregistré" auprès du serveur administrateur 200, sans lien a priori avec d'autres thérapeutes qu'aurait pu préalablement consulté le - 36 - patient. A titre d'illustration, on pourra considérer, par exemple, que le patient a consulté pendant des années un praticien du groupe de N professionnels (illustré dans la figure 1), et se présente ensuite devant un praticien n°2 disposant du système illustré dans la figure 2, et notamment de sa propre clé USB 20 comportant le code exécutable de son propre agent DNM, ainsi que la table PLT 21 et ses propres fichiers de cryptage/décryptage 22. Le procédé démarre par une étape 701. lo Le test d'identification (login) du praticien n°2 intervient ensuite durant une étape 702 qui, en cas d'échec, s'achève avec l'étape 710. Au contraire, si le test d'identification (login) aboutit, le procédé se poursuite avec une étape 703 au cours de laquelle l'agent DNM de la carte USB 20 du praticien n°2 15 ccède au support de stockage présenté par son patient et notamment sa carte PATIENT, et reçoit communication de l'identifiant IDA par décryptage du fichier identifiant . Puis, dans une étape 704 qui pourra être optionnelle, l'agent DNM transmet de la 20 carte 20 du praticien n°2 transmet une requête au serveur DMA 300 en utilisant sa propre signature (clé privé) pour l'informer de son intervention dans le dossier du patient. Accessoirement une requête analogue peut être transmise également au serveur administrateur 200. 25 Le DMA 300 procède alors à la mise à jour de la liste des dossiers affectés au praticien n°2, liste qui est utilisée lors de l'étape 503 de la figure 5. Puis, dans une étape 705, l'agent DNM procède au téléchargement du dossier DMA du patient, chiffrée par la clé publique du praticien n°2. 30 Dans une étape 706, l'agent DNM met à jour la PLT située dans le système 1-1, ce qui pourra se faire soit par saisie directe des informations nominatives du patient, soit par extraction de ces mêmes informations de la carte PATIENT ou du support de stockage présentée par le patient. Deux modes de réalisation pourront être - 37 - envisager... Suivant un premier mode, le praticien intervient ponctuellement sur le DMA et, dans ce cas, il n'est pas nécessaire de mettre à jour la PLT. Suivant un second mode, la PLT est mise à jour avec l'accord du patient suivant une procédure sécurisée, par exemple validée par mot de passe.

Dans une étape 707, la consultation usuelle peut alors se dérouler et l'agent DNM met à jour le dossier médical anonyme pour être à nouveau stocké sur le serveur anonyme 300.

Le patient pourra, ultérieurement, accéder à nouveau à son dossier grâce à l'identifiant de connexion et aux clés de chiffrement/déchiffrement qu'il s'est vu délivrer lors de sa visite chez le premier praticien, et qu'il n'est pas nécessaire de modifier.

Mais l'invention apporte davantage de flexibilité, puisqu'il est possible au patient de consulter d'autres thérapeutes quand bien même, comme on va le voir à présent, ces autres thérapeutes n'étaient pas régulièrement enregistrés auprès du serveur administrateur 200.

L'on va considérer plus spécifiquement, dans les deux paragraphes qui suivent: - la consultation d'un praticien n°3 exerçant dans un environnement sécurisé - la consultation d'un praticien n°4 exerçant dans un environnement exposé 4) la consultation d'un nouveau praticien n°3 en environnement sécurisé Comme on la vu, le DMA conçu suivant la présente invention présente une portabilité remarquable puisqu'il est ainsi permit, au patient, de venir enrichir son dossier au fil de ses déplacements. Pour autant, suivant un aspect de l'invention, le DMA est particulièrement sécurisé en autorisant ses accès et son éventuelle mise à jour que suivant des - 38 - conditions particulièrement sévères, qui seront toutefois allégées lorsque le patient se déplace dans un environnement relativement sécurisé. Le critère correspondant à cette catégorie d'environnement dépendra de l'application donnée et du niveau protection choisi. Dans un exemple particulier, on pourra considérer que tant que le patient se déplace sur son territoire d'origine, par exemple le territoire français ayant mis en place une Carte de Santé Professionnelle (CSP), les risques de fraudes seront moindres car le serveur administrateur 200 pourra effectuer des recherches pertinentes pour confirmer la qualité véritable des praticien sollicitant un accès au DMA. L'on décrit à présent, en relation avec la figure 9, le procédé qui est exécuté lorsque le patient se rend auprès d'un praticien n°3 appartenant à un tel 15 environnement présumé sécurisé. Le procédé démarre par une étape 901. Puis, dans une étape 902, le patient introduit sa carte PATIENT (ou clé USB 20 remise par l'administrateur/praticien n°1) dans le lecteur de carte 30 du système 1000 de la figure 2 (par exemple), laquelle est alors détectée par le système 1000. En effet, comme cela a déjà été évoqué, cette carte PATIENT comporte le programme d'un agent exécutable pour mettre en oeuvre les procédures décrites ci-après, mais surtout l'identifiant du patient (IDA) - éventuellement crypté - ainsi que 25 la clé privée du patient qui va pouvoir être utilisée pour le décryptage des différents éléments composant le Dossier Médical Personnalisés, qui seront transmis par les différents serveurs. Puis dans une étape 903, le procédé comporte la lecture de l'identifiant du patient 30 et, le cas échéant, à son décryptage au moyen de la clé privée associée à ce patient. Cet identifiant correspond à l'identifiant IDA non nominatif, utilisé dans la base de données de l'administrateur. - 39 - Puis, dans une étape 904, le procédé procède au lancement d'une connexion sur le serveur de l'administrateur 200. Puis, dans une étape 905, le procédé procède à un test pour connaître si l'identifiant s IDA est reconnu comme étant présent dans la base. En cas d'échec, le procédé va à l'étape 913. Si l'identifiant IDA est reconnu comme étant valide, le procédé poursuit avec une étape 906 qui est le lancement d'une seconde tâche destinée à vérifier l'identification du thérapeutique. Durant cette tâche, il s'agit de vérifier que le 10 praticien n°3 dispose bien d'une carte professionnelle de santé (CPS). A cet égard, le procédé poursuit avec une étape 907 au cours de laquelle un test est effectué pour déterminer la présence d'une carte professionnelle de santé. A cet égard, le procédé pourra utiliser les éléments de normalisation réglementaire en 15 usage dans un pays déterminé, permettant d'une part, de valider la présence d'une carte CPS et, d'autre part, de venir extraire les éléments d'identification relatifs au praticien n°3, qui est titulaire de la carte. Si une carte CPS est présente, le procédé va à une étape 908 et, dans le cas 20 contraire, il poursuit avec une étape 913. En considérant la branche de droite, lorsque le procédé détecte la présence d'une carte CPS, il procède à la lecture de l'identifiant national du praticien n°3 sur la CPS au cours d'une étape 908. 25 Puis, dans une étape 909, le procédé transmet au serveur administrateur 200 une requête d'inscription provisoire. A cet égard, suivant un mode de réalisation, le procédé transmet des éléments d'identification (adresse courriel, numéro de téléphone etc...) dans le but de recevoir une confirmation de l'inscription. 30 Puis dans une étape 910 (optionnelle), l'agent reçoit - éventuellement grâce aux informations transmises en 309 - un identificateur et un mot de passe, laquelle peut être immédiatement utilisée pour un accès au dossier médical anonyme, suivant - 40 - une interface PRATICIEN ou, suivant un mode de réalisation particulier, une interface à droits réduits dite WEB-PATIENT au cours d'une étape 911. Dans le cas où le test de l'étape 907 échoue, le procédé poursuit avec une étape s 913 au cours de laquelle le procédé invite le praticien n°3 à saisir le numéro d'identification national de praticien. Dans une étape 914, le numéro est réceptionné par le serveur administrateur qui peut alors mettre en oeuvre une procédure de vérification du numéro d'identification 10 et/ou d'immatriculation. A cet égard, le procédé procèdera à une vérification automatique au sein de bases de données, et notamment en vue de la génération d'un indicateur de vraisemblance de l'authenticité du praticien n°3 sollicitant l'inscription provisoire. 15 L'étape 915 correspond à un test de cet indicateur de vraisemblance pour déterminer s'il est opportun d'attribuer une inscription provisoire. Si le test de l'étape 915 échoue, alors le procédé poursuite avec l'étape 913 et s'arrête. 20 Au contraire, si le test aboutit, alors le procédé poursuit avec une étape 911 qui est l'affichage du dossier médical anonyme suivant l'interface minimale dite URGENCE. Cette interface dite URGENCE permet ainsi au praticien d'accéder à une partie critique du DMA à partir de la seule carte PATIENT, quand bien même le patient est 25 inconscient. C'est notamment cette interface dite URGENCE qui permet au praticien de donner les premiers secours au patient lorsque celui-ci git sans connaissance à la suite d'un accident automobile par exemple. 30 Durant une étape 912, le procédé entre une phase de mise à jour effective du dossier médical au fur et à mesure que se déroule la consultation avec le praticien n°3. - 41 - Puis le procédé s'achève avec l'étape 913. L'on décrit à présent en relation avec la figure 10 la procédure mise en oeuvre lorsque le patient rend une nouvelle visite au praticien n°3.

Les étapes 1001-1006 correspondent respectivement aux étapes 901-905 décrites précédemment, à savoir la carte PATIENT est successivement insérée dans le lecteur 30 du système du praticien n°3, puis détectée (étape 1002), ce qui entraîne la lecture et le décryptage de l'identifiant IDA (étape 1003). La connexion au serveur administrateur 200 (étape 1004) conduit alors au test de validité de l'identifiant IDA durant l'étape 1005. Si le test de l'étape 1005 est positif, alors le procédé va vers une étape 1006, au cours de laquelle le praticien n°3 est invité à saisir son identifiant et son mot de passe (qu'il a reçu lors de l'étape 910 de la figure 9). Puis, dans une étape 1007, le procédé teste le mot de passe et, en cas d'échec, le procédé s'achève avec l'étape 1010.

En cas de succès, au contraire, le procédé procède, au cours d'une étape 1008 à la lecture des droits d'ouverture attribué au praticien donné. Il est à noter que lors des étapes 908-911 de la figure 9, le praticien s'était vu attribuer des droits minimum associés à l'interface PRATICIEN. Au contraire, lors de l'étape 1008, le procédé procède à la lecture des droits attribués au praticien n°3 (et qui pourront avoir été étendue par le patient lors d'une consultation à son domicile par exemple) pour définir une interface PRATICIEN dotée de droits éventuellement plus étendus, et pouvant aller au-delà de l'interface dite URGENCE. Ces droits plus étendus se justifie par le fait que le patient, de manière tout à fait consciente, a validé le principe de la consultation lors de la première visite et considère à présent son praticien n°3 comme faisant partie de la liste de "ses" thérapeutes. En fonction des droits ouverts attribués au praticien, le serveur DMA 300 et/ou le serveur administrateur 200 procèdent, conjointement avec l'agent exécutable - 42 - présent sur la carte PATIENT, à la construction de l'interface d'accès spécifique correspondant aux droits concédés au praticien. Comme on le voit, l'étape 1009 permet d'assurer la construction d'une interface 5 parfaitement cohérente en fonction de la qualité du praticien n°3 consulté par le patient. Comme on le voit, cette gestion des droits qui est permise par le procédé décrit permet de discriminer les situations d'urgence (dans lesquelles il convient 10 d'apporter une réponse immédiate aux préoccupation d'un médecin ayant à délivrer les premiers soins de secours) et les situations de consultation plus conventionnelle susceptibles d'intervenir au fil de l'existence du patient. En particulier, même si le procédé de la figure 9 ne requiert pas un mot de passe de la part du patient, l'on dispose néanmoins d'une protection tout à fait efficace des données non 15 nominatives comprises dans le DMA puisque seule une petite partie des informations extraites de ce dossier - correspondant à l'interface URGENCE - sera accessible et uniquement aux praticiens ayant fait l'objet des tests de vérifications des étapes 909 et 914. 20 C'est donc un grand avantage de l'invention. Puis, dans une étape 1009, le dossier DMA est mis à jour en fonction du déroulement de la consultation, des observations faites par le praticien n°3 et du diagnostique que ces observations l'amènent à formuler. 25 Il est à noter que cette mise à jour du dossier est basée sur la transmission d'informations d'ordre médicales concernant le patient, en relation avec l'identifiant anonyme IDA, proprement crypté au moyen de la clé privée du patient. En aucune façon il n'y a échange, au cours des étapes 1008 et 1009 d'informations 30 nominatives. La construction du dossier médical au sein du serveur DMA s'effectue sans nécessiter l'échange d'informations nominatives. - 43 - Le procédé s'achève ensuite avec une étape 1010. Comme on le constate dans ce mode de réalisation, le procédé apporte une grande souplesse puisque, même si les droits d'un praticien sont susceptibles d'évoluer dans le temps, le dossier médical anonyme DMA se verra continuellement enrichi 5 par l'apport des consultations successives. C'est là un grand avantage et intérêt de la présente invention. 5. la consultation d'un nouveau praticien n°4 en environnement exposé 10 L'on décrit à présent, en relation avec les figures 11a, 11 b et 12 la procédure d'inscription provisoire d'un praticien n°4 supposé situé sur un territoire ou un pays n'ayant pas généralisé le recours à la carte professionnelle de santé ou, plus simplement, dans certains pour lesquels il reste souhaitable de limiter l'accès aux 15 informations continues dans les serveurs 300 etc... Dans un tel contexte, présumé correspondre à un environnement dit exposé, le procédé apporte une sécurité supplémentaire. 20 Dans cette hypothèse, le patient, qui est régulièrement enregistré auprès du service administrateur 200, vient consulter à l'étranger, à un praticien et lui présente sa carte de patient ou la clé USB correspondante. Dès l'introduction de la carte du patient, un logiciel exécutable présent sur cette 25 dernière se lance au cours d'une étape 1101. Puis, dans une étape 1103, le logiciel procède à la lecture de l'identifiant anonyme crypté (IDA), de la clé de décryptage, et procède au décryptage de cet identifiant IDA au moyen de la clé. 30 Puis, au cours d'une étape 1104, le procédé lance une connexion au serveur 200 (ou 300 selon le cas) et vérifie l'inscription de l'identifiant IDA du patient. - 44 - L'étape 1105 correspond au test de cet identifiant IDA et, en cas d'échec, le procédé s'achève avec l'étape 1111. En cas de succès, au contraire, le procédé procède, au cours d'une étape 1106, au 5 lancement d'un applicatif de contrôle. A cet égard, au cours d'une étape 1107, le procédé transmet au serveur 200 une requête d'inscription provisoire, au besoin en précisant des coordonnées de courriel et/ou téléphonique pour la réception de messages de confirmation et/ou de SMS de contrôle . Dans un mode de réalisation donné, on pourra envisager que la demande d'inscription de l'étape 1107 implique 10 la réception d'un SMS de contrôle, comportant un mot de passe de contrôle, sur un téléphone mobile préalablement enregistré auprès du serveur administrateur 200. De cette manière, l'on vient réduire considérablement les risques d'accès frauduleux au dossier médical, même si celui-ci est, comme on l'a vu, dénué de toute 15 information nominative. Au cours d'une étape 1108, le procédé teste l'identifiant et le mot de passe saisie par le praticien (et qu'il aura reçu optionnellement lors de l'étape 1107) et, en cas d'échec, le procédé s'achève avec l'étape 1111. 20 En cas de succès, le procédé se poursuite avec une étape 1109 au cours de laquelle les serveurs 200-300 transmettent les éléments constitutifs du dossier médical du patient, avec l'interface URGENCE (SAFETY PATIENT). 25 De cette manière, l'on permet l'accès - très sécurisé puisque limité à l'interface URGENCE ne comportant que des éléments de premier secours liés au patient au dossier médical du patient tout en interdisant un accès complet , lequel serait dangereux sur le plan de la confidentialité. 30 Puis, dans une étape 1110, le procédé procède à la mise à jour du dossier médical en même temps que se déroule la consultation. A cet égard, il convient d'observer que, contrairement à la mise à jour qui est opérée lors de la consultation d'un praticien disposant d'une CPS, la mise à jour réalisée dans des conditions moins - 45 - sécurisée est simplement stockée sur la mémoire de stockage de la carte du patient ou de la clé USB présentée par le patient. L'on permet ainsi, de manière particulièrement avantageuse, de venir enrichir le dossier médical des observations, des éléments de diagnostique collectés lors de la consultation non sécurisée, dans le but de les intégrer plus tard lorsque le patient rentrera en France, notamment lorsqu'il viendra à nouveau consulter ses praticiens habituels.

Le procédé s'achève ensuite par l'étape 1111. La figure 11 b illustre un mode de réalisation particulier où le patient peut, lors d'une phase de synchronisation qui pourra être mise en oeuvre à son domicile ou au cabinet professionnel de son médecin référent, .

Les étapes 1121 à 1125 correspondent aux étapes 1101-1105 de la figure 11a. Dans une étape 1126, le procédé procède à un test de localisation permettant de vérifier que la synchronisation peut être effectué dans un contexte sécurisé.

Dans un premier mode de réalisation, le procédé teste l'adresse IP locale (Internet Protocol) utilisée pour l'accès au réseau Internet et notamment aux serveurs 200300. Cette adresse IP peut servir d'indicateur permettant de déterminer, par exemple, si le patient est rentré dans son Pays, dans un environnement plus sécurisé. Alternativement, l'on pourra envisager d'autres tests, notamment liés à la détection d'informations fournies par un capteur GPS (Global Positionning System).

L'étape 1127 illustre le test de l'adresse IP permet de tester l'adresse IP, pour déterminer la localisation du patient et si le test révèle que le patient consulte le dossier à partir d'un territoire exposé, alors le procédé va à l'étape 1130. -46- Si le test de l'étape 1127 aboutit, alors le procédé poursuit avec une étape 1128 au cours de laquelle est mise en oeuvre la synchronisation des données stockées localement sur la carte PATIENT (ou le cas échéant sur la clé USB) et les données du DMA stockées sur les serveurs 300-500.

Puis, dans une étape 1128, le procédé procède à la synchronisation des informations présentes sur la carte du patient, avec les informations présentes sur le serveur 300. A cet égard, le procédé lance une connexion au serveur 300 et présente une requête de synchronisation, proprement codifiée , avec les informations collectées lors de la consultation qui s'est déroulée hors environnement sécurisé. Puis, dans une étape 1129, le procédé poursuit avec - optionnellement - avec la mise à jour de l'interface URGENCE, stockée localement sur la carte PATIENT, afin d'intégrer éventuellement de nouvelles données d'observations, de diagnostique critiques qui pourraient s'avérer critiques lors d'un prochain déplacement à l'étranger du patient. Comme on le voit, avec les procédures qui viennent d'être décrite, les informations 20 sensibles que comportent le DMA restent particulièrement protégées puisque aucune mise à jour des données médicales anonymes ne pourra être permise tant que le patient ne réintègre pas un territoire présumé sécurisé. Avantages de la solution proposée.

25 Comme on l'a vu, l'invention offre aux thérapeutes un maximum de confort d'utilisation, afin de leur faire gagner temps et efficacité dans leur pratique médicale. La solution présentée est simple à mettre en oeuvre, pratique, complète et modulaire pour répondre à la diversité des modes d'utilisation (plein temps ou 30 temps partiels, cabinet unique ou groupements professionnels) permettant de combiner une utilisation en continue des thérapeutes. Comme on l'a vu dans la figure 1, le serveur d'analyse statistique et collective 600 peut accéder aux serveurs DMA 300, GED 500 et au serveurs de ressources -47- génériques et collectives 700 pour suivre en continue les pathologies, les thérapies préconisées et également l'utilisation effective des ressources génériques et personnelles par la grande diversité des patients. L'on dispose ainsi d'un outil logiciel de grand intérêt qui permet une exploitation statistique illimitée et surtout s transparente, c'est -à-dire sans surcharge de travail ni perte de temps pour les praticiens et leurs patients. L'invention contribue ainsi significativement au développement des outils intelligents d'assistance au diagnostic, à la prescription et à la rationalisation du rapport coût/bénéfice de l'offre de soins.

10 Ensuite, le recours aux solutions proposées permet d'intégrer le patient dans le partage d'informations via un accès web totalement sécurisé pour prolonger la consultation, le suivre à distance et lui prodiguer des conseils utiles en terme de santé (soins appropriés, surveillance de critères médicaux pertinents, conseils et nutrition, conseils sport et santé...).

15 Enfin, il convient d'observer que les différents serveurs illustrés dans la figure 1 pourront être judicieusement disposés dans divers endroits en fonction des besoins spécifiques d'une application données. En fonction des coûts, il sera même possible de concentrer les fonctionnalités des différents serveurs au sein d'un groupe réduit 20 de serveurs physiques, au risque toutefois de réduire la sécurité de l'ensemble du système. En particulier, les serveurs 500 et 700 pourront se fondre en un unique serveur 800 de Gestion de Documents et de Ressources. Enfin, il convient de noter que l'on pourra aisément étendre la solution proposée à 25 d'autres supports que la clé USB pour le stockage des informations d'accès au Dossier Médical, à savoir un téléphone mobile (notamment les smartphones suivant la terminologie anglo-saxonne) , les tablettes tactiles etc.... Clairement, tout support quelconque pouvant stocker les fichiers nécessaires à l'accès aux serveurs décrits précédemment pourront servir pour la consultation du dossier médical et les 30 diverses consultations, en tous lieux, des praticiens.

Claims (12)

1. REVENDICATIONS1. Procédé d'accès et partage d'un dossier informatique personnalisé géré par un prestataire de service pour le bénéfice d'un client, ledit dossier comportant des données de nature technique, notamment des données médicales, et des données nominatives hautement confidentielles, au sein d'une architecture comportant: - un premier serveur (DMA - 300) comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec un identifiant anonyme (IDA); - au moins un second serveur (GED - 500; RG&P 700-800) comportant des pièces jointes contenues dans ledit dossier personnalisé et des ressources générales et personnalisées indexées via ledit identifiant anonyme (IDA); - un premier système (1-1, 1-n) permettant l'accès audits premiers et seconds serveurs, ledit premier système comportant dans sa mémoire un agent DMN de génération d'un dossier informatique personnalisé et au moins un fichier de chiffrement/déchiffrement et une table (PLT) de correspondance de liens entre les données nominatives d'un patient et un identifiant anonyme (IDA), - un second système (1000) permettant l'accès audits premiers et second systèmes; le procédé comportant les étapes suivantes: - identification (login) (402) sur ledit premier serveur correspondant à l'identifiant dudit prestataire; - téléchargement (403) d'une liste d'identifiants anonymes IDA associés audit prestataire; - génération (404) d'une liste de clients à partir de la liste d'identifiant IDA et de ladite table PLT ; - sélection d'un client particulier (405); - téléchargement (406) du dossier informatique anonyme depuis ledit premier serveur;-49- - construction (407) du dossier informatique personnalisé à partir des informations téléchargés depuis lesdits premier et second serveurs et les informations nominatives présentes dans ladite table PLT. - mise à jour (408) dudit dossier informatique personnalisé; et caractérisé en ce qu'il comporte les étapes: - téléchargement (409) depuis lesdits serveurs d'une liste d'identifiants de ressources génériques; - affichage (410) desdites ressources et composition d'une liste de sélection 10 de ressources génériques; - ajout optionnel (411) de ressources personnalisées générés par le prestataire; - enregistrement du dossier informatique anonyme comportant la liste de sélection de ressources génériques et personnalisées dans ledit premier serveur 15 (DMA -300); - création (505) d'un identifiant de connexion à l'attention dudit second système (1000) pour lesdits premier et au moins second serveurs (300, 500, 700800); - génération d'au moins une clé de chiffrement attribué audit second système 20 (1000); - transmission dudit identifiant de connexion, de la ou les clés de chiffrement et de l'identifiant IDA à un serveur administrateur ou directement auxdits premier et au moins second serveur (300, 500, 700-800) - transmission de l'identifiant de connexion, la ou les clés de chiffrement ainsi 25 que l'identifiant IDA audit second système (1000) de manière à permettre un accès partagé au dossier informatique Anonyme, à l'exclusion de toute information nominative. 30
2. 2. Procédé d'accès et partage d'un dossier médical personnalisé géré par un prestataire de service pour le bénéfice d'un patient, ledit dossier comportant des données médicales et des données nominatives hautement confidentielles, au sein d'une architecture comportant:- 50 - - au moins un serveur (200, DMA - 300, GED-500, RG&P 700-800) comportant des informations anonymes à l'exclusion de toute information de caractère nominatif en relation avec un identifiant anonyme (IDA) et comportant également des pièces jointes et des ressources générales et personnalisées s indexées via ledit identifiant anonyme (IDA); l'accès audit serveur depuis un système (1000) appartenant à un praticien résultant des étapes suivantes: - détection (902) d'un support attribué au patient comportant des éléments d'identification (non nominatif) dudit patient, des moyens de cryptage/décryptage; 10 - lecture et décryptage de l'identifiant anonyme (903) ; - lancement d'une connexion audit serveur (904); - test (95) de l'identifiant (IDA) anonyme de manière à vérifier si celui-ci correspond à un dossier médical anonyme stocké dans ladite base; - vérification de l'identification du praticien (913, 908) 15 - affichage d'un dossier médical anonyme sous une première interface à droits limités (URGENCE) de manière à mettre à disposition du praticien des informations médicales critiques concernant le patient même lorsque le patient est inconscient. 20
3. 3. Procédé selon la revendication 2 caractérisé en ce que ledit support du patient est une carte à puce, une clé USB voir même un terminal mobile tel qu'un téléphone intelligent. 25
4. 4. Procédé selon la revendication 2 caractérisé en ce que la vérification du praticien comporte un test portant sur la carte professionnelle de santé (CPS) présentée par ce dernier. 30
5. 5. Procédé selon la revendication 2 caractérisé en ce que ledit serveur provoque l'affichage du dossier médical anonyme en relation avec des interfaces distinctes pour les professionnels médicaux et le patient lui-même, les interfaces comportant des droits d'accès différents.- 51 -
6. 6. Procédé selon la revendication 5 caractérisé en ce que l'accès au DMA depuis le domicile du patient comporte un test de mot de passe pour s'assurer l'identité du patient et lui permettre, en toute conscience, de modifier les droits d'accès concédé à un praticien ayant accédé à son dossier DMA.
7. 7. Procédé selon la revendication 5 caractérisé en ce que le patient dispose de sa propre interface (PATIENT) comportant un accès à des ressources générales et personnelles spécifiquement crées par les praticiens intervenus sur le dossier, à son attention.
8. 8. Procédé selon la revendication 5 caractérisé en ce que l'interface (PATIENT) du patient comporte un moteur de recherche exploitant les données du Dossier Médical Anonymes stockées sur ledit serveur. 15
9. 9. Procédé selon l'une des revendications 2 à 8 caractérisé en ce qu'il comporte un test de localisation (1126) permettant de déterminer si le territoire sur lequel le patient consulte est un territoire exposé ou sécurisé, les données de mise à jour du DMA étant exclusivement stockées sur la carte patient dans le cas d'un territoire exposé. 20
10. 10. Procédé selon la revendication 9 caractérisé en ce qu'il comporte une phase de synchronisation permettant de mettre à jour les données médicales du DMA dès lors que le patient consulte son dossier depuis une localisation réputée sécurisée. 25
11. 11. Procédé selon l'une des revendication 9 ou 10 caractérisé en ce que le test de localisation est un test de l'adresse Internet Protocole utilisée pour accéder au dossier ou un test de géolocalisation au moyen d'un récepteur GPS (Global Positionning System). 30
12. 12. Procédé selon l'une quelconque des revendications 5 à 11, caractérisé en ce qu'il comporte une interface pour les professions médicales, suivant leur spécialité, une interface pour les professions paramédicales. 10 35