S.F.I.L.

Le G.B.U.I.

Guide de Bonne Utilisation de l'Informatique

Table des matières

A : Introduction
B : Glossaire
C : Sigles et abréviations

I : Sécurité des données
II : Confidentialite - Accès aux données
IV : Réalisation des analyses - validation bio-technique
V : Validation biologique - Aides à la validation - Validation électronique
VI : Libération des résultats - Signature électronique
VII : Télécommunications et transmissions électroniques
VIII : Archives
IX : Traçabilité
X : Informatique et libertés - Déclaration des logiciels de gestion de laboratoire
XI : Contrôle et maintenance
XII : Certification des systèmes de gestion de laboratoire
XIII : Cas Particulier : Biologie délocalisée
XIV : Cas Particulier : Biologie multisites

Glossaire

1. Accréditation : Reconnaissance par des pairs de la compétence, par une tierce partie d'une entité (laboratoire, organisme certificateur, organisme d'inspection....)

2. Administrateur du système : fonction d'un utilisateur ayant des droits particuliers. En général l'administrateur du système gère les droits des autres utilisateurs, les procèdures de contrôle et maintenance du système (sauvegarde, restauration, archivage, paramètrage, ...), il peut consulter toutes les données présentes au niveau du système (données patient, fichiers traces, ...). Il est recommandé qu'il n'y ait qu'un seul utilisateur ayant la fonction d'administrateur du système. L'administrateur du système s'il n'est pas le biologiste lui-même agit sous son autorité.

3. Alphanumérique : ensemble de caractères comprenant des lettres (majuscules et minuscules) et des chiffres.

4. Archivage : procèdure consistant à transférer (à recopier) l'ensemble des données des patients et les paramètrages contenus au niveau du système informatique sur un support physique différent (disque, bande magnétique, papier, microfilm, ...) en vue de leur conservation à long terme et de leur consultation ou édition future. La durée de validité d'une archive est égale à la durée de vie du support et des moyens de consultation utilisés, elle ne peut être inférieure à la durée légale de conservation des archives.

5. Assurance qualité : démarche d'une entreprise ou d'un laboratoire qui s'engage à prouver à ses clients que l'ensemble de son système qualité est bien maîtrisé.

6. Base de données : ensemble structuré, ordonné et cohérent de fichiers permettant de stocker et retrouver facilement des informations.

7. Certification : La certification c'est une reconnaissance de conformité ( p.ex: à la norme ISO 9002, à une norme produit, à un référentiel, etc...).

8. Code : ensemble de caractères alphanumériques permettant d'identifier un utilisateur, chaque utilisateur doit avoir un code qui lui est propre (personnel) et unique dans le système informatique, à chaque code utilisateur sont associés des droits au niveau du système.

9. Code utilisateur, code personnel : code permettant d'identifier une personne se connectant à un système informatique. Ce code doit identifier la personne elle-même et non sa fonction car plusieurs personnes différentes peuvent avoir la même fonction (p.ex. Biologiste, Technicien, Administrateur, ...), par contre un utilisateur peut avoir plusieurs codes personnels correspondant à ses différentes fonctions au niveau du système. Un code utilisateur doit être associé à un mot de passe personnel et un seul.

10. Connexion : procèdure permettant à un utilisateur de s'identifier au niveau du système par l'intermédiaire d'un code et un mot de passe personnels et d'utiliser le système informatique en fonction des droits qui lui ont été alloués par l'administrateur du système. Il est recommandé qu'un utilisateur ne puisse pas se connecter simultanément au niveau de plusieurs terminaux.

11. Cryptage, encryptage, chiffrement : procédé consistant à transformer des informations en vue de les rendre incompréhensibles par une personne non autorisée à les consulter, l'utilisateur doit disposer d'une clef lui permettant de décrypter (déchiffrer) le message et ainsi le rendre à nouveau compréhensible.

12. Déconnexion : procèdure permettant à un utilisateur de ne plus utiliser le système informatique et en général de libérer le terminal pour permettre la connexion d'un autre utilisateur.

13. Données : informations élémentaires correspondant à des variables distinctes (p.ex : nom, prénom, code d'une analyse, résultat d'une analyse, ....).

14. Données nominatives : informations permettant d'identifier une personne directement ou indirectement (nom, prénom, adresse, code INSEE, numéro d'hospitalisation, ...)

15. Fichier : ensemble structuré de données, le fichier est la structure élémentaire de stockage de l'information.

16. Fichier trace : fichier contenant l'ensemble des actions concernant une fonction du système, horodatées, avec identification de l'utilisateur. Les fichiers traces doivent permettre de retrouver toute l'histoire d'une fonction et doivent être éditables.

17. Item : élément minimal d'un ensemble organisé (Petit Robert), en informatique un item peut être une donnée, mais le plus souvent les items sont des indicateurs logiques (de type Oui/Non) qui peuvent être rassemblés pour former une seule variable ou donnée. Dans les systèmes informatiques modernes l'information est constituée de 'mots' de 32 bits pouvant chacun prendre la valeur 0 (Non) ou 1 (Oui) un 'mot' peut donc comprendre 32 items : par exemple une variable d'état d'un dossier ne comprenant qu'un seul mot peut contenir 32 indicateurs ou items différents (identité vérifiée, demandé en urgence, risque contagieux, validé techniquement, validé, imprimé, archivé, facturé, ....)

18. Modem : acronyme de MODulateur - DEModulateur, dispositif électronique permettant de se connecter au réseau téléphonique pour faire transiter des informations numériques sur un réseau vocal.

19. Mot de passe générique : mot de passe commun à plusieurs utilisateurs d'un système, l'utilisation de ce type de mot de passe ne permet pas d'authentifier avec certitude la personne connectée, l'utilisation de ce type de mot de passe est donc à proscrire.

20. Mot de passe personnel : mot de passe correspondant à un et un seul utilisateur, c'est un code secret connu de lui seul permettant de l'authentifier avec certitude lorsqu'il se connecte au système. Un mot de passe personnel ne peut être associé qu'à un seul code personnel.

21. Norme : Document définissant des spécifications techniques et validé par un organisme reconnu. La norme se distingue de la règle technique par son caractère facultatif, excepté dans deux cas : lorsqu'un arrêté ministériel en décide autrement et pour les marchés publics.

22. Paramétrage : le paramètrage fixe, selon des spécifications de l'utilisateur, des variables de fonctionnement définies dans le logiciel. Il permet d'apporter des modifications fonctionnelles à un programme sans intervenir dans l'écriture même du programme. Le paramètrage doit être effectué avant la mise en service du logiciel et peut être modifié en cours d'utilisation en en pesant soigneusement les conséquences.

23. Passivation, inactivation d'un terminal : procèdure assurant la déconnexion d'un terminal et le rendant inefficace en affichant un écran neutre ou vide, l'inactivation, de plus, interdit l'utilisation du terminal tant que celui-ci n'a pas été réactivé (par l'administrateur du système).

24. Prescription connectée : procèdure consistant à transmettre toutes les informations concernant une prescription par voie télématique, ces informations sont alors enregistrées automatiquement par l'ordinateur du laboratoire; cette procèdure permet de diminuer la charge de travail de secrétariat à l'accueil et d'éviter les recopiages sources d'erreurs.

25. Qualité : ensemble des propriétés et caractéristiques d'un produit ou service qui lui confère la capacité à satisfaire les besoins d'un client.

26. Réactiver, réactivation : procèdure permettant d'autoriser à nouveau l'utilisation d'un terminal, cette procèdure ne peut être effectuée que par l'administrateur du système.

27. Référentiel : Document comportant des exigences à satisfaire pour être accrédité. En général il est constitué d'une norme plus des exigences spécifiques à l'organisme d'accréditation.

28. Réseau : système de communication entre ordinateurs où les différentes machines sont généralement reliées par câbles, mais éventuellement par onde.

29. réseau ouvert : réseau public non protégé (p.ex réseau téléphonique, internet, ...).

30. Restauration : procèdure consistant à remplacer les données actuellement au niveau du système informatique par celles qui sont contenues dans la dernière sauvegarde, cette opération est effectuée lorsque les données ou fichiers ont été altérés suite à une anomalie de fonctionnement. Dans ce cas toutes les données qui ont été enregistrées depuis la dernière opération de sauvegarde sont perdues.

31. Saisie, resaisie : écriture de données frappées au clavier en vue d'être stockées ou traitées par un système informatique. En cas de restauration il est nécessaire de saisir à nouveau toutes les données enregistrées depuis la dernière sauvegarde, même celles qui sont parvenues automatiquement à partir d'autres ordinateurs.

32. Sauvegarde : procèdure consistant à transférer (à recopier) l'ensemble des données contenues au niveau du système informatique sur un support physique différent (disque, bande magnétique, ...) de celui utilisé en fonctionnement normal, en vue de leur restauration en cas de problème. La sauvegarde réalise une "photographie" du système à un instant donné. La durée de validité d'une sauvegarde est égale à la période séparant deux sauvegardes consécutives.

33. Serveur : système informatique (matériel et logiciel) permettant à des utilisateurs de consulter des données et de partager des ressources (disques, fichiers, imprimantes, ...) ou informations. Les utilisateurs, souvent appelés clients, peuvent être connectés au serveur soit directement (terminal), soit par un réseau interne limité aux seuls utilisateurs (réseau local), soit enfin à distance (réseau d'entreprise, réseau téléphonique, internet, ...).

34. Support (d'information) : dispositif permettant d'enregistrer des informations en vue de leur consultation ou traitement ultérieurs, parmi ceux-ci on peut citer : les disques durs, les disquettes, les bandes magnétiques, les disques optiques (CD-ROM), ...

35. Système qualité : ensemble des moyens (structure d'organisation, procèdures, procédés, ...) permettant de gérer la qualité.

36. Télémaintenance : opération consistant à utiliser un ordinateur situé à distance et connecté en général par le réseau téléphonique pour effectuer des opérations de maintenance (nettoyage des fichiers, défragmentation des disques, mises à jour, réparation de fichiers abimés, ...); cette opération nécessite souvent un logiciel spécifique.

37. Télématique : ensemble des moyens et méthodes permettant de transférer des informations à distance, parmi ceux-ci on peut citer : les fax, minitels, serveurs de résultats, imprimantes déportées, ...

38. Terminal : dispositif permettant à un ordinateur de communiquer avec le monde extérieur, les terminaux assurent l'interface entre l'homme et la machine, on peut citer parmi ceux-ci : l'écran, le clavier, les imprimantes, les scanners, ..., et depuis peu les microphones, les caméras vidéo, les appareils photographiques numériques,...

    
    

    Sigles et abréviations

39. CDAM : Catalogue Des Actes Médicaux

40. CNIL : Commission Nationale Informatique et Libertés

41. ISO : International Standard Organisation, organisme international de normalisation regroupant plus de 100 pays, la France y est représentée par l'AFNOR. Les normes ISO les plus connues concernent la série 9000 qui se rapporte au management de la qualité

42. NCAM : Nomenclature Commune des Actes Médicaux, la NCAM doit dans le futur remplacer simultanément la NGAP et le CDAM

43. NGAP : Nomenclature Générale des Actes Professionnels, c'est la nomenclature qui définit la valeur remboursable des actes (en B, Z, K, P, ...)

44. SEL : Société d'Exercice Libéral

45. SFIL : Société Française d'Informatique de Laboratoires

46. SGL : Système de Gestion de Laboratoire

47. SIL : Système Informatique de Laboratoire

48. VAO : Validation Assistée par Ordinateur, ce mode de validation utilise un logiciel spécifique pour préparer la validation par le biologiste

I. Sécurité des données

I - 1 . Définitions

La sécurité des données est la qualité d'un système informatique qui garantit que les informations qu'il contient sont identiques à celles qui ont été introduites dans le système, qu'elles n'ont pas subi d'altération, ou modification, au cours des divers traitements et qu'il n'y a pas eu perte ou altération d'information.
Il y a deux niveaux caractérisant la sécurité des données :

- l'intégrité des données qui traduit le fait que celles-ci sont exactes ou strictement conformes à celles qui ont été introduites dans le système, que ce soit manuellement ou automatiquement.

- l'intégrité de l'information qui traduit le fait que toutes les données sont présentes et intègres.

I - 2 . De l'importance de la sécurité des données

Les systèmes informatiques modernes de gestion de laboratoires d'analyses de biologie médicale possèdent des fonctions élaborées et performantes d'analyse globale des dossiers des patients afin d'en vérifier la cohérence biologique et médicale et d'en préparer la validation par le biologiste.

Ces fonctions utilisent, notamment, les résultats antérieurs du patient, lorsqu'ils existent, pour affiner leur analyse en fonction du contexte clinique et thérapeutique.

L'absence de disponibilité d'un résultat antérieur, existant, ou sa corruption peut entrainer des conclusions erronées, soit sous forme de faux positifs, soit surtout sous forme de faux négatifs lesquels risquent de passer totalement inaperçus.

I - 3 . Intégrité des données

Le biologiste est responsable de l'intégrité des données contenues dans le système informatique du laboratoire, ce qui implique :

- que le système informatique soit conçu de façon à éviter les erreurs à tous les niveaux (saisies, traitements, stockages, liens dans la base de données, transmissions, éditions archivages, ...).

- qu'il existe des procèdures de vérification de l'intégrité des données (contrôles de dossiers par tirage au sort, vérification de la cohérence des données, ...) faisant partie du plan assurance qualité du logiciel conformément au chapitre XI : Contrôle et maintenance des systèmes informatiques de laboratoire.

- qu'il existe des procèdures permettant de restaurer les données à leurs valeurs d'origine en cas de constatation d'altération de celles-ci, et que ces procèdures fassent l'objet d'archives indiquant au minimum le type d'action effectuée, sa date et son heure, la liste des dossiers concernés ainsi que l'identité de la personne autorisée ayant effectué cette procèdure. Il est recommandé que les dossiers ayant fait l'objet d'une restauration ou correction des données soient marqués comme tels.

Le biologiste étant responsable du choix et du fonctionnement du système informatique, il doit s'assurer que le système informatique remplit bien ces spécifications et que les procèdures sont effectives et effectivement mises en oeuvre.

I - 4 . Intégrité de l'information

Le système informatique doit comprendre, le biologiste doit mettre en oeuvre, des procèdures destinées à éviter la perte d'informations en cas de panne ou de dysfonctionnement du système informatique, ce qui implique :

- que le système informatique comprenne une procèdure de sauvegarde de l'ensemble des données qu'il contient et des paramètrages correspondants.

- que ces sauvegardes fassent l'objet de procèdures identifiées, à intervalles de temps fixes prédéfinis en fonction de l'activité du laboratoire.

- que l'exécution de ces procèdures de sauvegarde fasse l'objet d'archives comprenant au minimum la date et l'heure d'exécution.

- qu'il existe effectivement une procèdure de restauration des données à partir de la dernière sauvegarde.

- qu'après une restauration des données à partir de la dernière sauvegarde, toutes les données qui ont été enregistrées depuis la dernière sauvegarde le soient à nouveau.

Remarques et recommandations :

l'obligation de ressaisie des données enregistrées depuis la dernière sauvegarde impose, sur un plan pratique, que le volume à ressaisir soit le plus faible possible, à cette fin les sauvegardes seront donc les plus fréquentes possibles, une sauvegarde par jour paraît être un bon compromis.

Il est recommandé que les procèdures de sauvegarde soient effectuées automatiquement, sans aucune intervention du personnel du laboratoire.

II . Confidentialite - Accès aux données

II - 1 . Confidentialité (cf. GBEA)

"Toutes les informations relatives aux patients doivent être considérées comme confidentielles et protégées par le secret professionnel.

Les résultats des analyses de biologie médicale ne peuvent être communiqués qu'au patient lui-même, au praticien prescripteur et à tout autre praticien désigné par le patient sauf dérogation ou règles spécifiques prévues par la loi et les règlements en vigueur."

II - 2 . Accès aux données et confidentialité

Le biologiste est garant de la confidentialité des informations relatives aux patients.

Le devoir de confidentialité s'étend à toute personne ayant accès aux données dans l'exercice normal de ses fonctions sous la responsabilité du biologiste.

Ce qui implique :

- que l'ensemble du personnel du laboratoire est soumis au secret professionnel.

- que les personnels des sociétés de services chargés de la maintenance du système informatique sont soumis au secret professionnel et au devoir de confidentialité.

II - 3 . Protection du secret professionnel

L'organisation du laboratoire et le système informatique du laboratoire doivent comprendre des dispositifs efficaces de protection des informations relatives aux patients contre toute tentative d'accès par des personnes non autorisées (violation active du secret) ainsi que contre toute visualisation de celles-ci par des personnes non autorisées, même sans tentative d'accès (violation passive du secret).

A cette fin l'accès au système informatique du laboratoire doit être protégé par une procèdure de connexion avec identification de la personne et un mot de passe personnel.

Le système informatique doit comprendre une procèdure de déconnexion des personnes autorisées, soit automatique après un intervalle de temps d'inactivité prédéfini, soit volontaire à la fin de l'exécution des tâches, ou mieux une association des deux. Cette procèdure doit afficher un écran neutre ne comprenant aucune information relative aux patients.

Toute tentative de connexion avec l'identification d'une personne autorisée, infructueuse après trois essais successifs doit invalider les droits d'accès de celle-ci et faire l'objet d'un rapport dans un fichier trace. Il est conseillé que cette invalidation des droits d'accès soit associée à une passivation du terminal correspondant, surtout si celui-ci est situé dans une zone où du personnes non autorisées peuvent se trouver (secrétariat, salles de prélèvements, ....)

Toute tentative de connexion avec une identification non autorisée, après trois essais successifs doit provoquer la passivation du terminal correspondant et faire l'objet d'un rapport dans un fichier trace.

Seul l'administrateur du système doit pouvoir soit rétablir les droits d'accès d'une personne autorisée après invalidation de ceux-ci, soit réactiver un terminal après sa passivation suite à une tentative d'accès a priori frauduleuse.

Aucun terminal apte à présenter des informations relatives aux patients (écrans, imprimantes, fax,....) ne doit se trouver dans les zones normalement accessibles au public en l'absence de personnel autorisé (salles d'attente, couloirs,...), l'agencement des locaux et l'implantation des terminaux du système informatique doivent être tels que la visualisation de données relatives aux patients par des personnes non autorisées ne soit pas possible.

II - 4 . Protection du secret professionnel et maintenance

Les personnels des sociétés de services chargés de la maintenance du système informatique sont soumis au secret professionnel vis à vis des informations liées aux patients qu'ils auraient à connaître dans l'exercice de leurs fonctions.

La société chargée de la maintenance doit s'engager, par contrat écrit, à ne jamais divulguer ni transmettre à quiconque les informations auxquelles elle aurait accès.

II - 5 . Protection du secret professionnel et télémaintenance

Les procèdures de télémaintenance doivent garantir le secret professionnel contre toute tentative d'accès par des personnes non autorisées.

A cet effet les dispositifs permettant l'accès au système informatique du laboratoire (modem, réseau public, ...) doivent être en permanence inactifs, ils ne doivent être rendus actifs qu'à l'initiative du biologiste ou de l'administrateur du système, avec l'accord du biologiste, après contact avec le technicien chargé de la télémaintenance.

Ces dispositifs ne doivent être actifs que pendant la durée nécessaire à la télémaintenance, la déconnexion du technicien effectuant la télémaintenance doit les inactiver.

La connexion du technicien de maintenance doit comporter une procèdure d'identification et d'autorisation de celui-ci avec un mot de passe personnel et inscription dans un fichier trace du système de gestion de laboratoire.

La procèdure de connexion doit identifier la personne effectuant la télémaintenance, en aucun cas une identification de la seule société de maintenance assortie d'un mot de passe générique ne devra être tolérée.

Le fichier trace de la télémaintenance doit comprendre outre les indications ci-dessus, la date et l'heure de début, la date et l'heure de fin et la liste des actions ou commandes effectuées par l'opérateur de télémaintenance.

III . Enregistrement des demandes - Prescription connectée

III - 1 . Droits des patients

Les patients ont le droit à bénéficier de tout acte médical anonymement, ils ont donc le droit de ne pas déclarer leur identité.

Les patients ont le droit de refuser que leur identité soit enregistrée au niveau du système informatique du laboratoire, ils doivent alors être prévenus de toutes les conséquences qui en découleraient.

Les patients ont le droit de vérifier et éventuellement de demander la correction de tout élément de leur identité enregistré au niveau du système informatique du laboratoire.

III - 2 . Identification des patients

Le biologiste doit tout mettre en oeuvre, dans la limite de ses moyens et des droits des patients, pour s'assurer :

- de l'exactitude de l'identité des patients

- de l'exactitude des droits à prestations de ceux-ci

A cette fin, il pourra demander la présentation de toute pièce permettant de justifier de l'identité du patient (carte d'identité, permis de conduire, carte professionnelle,...) comportant au moins une photographie.

En cas de non présentation, ou de refus de présentation de ces documents, le biologiste est tenu d'enregistrer le patient sous l'identité déclarée par celui-ci. Dans ces conditions il est conseillé :

- que le système de gestion du laboratoire comporte un item permettant de distinguer les dossiers pour lesquels l'identité du patient n'est pas garantie.

- que le système de gestion du laboratoire ne fasse pas le rattachement de ces dossiers avec des dossiers antérieurs ou futurs de patients ayant la même identité.

Le système informatique du laboratoire devra enregistrer au minimum :

- le nom du patient

- le nom de jeune fille pour les femmes mariées

- le prénom du patient

- la date de naissance du patient

- le sexe du patient

III - 3 . Données médicales et médico-administratives

Le GBEA précise que "Le biologiste doit refuser tout prélèvement effectué dans des conditions incorrectes. L'identité et la qualité du préleveur doivent être indiquées ..."

De même il indique que "Date du prélèvement : elle doit être connue avec précision, ainsi que l'heure du prélèvement, pour éviter ..."

En cas de refus de traiter un ou plusieurs prélèvements le biologiste doit pouvoir justifier ce refus. D'autre part le biologiste doit pouvoir disposer de tous les éléments utiles pour l'interprétation des résultats des analyses.

A ces fins, le système informatique du laboratoire doit permettre d'enregistrer, au minimum :

- l'identité du prescripteur

- l'identité et la qualité du préleveur

- la date et l'heure du (ou des) prélèvement(s)

- la nature du (ou des) prélèvement(s)

- les conditions particulières de prélèvement, ou les problèmes rencontrés, la conformité du (ou des) prélèvement(s) par rapport aux analyses à effectuer

- éventuellement les conditions particulières de transfert du (ou des) prélèvement(s)

- l'état et les caractèristiques du (ou des) prélèvement(s) à sa (leur) réception

- les renseignements cliniques, diagnostiques et thérapeutiques.

III - 4 . Prescription connectée

La prescription des analyses par voie télématique (prescription connectée) doit respecter le droit au libre choix du laboratoire exécutant par le patient. A cette fin, hors le cas où le prescripteur, en accord avec le patient, effectue lui-même le prélèvement et le prend en charge :

- l'original de la prescription doit être remis au patient par le prescripteur

- il ne peut pas y avoir de transfert direct, par voie télématique ou non, de la prescription du prescripteur vers un laboratoire. En effet si le patient choisissait de confier la réalisation des analyses à un autre laboratoire il serait en droit de porter plainte pour violation du secret professionnel

- le rapatriement automatique de la prescription au laboratoire doit être conditionné par la présence, au laboratoire, du patient ou des prélèvements.

La prescription connectée doit respecter le secret professionnel et la confidentialité, à ce titre elle doit se conformer strictement aux prescriptions relatives à la transmission de données nominatives (chapitre VII - Télécommunications et transmissions électroniques Art 2).

L'existence de procèdures de prescription connectée entre un (ou des) laboratoire(s) et un (ou des) prescripteur(s) ne doit en aucun cas être un argument à caractère commercial ou concurrentiel, elle ne doit pas faire l'objet d'une publicité quelconque.

Il est possible d'envisager la réalisation de serveurs spécialisés pour la prescription connectée, ceux ci devront satisfaire aux mêmes contraintes et obligations que les serveurs de résultats.

V . Validation biologique - Aides à la validation - Validation électronique

V - 1 . Rappels du GBEA

Art II -1.2 . Comptes rendus d'analyses - Obligations du biologiste :

"Le biologiste doit, en accord avec les dispositions réglementaires : valider les résultats des examens biologiques après s'être assuré de leur exécution conforme aux recommandations du présent guide;"

Art III - 3 . Validation des résultats

"La validation des résultats est double : elle comporte une validation analytique, qui peut être réalisée par le personnel d'exécution sous la responsabilité du biologiste, et une validation biologique qui est de la compétence exclusive du biologiste.

..........

La validation biologique doit s'assurer de la compatibilité de l'ensemble des analyses réalisées pour le même patient à des temps différents, compte tenu, le cas échéant, des variations de son état clinique, des traitements subis, et des résultats antérieurs. La fiche de renseignements cliniques est une aide pour l'interprétation des résultats et, éventuellement, la poursuite des investigations."

V - 2 . Validation biologique informatisée - Aides à la validation

Si la validation biologique est réalisée directement sur le système de gestion de laboratoire, le biologiste doit pouvoir disposer à ce niveau de toutes les informations nécessaires à son expertise, éventuellement sous forme synthètique ou abrégée, notamment :

- les renseignements sur le patient (âge, sexe, éventuellement profession, ...)

- les renseignements sur les conditions de prélèvement

- les renseignements sur la nature et les particularités des échantillons

- les renseignements cliniques et thérapeutiques

- les résultats antérieurs lorsqu'ils existent

- les divers commentaires, notamment ceux issus de la validation bio-technique.

Il est recommandé que le biologiste puisse disposer de ces informations traduites en clair par l'intermédiaire d'écrans pouvant être appelés à la demande.

Il est recommandé que le biologiste puisse accèder, à ce niveau, par l'intermédiaire d'écrans pouvant être appelés à la demande :

- à l'ensemble du dossier du patient (fiches précédentes)

- aux résultats du contrôle de qualité

- si elle existe à l'analyse du système d'aide à la validation bio-technique.

Si le système informatique dispose d'un module d'aide à la validation biologique, ou d'expertise biologique du dossier, le résultat de son analyse doit être disponible à ce niveau.

Le biologiste doit pouvoir, lors de la validation biologique, introduire tout commentaire qu'il juge utile à l'interprétation d'un ou plusieurs résultats, que ce soit au niveau de l'analyse élémentaire, au niveau de l'échantillon ou de la fiche patient dans sa globalité.

V - 3 . Validation biologique Assistée par Ordinateur (V.A.O.)

On entend par validation assistée par ordinateur ou V.A.O. le fait que le système informatique ne présente à la validation par le biologiste que les dossiers non acceptés par un module d'expertise biologique du dossier, qu'il soit intégré au système informatique de gestion de laboratoire ou sous forme d'un système spécialisé connecté à celui-ci.

L'utilisation de ce mode de validation n'exonère le biologiste d'aucune de ses responsabilités, notamment les dossiers validés biologiquement de cette manière le sont sous l'entière responsabilité du, ou d'un biologiste.

Le système de validation électronique doit être paramètré par le ou les biologiste(s) en ce qui concerne les modalités de validation ou non d'un dossier (bornes de normalités, de validation, d'alertes, delta-check, diagnostics, origine du patient ou prescripteur, sensibilité du système, ...), notamment le paramètrage doit tenir compte des caractèristiques spécifiques de la population des patients du laboratoire.

L'expertise effectuée par le système de validation électronique doit être le reflet de la connaissance et de l'expertise du ou des biologiste(s) et sera considéré comme tel.

Tous les dossiers validés électroniquement doivent être marqués comme tels et comporter tous les indicateurs issus du système de validation électronique, l'ensemble de ces marqueurs doivent également être présents au niveau des archives à long terme.

Un biologiste a le droit de refuser d'utiliser un procédé de validation électronique, en cas de pluralité de biologistes au sein d'un laboratoire le système de validation électronique doit pouvoir être désactivé, soit spécifiquement pour tous les dossiers devant être validés par un biologiste, soit totalement lorsque celui-ci a la responsabilité de la validation biologique de l'ensemble des dossiers du laboratoire.

Si le laboratoire ne comprend qu'un seul biologiste, tous les dossiers validés électroniquement le seront sous son nom.

Si le laboratoire comporte plusieurs biologistes, les dossiers validés par ce système le seront soit au nom d'un biologiste présent ayant accepté d'utiliser ce système, soit d'un biologiste ayant spécifiquement accepté de prendre la responsabilité des dossiers ainsi validés.

V - 4 . Traçabilité de la validation biologique

Il est recommandé que le système puisse enregistrer au niveau de la fiche du patient l'ensemble des indicateurs définis ci-dessus.

Si le système dispose d'un module d'aide à la validation biologique, il est recommandé que le résultat de son analyse soit intégré dans la fiche du patient, tant en ce qui concerne son analyse globale qu'au niveau de chaque paramètre analysé.

De même il est recommandé que le système puisse enregistrer, au niveau de la fiche du patient, le code ou l'identité du biologiste ayant effectué la validation biologique.

La validation biologique pouvant être fragmentée au niveau d'une analyse ou d'un groupe d'analyses à l'intérieur d'une fiche de patient, en fonction des spécialités plus particulières de chaque biologiste, il est recommandé que ces informations soient enregistrées au niveau de l'analyse élémentaire à l'intérieur de la fiche.

Si un système de validation électronique est utilisé pour trier les dossiers et ne présenter à la validation biologique que les dossiers non acceptés par celui-ci, les recommandations ci-dessus deviennent des obligations, de plus tous les dossiers validés par ce module doivent, obligatoirement, être marqués comme tels et comporter tous les indicateurs définis ci-dessus, y compris le code ou l'identité du biologiste au nom duquel la validation électronique a été effectuée.

VI . Libération des résultats - Signature électronique

VI - 1 . Rappel du GBEA

"Les comptes rendus d'analyses doivent figurer sur un papier à en-tête du laboratoire comportant les mentions fixées réglementairement et être signés par le biologiste."

"Les comptes rendus ne peuvent être communiqués qu'après les opérations de validation. Toutefois pour les patients hospitalisés et dans le cas des examens demandés en urgence, des résultats partiels peuvent être transmis avant la validation biologique ...."

VI - 2 . Libération des résultats - Comptes rendus

Si la validation biologique est effectuée directement sur le système informatique, il est recommandé que l'édition des résultats ne soit possible que lorsqu'ils sont marqués comme biologiquement validés.

De la même façon, il est également recommandé que seuls les résultats des examens marqués comme étant effectués en urgence, ou transmis en urgence compte tenu du pronostic qu'ils impliquent, puissent être édités en l'absence de validation biologique, dans des conditions définies par le biologiste, sous sa responsabilité. Le système informatique devra pouvoir gérer ces contraintes particulières (items spécifiques, paramètrage, ...). Les éditions correspondantes devront comporter une mention indiquant qu'elles ont été transmises avant validation biologique vu l'urgence, et les dossiers devront être marqués comme tels.

Lorsqu'un résultat partiel aura été transmis avant validation biologique, le système devra pouvoir le rééditer après validation biologique, le compte rendu définitif devra porter une mention indiquant qu'il annule et remplace le compte rendu partiel précédent.

VI - 3 . Signature électronique

Lorsque les comptes rendus sont transmis par voie télématique, il est recommandé qu'ils comportent la totalité des éléments obligatoires tels que définis dans le GBEA (en-tête, mentions fixées réglementairement, ...) , y compris la signature.

A cette fin les systèmes informatiques de laboratoire devront pouvoir permettre l'apposition de la signature électronique du biologiste sur les comptes rendus en utilisant les moyens et les modalités définis réglementairement pour la transmission des feuilles de soins électroniques.

Si les comptes rendus sont transmis uniquement par voie télématique, sans transmission a posteriori de documents sur papier, en raison d'un contrat d'interchange avec le médecin concerné, les recommandations précédentes deviennent des obligations.

VII . Télécommunications et transmissions électroniques

VII - 1 . Echanges électroniques entre les laboratoires d'analyses médicales et les caisses d'assurance maladie.

Les transmissions électroniques de données des laboratoires vers les caisses d'assurance maladie font l'objet de décrets, arrêtés et circulaires qui en définissent le contenu et les modalités, ainsi que de protocoles d'accords conventionnels, l'ensemble de ces documents fait partie intégrante du présent guide.

VII - 2 . Transmissions de données nominatives.

Les transmissions de données nominatives à caractère médical ou médico-administratif telles que : identité (nom, prénom, sexe, age, adresse, ...), prescriptions, résultats d'analyses, renseignements cliniques et thérapeutiques, même codées lorsque ces codes permettent de rétablir l'information initiale (CDAM, CIM10, NCAM, ...) ou de retrouver l'identité du patient (N° sécurité sociale, N° INSEE, N° d'hospitalisation, NIP, ...) sont sous la responsabilité de l'émetteur. Il est de sa responsabilité de s'assurer que :

1) les procèdures utilisées garantissent la confidentialité
ce qui implique :

a) lorsque ces données doivent transiter sur un réseau ouvert (type internet, intranet, ...) celles-ci doivent être cryptées. Le cryptage doit concerner au minimum toutes les données permettant d'identifier le patient (Nom, prénom, sexe, adresse, N° INSEE, No sécurité sociale, ...) et/ou le prescripteur (Nom, prénom, adresse, N° professionnel, N° d'enregistrement à l'ordre, ...). Il est conseillé que ce cryptage concerne également les éléments permettant d'identifier l'émetteur et le receveur du ou des messages.

b) lorsque les données doivent transiter sur un réseau interne à un établissement sur lequel peut se connecter du personnel non médical ou non paramédical, les règles relatives aux transmissions utilisant un réseau ouvert s'appliquent.

c) l'identification du receveur et la vérification des droits de celui-ci à recevoir ces données.

Le receveur n'est pas forcèment une personne physique, cela peut être un ordinateur qui devra être identifié de façon absolue par un nom, une adresse physique ou tout autre moyen spécifique au protocole utilisé.

Dans le cas où le receveur est une personne physique, son identification et son authentification devront comprendre au minimum un code d'accès et un mot de passe de 8 caractères alphanumériques strictement personnels ou utiliser les procèdures d'identifications correspondantes à l'utilisation de la carte des professionnels de santé.

Dans le cas où le receveur est un ordinateur, il est de la responsabilité de l'administrateur médical de celui-ci de vérifier que seuls les personnels effectivement autorisés aient accès à ces données.

2) les procèdures garantissent l'intégrité des données transmises.

Ce qui implique que le protocole de transfert des données doit comporter des procèdures efficaces de contrôle des échanges vérifiant que le ou les messages reçus sont identiques au(x) message(s) envoyé(s) et que ces procèdures soient effectivement actives.

Au cas où de telles procèdures ne seraient pas utilisées (en raison de problèmes momentanés par exemple) le message émis doit en comporter la mention en clair afin d'avertir le receveur de la possibilité d'erreurs dans la transmission des données.

En cas d'échec de transmission ou de rupture de communication en cours de transmission le protocole de transfert doit permettre de retransmettre automatiquement et intégralement le ou les messages non ou non intégralement transmis.

3) l'archivage des transmissions est assuré

Dans tous les cas le protocole de communication devra archiver, pendant la durée légale d'archivage des dossiers des patients, la référence du ou des dossiers et l'identité du ou des receveurs, la date et l'heure d'émission du message acquitté par le receveur.

En cas de transmissions multiples d'un même dossier pour complèment ou mise à jour, chacune des transmissions devra être archivée dans les mêmes formes.

Ces archives devront pouvoir être éditables et consultables à tout moment.

VII - 3 . Utilisation de serveurs de résultats.

1) Présentation des résultats par le serveur

En cas d'utilisation d'un serveur de résultats destiné à transmettre les comptes rendus des analyses effectuées par le laboratoire il est de la responsabilité du ou des biologistes de s'assurer que les présentations des résultats faites par le serveur, quelles qu'en soient les modalités techniques (papier, terminal spécifique passif, micro-ordinateur, minitel, ...), sont conformes aux comptes rendus transmis et que toutes les informations contenues dans le compte rendu sont effectivement présentes dans les présentations effectuées par l'intermédiaire du serveur.

En aucun cas il ne peut être toléré que le serveur réduise l'information à des mentions ou des indicateurs faisant seulement référence à l'existence d'une donnée complémentaire quel qu'en soit son type.

Au cas où un serveur ne remplirait pas ces spécifications, le ou les biologistes ont le droit de refuser d'utiliser ce serveur, sans justifications supplémentaires et sans que ce refus leur soit opposable, quelle que soit la forme juridique de leur mode d'exercice.

2) Protocole de transfert des résultats - Sécurité des données

Le protocole d'échange de données entre le système informatique du laboratoire et le serveur doit assurer l'intégrité des données, et à ce titre doit suivre les mêmes règles que celles applicables aux échanges de données nominatives.

Le protocole d'échange de données entre le serveur et l'utilisateur final doit assurer l'intégrité des données, et à ce titre doit suivre les mêmes règles que celles applicables aux échanges de données nominatives.

Il est recommandé que le serveur puisse transmettre au système informatique de laboratoire la date et l'heure de mise à disposition des données à l'utilisateur final, surtout si cette mise à disposition nécessite un traitement de l'information au niveau du serveur.

Il est également recommandé que le serveur puisse transmettre au système informatique de laboratoire la date et l'heure de consultation des données par l'utilisateur final.

Au cas où les archives du système informatique de laboratoire pourraient avoir une valeur médico-légale, les recommandations précédentes deviendraient des obligations et les informations correspondantes devraient faire partie intégrante de ces archives.

En cas d'échec de transmission ou de rupture de communication en cours de transmission le protocole de transfert doit permettre de retransmettre automatiquement et intégralement le ou les messages non ou partiellement transmis.

3) Confidentialité

Les échanges de données entre un système informatique de laboratoire et un serveur de résultats correspondent à des échanges de données nominatives médicales et médico-administratives dont le receveur est un ordinateur et à ce titre doivent en suivre toutes les prescriptions et obligations (cf VII- 2 -1).

4) Archivage des transmissions

Lors de l'utilisation d'un serveur de résultat le système informatique du laboratoire conservera les archives des communications dans les mêmes formes et pendant la même durée que dans le cas de transmissions de données nominatives (cf VII- 2 -3).

Elle consiste à enregistrer, sous la responsabilité directe du médecin prescripteur, la demande d'examen(s) biologique(s) sur un microordinateur et à transmettre tous les éléments de cette demande à un serveur spécialisé consultable par le laboratoire.

Les contraintes correspondant au protocole et à la sécurité du transfert des données sont les mêmes que ceux décrits au chapitre VII-3-2.

L'identité du médecin prescripteur doit être obligatoirement mentionnée, soit en clair, soit à l'aide d'un mot de passe d'identification connu par le SIL.

Il est souhaitable qu'à l'occasion de la mise en place de ces protocoles, une optimisation des demandes biologiques soit réalisée par pathologies principales ou par dialogue clinico-biologique.

VII - 5 . Utilisation de serveurs dans le secteur libéral.

L'utilisation de serveurs de prescriptions ou de résultats ne peut, en aucun cas, être un argument à caractère commercial ou concurrentiel, et ne peut faire l'objet d'une quelconque publicité.

En aucun cas un serveur ne doit être dédié à un, ou un groupe, de professionnels de santé. Tout professionnel de santé désirant utiliser un serveur doit pouvoir y avoir accès, la seule limitation possible étant l'acquittement de droits d'accès prédéfinis destinés à assurer le fonctionnement du serveur.

L'accès aux divers serveurs doit être strictement réservé aux professionnels de santé, ils doivent être protégés contre toute tentative de connexion par des personnes non autorisées.

Chaque professionnel de santé autorisé doit y être identifié, cette identification étant assortie d'autorisations d'accès et de droits spécifiques et personnels.

Chaque professionnel de santé ne peut accèder au niveau du serveur qu'aux informations qui lui sont spécifiquement destinées, soit nominativement, soit à partir d'éléments d'identification du patient (prescription connectée), il est recommandé dans ce dernier cas que ce soit la présence de la carte patient au niveau d'un terminal du professionnel de santé qui donne ces autorisations.

Tout serveur contenant des informations médicales, nominatives ou non, doit être sous l'autorité d'un administrateur médical garant du respect des règles déontologiques d'utilisation de celui-ci, ainsi que du respect du secret médical et de la confidentialité.

L'administrateur médical du serveur devra, lui même, être sous une autorité morale et professionnelle incontestable, il est conseillé qu'il soit sous l'autorité conjointe des ordres professionnels régionaux ou nationaux, suivant la vocation régionale ou nationale du serveur.

Toutes les informations contenues dans le serveur, qu'elles concernent les patients ou les professionnels de santé, sont considérées comme confidentielles et ne pourront faire l'objet d'une transmission à quiconque, hors des cas prévus expressément par la loi ou la réglementation en vigueur.

Le serveur devra conserver une trace horodatée, nominative, de toutes les connexions et tentatives de connexions, des transactions effectuées.

VIII . Archives

VIII - 1 . Rappels de la législation

La loi du 3 janvier 1979 définit les archives comme :

"l'ensemble des documents, quels que soient leur date, leur forme et leur support matériel, produits ou reçus par toute personne physique ou morale, et par tout service ou organisme public ou privé, dans l'exercice de leur activité".

1 - Laboratoires réalisant des analyses de biologie médicale dans les établissements publics de santé

Arrêté portant réglement des archives hospitalières du 11 mars 1968

SERIE R : Archives Médicales

2 - Laboratoires soumis aux dispositions de la loi du 11 juillet 1975

Décret du 4 novembre 1976 :

Art. 21. - Le relevé chronologique des analyses exprimées en unités, effectuées par le laboratoire ou transmises par ce laboratoire à un autre laboratoire est établi et conservé pendant une période de dix ans. Il est tenu à la disposition des autorités chargées du contrôle des laboratoires et de la bonne exécution des analyses.

Art. 22. - Les résultats nominatifs des analyses effectuées par le laboratoire sont conservés pendant une période d'au moins cinq ans.

Les résultats nominatifs des analyses d'anatomie et cytologie pathologiques sont conservés pendant une période d'au moins dix ans.

VIII - 2 . Définition

En complément de la loi du 3 janvier 1979, sur le plan informatique, est considéré comme archive l'ensemble des données dont le traitement est terminé et ne devant plus être modifiées, ces données ne sont alors que consultables.

La loi du 3 janvier 1979 précise "quels que soient leur date, leur forme et leur support matériel", les archives informatiques ne se distinguent donc pas des autres archives et à ce titre doivent en suivre intégralement l'ensemble des obligations et prescriptions.

On distingue :

- les archives en ligne (encore appelées archives vivantes) qui correspondent à l'ensemble des données dont le traitement est considéré comme terminé mais encore présentes au niveau de la base de données et directement accessibles par le logiciel de gestion de laboratoire, ce terme est impropre au regard de la notion d'archive mais a été consacré par l'usage et est conservé ici compte tenu de ses implications.

- les archives à long terme (ou archives mortes) qui correspondent à l'ensemble des données qui ont été transférées sur un support externe à fin de stockage définitif, elles ne sont pas directement accessibles, elles nécessitent, pour être consultées, soit un module spécifique, soit un programme spécifique.

Les archives à long terme ne doivent pas être confondues avec les sauvegardes qui ne sont que temporaires.

Le mot archive sans qualificatif supplémentaire désigne les archives à long terme.

VIII - 3 . Archives en ligne

Les archives en ligne correspondent aux données consultables directement par le logiciel de gestion de laboratoire, sans autre intervention qu'une connexion d'un utilisateur autorisé.

Il est de la responsabilité du fournisseur du logiciel de gestion de laboratoire de garantir, et du biologiste de vérifier que :

- un dossier doit avoir le statut d'archive dès qu'il a fait l'objet d'un compte rendu définitif.

- les données correspondantes ne sont a priori plus modifiables.

- toutefois si le logiciel de gestion de laboratoire possède une procèdure spécifique de modification des archives en ligne, afin de garantir la cohérence de la chaîne de transmission des données, celle-ci doit :

. n'être accessible qu'à des personnels spécifiquement autorisés,

. marquer le ou les dossiers modifiés, avec :

. mention en clair de l'existence d'une modification a posteriori,

. indication de la date et l'heure de la modification,

. indication de l'identité (ou le code utilisateur) de la personne ayant effectué la ou les modifications.

. si possible, indication de la ou des raisons de la modification et les résultats ou commentaires affectés par celle-ci

- si un dossier archivé a fait l'objet d'une quelconque modification, il doit être à nouveau soumis aux procèdures de validation biologique et de signature si elles existent au niveau du logiciel, et, en tout état de cause, d'impression d'un nouveau compte rendu portant mention de la modification et indiquant qu'il annule et remplace le compte rendu précédent.

- si le système de gestion de laboratoire est connecté à un serveur de résultats il assure la mise à jour au niveau de ce serveur de tous les dossiers modifiés, mise à jour portant également la mention de la modification.

- en aucun cas un dossier ayant fait l'objet d'un archivage à long terme ne peut être modifié, même s'il est encore présent au niveau des archives en ligne.

VIII - 4 . Archives à long terme

1 ) Caractères généraux des archives et des archives électroniques.

Il est de la responsabilité du biologiste de vérifier que :

- le support utilisé ait une durée de conservation au moins égale à la durée de conservation des archives

- le support utilisé ne permette aucune modification des archives à long terme (support non réinscriptible) assurant ainsi le caractère définitif de ces archives

- les archives sont effectuées en au moins deux exemplaires conservés dans des lieux différents (à ce titre deux pièces du laboratoire ne peuvent pas être considéré comme des lieux différents). Pour des raisons évidentes de sécurité (incendie, inondation, ...), il est conseillé que les différentes copies soient conservées dans des bâtiments distincts

- afin d'assurer la confidentialité des données, les archives seront entreposées dans des lieux sûrs, fermés à clef, accessibles uniquement aux personnes autorisées

- afin d'assurer la sécurité des données contenues dans les archives, celles-ci seront conservées dans des locaux adaptés à cet usage, permettant la conservation des documents sans altération (température, état hygromètrique, lumière, champ électro-magnétique, ...)

- tout dossier ayant fait l'objet d'un archivage à long terme et encore présent au niveau de la base de données accessibles par le système de gestion de laboratoires doit être marqué comme tel et rendu définitivement non modifiable (accès en lecture uniquement)

- les archives sont complètes, ce qui implique que l'ensemble des dossiers traités pendant les arrêts du système informatique, soit ressaisis (cf chapitre I - Sécurité des données Art 2).

2 ) Particularités des archives électroniques

Si le laboratoire désire conserver des archives uniquement sous forme électronique, il est de la responsabilité du biologiste de vérifier que :

- le contenu de ces archives soit consultable et éditable pendant toute la durée légale de conservation

- le contenu de ces archives permette l'édition de tous les documents légaux

- le contenu de ces archives permette de reproduire les documents (comptes rendus, journaux, ...) ce qui implique que tous les éléments variables pouvant influer sur un résultat ou sa présentation (paramètrages du logiciel : noms ou codes des analyses, valeurs de référence, phrasiers, bornes d'interprétation, cotation, ...) soient présents au niveau des archives

- le ou les signataires des différents documents y soient clairement et sûrement identifiés.

VIII - 5 . Contenu des archives à long terme

1 ) Obligations légales - Contenu minimum des archives électroniques

Conformément au décret du 4 novembre 1976 (Art 21 et 22), le contenu des archives à long terme doit au minimum :

- permettre l'édition du journal légal (relevé chronologique des analyses exprimées en unités)

- permettre l'édition des résultats nominatifs des analyses effectuées par le laboratoire.

Il est de la responsabilité du biologiste de vérifier que le contenu des archives à long terme suive ces prescriptions et ce pendant toute la durée légale de conservation.

2 ) Recommandations particulières

Si le système informatique gère les registres relatifs au GBEA, il est conseillé que les fiches de ces registres correspondant à la période des dossiers des patients soient archivées sur le même support, et soient consultables et éditables. Cela concerne :

- les résultats des contrôles de qualité internes

- les procèdures opératoires

- les documents relatifs aux matériels et à leur maintenance

- les documents relatifs aux réactifs et matériels consommables

- les documents relatifs à l'enlèvement des déchets

- les comptes rendus des mesures prises pour corriger les anomalies observées à la suite du résultat du contrôle de qualité national

- les documents relatifs à l'organisation du laboratoire

- les documents relatifs au personnel (formation, compétence,...)

Si le système informatique gère un registre particulier relatif au contrôle de qualité national, il est recommandé que les fiches de ce registre correspondant à la période des dossiers des patients soient archivées sur le même support et soient consultables et éditables.

IX. Traçabilité

IX - 1 . Définition

"La traçabilité est l'aptitude à retrouver l'historique, l'utilisation ou la localisation d'une entité au moyen d'identifications enregistrées." (ISO 8402)

En ce qui concerne les systèmes informatiques de laboratoire on doit considérer la traçabilité comme étant l'aptitude de ceux-ci à retrouver l'historique de toutes les actions et leurs origines (automatiques ou acteur identifié) pouvant influencer le résultat final et sa transmission, le respect de la confidentialité ou le fonctionnement global du système.

IX - 2 . Traçabilité des systèmes informatiques de laboratoire

Le présent guide définit dans ses divers titres les actions devant faire l'objet de traces et leurs modalités.

En tout état de cause il est recommandé que toutes les actions (saisies, modifications, validations, transmissions, expertises de systèmes d'aide à la validation bio-technique ou biologique, ...) concernant les résultats ou les fiches des patients fassent l'objet de traces horodatées sous forme d'indicateurs au niveau de la fiche du patient elle-même (association de la trace à l'item concerné) avec indication de l'action et de son auteur.

Dans le cas où les archives seraient conservées uniquement sous forme informatique la recommandation précédente deviendrait une obligation.

Il est également recommandé que tous les éléments influant sur la qualité des résultats (contrôles de qualité, maintenances, réactifs, ...) fassent également l'objet de traces pouvant dans la mesure du possible être rattachées à un résultat ou un dossier.

IX - 3 . Traçabilité et registres du GBEA

Le GBEA définit un ensemble de registres dont un certain nombre concernent des éléments soit influençant la qualité du résultat soit son mode d'expression, ce sont notamment les registres concernant :

- les réactifs (trousse, N° de lot, N° d'enregistrement, date de péremption, ...)

- les procèdures analytiques (notamment en ce qui concerne les bornes de normalité ou les seuils d'interprétation)

- les automates (références, contrôles, maintenances, évolutions, ...)

- le système informatique de gestion du laboratoire (au même titre que les automates, versions, mises à jour, ...)

- l'évaluation de la qualité (contrôle de qualité interne, externe, alarmes, actions suivant les alarmes, ....)

- la qualification du personnel et les plannings

Dans le cas où ces registres sont informatisés, situés soit au niveau du système informatique de gestion du laboratoire soit sur un ordinateur indépendant, ils sont obligatoirement horodatés il est recommandé qu'il puisse être fait un lien entre ces registres et les résultats ou les fiches des patients.

IX - 4 . Durée de conservation des traces, archivage

L'ensemble des traces doit avoir une durée de conservation au minimum égale à la durée légale de conservation des archives de l'item auquel elles se rapportent.

>La durée légale de conservation des archives étant en tout état de cause supérieure à un an, il est conseillé que ces archives contiennent l'ensemble des traces, fichiers de traces et registres du GBEA de la période correspondante.

X . Informatique et libertés - Déclaration des logiciels de gestion de laboratoire

X - 1 . Informatique de laboratoire et loi du 6 janvier 1978 (informatique et libertés)

Les systèmes informatiques de gestion de laboratoire comportent des informations nominatives sur les patients au sens de l'article 4 de la loi du 6 janvier 1978.

Ils assurent également des traitements automatisés d'informations nominatives au sens de l'article 5 de cette même loi.

A ces deux titres la loi 78-17 du 6 janvier 1978 leur est totalement opposable.

X - 2 . Déclaration des systèmes informatiques de laboratoire

Tout système assurant un traitement automatisé d'informations nominatives doit obligatoirement faire l'objet d'une déclaration à la Commission Nationale Informatique et Libertés (CNIL), déclaration préalable à son utilisation.

Tout système non encore déclaré est illégal, il peut engager la responsabilité civile et pénale de son responsable, et devra faire l'objet d'un déclaration en bonne et due forme dans les délais les plus brefs.

Selon le mode d'exercice cette déclaration se fera :

- en biologie privée, conformément à l'article 16 de la loi 78-17 du 06/01/78, la mise en oeuvre du traitement ne peut être effectuée qu'après réception du récépissé qui est délivré sans délai par la CNIL

- en secteur public hospitalier, y compris les établissements privés participant au service public hospitalier (PSPH), conformément à l'article 15 de la loi 78-17 du 06/01/78, la mise en oeuvre du traitement ne peut être effectuée qu'après réception de l'avis favorable de la CNIL et publication de l'acte réglementaire.

Il est rappelé que ce ne sont ni le matériel informatique ni le logiciel qui doivent être déclarés à la Commission Informatique et Libertés, mais les traitements automatisés d'informations nominatives, c'est-à-dire chaque installation, individuellement avec l'ensemble de ses caractéristiques, modalités et finalités.

La déclaration doit être effectuée par la personne physique ou morale mettant en oeuvre le traitement automatisé.

X - 3 . Cas particulier des laboratoires hospitaliers

Dans le cas des laboratoires hospitaliers publics ou privés PSPH, c'est la personne morale qui doit faire la déclaration, sous la signature du directeur général, du directeur ou par délégation du directeur, du responsable des systèmes informatiques ou toute autre personne désignée à cet effet.

Le biologiste ayant à mettre en oeuvre le fonctionnement et l'utilisation du système informatique de laboratoire, notamment en ce qui concerne ses modalités et ses finalités, doit demander et obtenir une copie de l'avis favorable de la CNIL et de l'acte réglementaire autorisant le traitement automatisé d'informations nominatives, avant sa mise en oeuvre.

Ces copies doivent être conservées, au laboratoire, avec l'ensemble des documents concernant le système informatique.

X - 4 . Information des patients, droits d'accès

Les patients doivent être informés de l'existence d'un traitement automatisé d'informations nominatives les concernant.

Si l'acte réglementaire ne précise pas le caractère obligatoire d'un traitement automatisé, toute personne a le droit de s'opposer à ce que des informations nominatives la concernant fassent l'objet d'un traitement.

Les patients doivent être informés :

- du caractère obligatoire ou facultatif des réponses

- des conséquences à leur égard d'un défaut de réponse

- des personnes physiques ou morales destinataires des informations

- de l'existence d'un droit d'accès et de rectification.

XI . Contrôle et maintenance

XI - 1 . Objet du contrôle des systèmes de gestion de laboratoire

Tous les systèmes informatiques de gestion de laboratoire génèrent ou modifient des données en fonction de critères définis par l'utilisateur (résultats calculés, commentaires générés à partir de résultats, présentations, ....) ou de critères spécifiques du logiciel (liens entre fiches, stockage des données sous une forme différente de celle affichée, ...).

Le contrôle porte sur la vérification de la pertinence des modifications ou créations de données par le logiciel et de sa permanence dans le temps.

Les contrôles sont soit :

- initiaux : pour valider toute modification au niveau du système (paramètrage, matériel, versions, ...). La validation et l'acceptation des modifications sont de la responsabilité du biologiste, en cas de modification importante (changement de version par ex.) cette validation peut être effectuée sous réserve de l'absence de constatation d'anomalie dans un délai prédéfini. Sont concernées à ce titre les opérations de maintenance dites correctives ou évolutives.

- de fonctionnement : pour vérifier le bon fonctionnement du système lors de son évolution dans le temps (nombre de dossiers en ligne, opérations de maintenance, épurations de fichiers, ...).

XI - 2 . Contrôles initiaux

Toute modification au niveau du système doit faire l'objet d'une fiche de contrôle initial indiquant au minimum :

- la date et l'heure de la modification

- la modification effectuée

- le résultat attendu

- le résultat obtenu

- le cas échéant un rapport d'anomalie

- l'acceptation ou le rejet de la modification

- le délai au bout duquel la modification sera considérée comme définitivement validée en l'absence d'anomalie.

Toute modification doit pouvoir s'accompagner d'un retour aux conditions antérieures en cas de rejet de celle-ci.

Les contrôles initiaux concernent notamment l'installation ou la modification de fonctionnalités et les paramètrages du logiciel (systèmes, analytiques, présentations, ...).

XI - 3 . Contrôles de fonctionnement

Les systèmes informatiques de gestion de laboratoire subissent du fait de leur fonctionnement un certain nombre d'évolutions (taille des fichiers, espace mémoire, espace disque libre, ...) ou de modifications (paramètrages, réorganisations de fichiers, épurations, déplacement ou restauration de données, ...).

Les contrôles de fonctionnement ont pour but de vérifier que ces modifications n'ont pas de conséquences sur la logique de fonctionnement du système et qu'elles n'entraînent pas de modifications ou de pertes de données.

Il sera apporté un soin tout particulier au contrôle de la cohérence et du contenu des dossiers des patients, à cette fin il est conseillé :

- d'effectuer un tirage au sort d'un nombre prédéfini de dossiers

- de vérifier leur contenu après la saisie

- de vérifier la cohérence de ceux-ci (liens entre les diverses fiches de chaque dossier, valeurs antérieures, ...)

- d'effectuer des contrôles itératifs de ces dossiers, pendant leur durée de présence au niveau de la base de données, notamment après des modifications importantes liées soit à des modifications des paramètrages soit à des opérations de maintenance

- de consigner dans un rapport de contrôle, par dossier : l'identification du dossier, les dates et heures des contrôles, les éléments contrôlés, les conclusions des contrôles, le cas échéant un rapport d'anomalie.

XI - 4 . Rapport d'anomalie

Toute anomalie de fonctionnement du système doit faire l'objet d'un rapport comportant au minimum :

- la date et l'heure de constatation de l'anomalie

- l'anomalie constatée

- les conditions de survenue de l'anomalie

- les mesures prises pour corriger l'anomalie.

XI - 5 . Maintenance

La maintenance est destinée à assurer un fonctionnement optimal du système (performances, temps de réponse, ...) et à éviter toutes conditions pouvant entraîner une perte ou altération de données.

Les opérations de maintenance sont des opérations effectuées à intervalles de temps prédéfinis par le fournisseur en fonction de critères liés à l'activité du laboratoire et/ou aux caractéristiques du système.

Il est conseillé de tenir un registre de maintenance dans lequel sont consignés :

- la date et l'heure de l'opération de maintenance

- la nature de l'opération

- les conditions de fin (normale, anormale, arrêt prématuré, ...)

- la date et l'heure de fin

- éventuellement un rapport d'anomalie.

Chaque fois que cela est possible il est conseillé que les opérations de maintenance aient lieu automatiquement, sans intervention du personnel du laboratoire avec possibilité de retour automatique à l'état antérieur, en cas d'anomalie ou d'arrêt prématuré, et enregistrement des éléments définis ci-dessus dans un fichier de trace.

XI - 6 . Plan assurance qualité

Il est de la responsabilité du biologiste de mettre en oeuvre le plan assurance qualité du système informatique de gestion du laboratoire.

A cet effet il pourra désigner un responsable qualité du système informatique.

Le plan assurance qualité comprendra au minimum :

les procèdures concernant :

- l'installation

- la maintenance (Corrective, évolutive et de fonctionnement)

- les contrôles (initiaux, de fonctionnement)

- les sauvegardes

- les restaurations

- l'archivage

- le paramètrage

les rapports :

- des contrôles

- des maintenances

- d'anomalies

les modes opératoires

XII . Certification des systèmes de gestion de laboratoire

XII - 1 . Définition

La certification d'un système informatique de gestion de laboratoires est la fourniture d'un document (certificat) par un organisme indépendant certifiant que ce système, en fonction de documents fournis ou de contrôles effectués, satisfait à un certain nombre de prescriptions provenant d'une règlementation, une norme ou un guide.

La certification peut découler d'obligations réglementaires, ou d'engagement volontariste envers des organismes délivrant les certificats.

La certification peut être liée au système lui-même (logiciel notamment), indépendamment de son paramètrage, elle est alors valable pour toutes les installations de la même version du système (ou logiciel).

La certification peut être liée à des modalités particulières d'utilisation du système, elle n'est alors valable que pour l'installation concernée.

XII - 2 . Le certificat

Le certificat doit indiquer clairement si le système satisfait à l'ensemble des prescriptions d'un règlement, une norme ou un guide.

Dans le cas contraire il doit indiquer que le système ne satisfait pas à l'ensemble des prescriptions et citer chacune des prescriptions qui sont satisfaites.

Le certificat doit également préciser son domaine de validité (installation spécifique, logiciel, version, ...)

XII - 3 . Fonctions du système soumises à certification

En fonction de l'évolution de la règlementation un certain nombre de fonctions des systèmes de gestion de laboratoire pourront ou devront être certifiées (signature électronique, procèdures de connexion au réseau santé social, archives, ...), chaque fois que la règlementation prévoiera la nécessité d'une certification.

En l'état actuel de la règlementation, seules les procèdures de communication avec l'assurance maladie sont soumises à certification .

XIII . Cas Particulier : biologie délocalisée

XIII - 1 . Définition

Les analyses de biologie délocalisée sont des analyses effectuées dans des établissements de soins publics ou privés, par les médecins non biologistes ou le personnel soignant, en dehors des locaux spécifiquement dédiés à la biologie médicale.

Il est nécessaire d'avoir recours à la biologie délocalisée dans le contexte de certaines unités de soins éloignées, qui ont besoin, pour quelques examens particuliers, d'obtenir en urgence des résultats analytiquement fiables. Ces structures doivent être sous l'entière maîtrise du laboratoire.

XIII - 2 . Maîtrise par le laboratoire des systèmes analytiques

1 ) Connexion au système informatique du laboratoire

Elle doit permettre la surveillance d'un analyseur multiparamétrique éloigné du laboratoire central, les messages de fonctionnement et les résultats seront transmis en temps réel au laboratoire pour expertise et intervention si nécessaire avant de rejoindre le dossier biologique du patient.

Quelle que soit la circulation des données, des avertisseurs de rupture de connexion doivent être mis en place.

2 ) Confidentialité

Un code d'accès individuel et hiérarchisé devra être remis aux différents utilisateurs, celui-ci étant complété par un mot de passe personnel .

Dans le cadre d'une utilisation par plusieurs unités de soins, une confidentialité inter-service devra être respectée.

3 ) Enregistrement du patient

L'enregistrement doit être le plus simple et le plus fiable possible.

Il doit comporter au minimum les éléments nécessaires à son intégration dans le système informatique du laboratoire.

Il est souhaitable de l'accompagner de:

- commentaires et/ou de renseignements sur l'état clinique et thérapeutique du patient

- l'identification de l'opérateur autorisé

- date et heure du passage de l'échantillon

- nature et condition particulière du prélèvement

- zone commentaire permettant de noter tout élément utile à l'interprétation des résultats

4 ) Validations

Le laboratoire doit avoir accès aux calibrages, aux contrôles de qualité, aux alarmes et maintenances.

Avant d'être intégrés dans le dossier patient au niveau du service, les résultats devront faire l'objet d'une validation bio-technique et biologique par le laboratoire (cf chapitres IV et V).

L'automate doit pouvoir être bloqué depuis le laboratoire en cas d'anomalies.

5 ) Sécurité

Toutes les données ne doivent être accessibles que par mot de passe. Il est recommandé que tous les échanges d'information interne ou externe soient cryptés.

Toute modification au niveau de l'unité de soins d'un résultat patient doit être impossible.

6 ) Traçabilité et archivage (cf chapitres VIII et IX)

Tout dossier comportant des données issues d'un automate délocalisé doit contenir la mention de l'origine de ces résultats.

XIV . Cas Particulier : biologie multisites

XIV - 1 . Rappel des exigences du GBEA.

"La validation analytique (ou technique) doit être effectuée par le personnel d'exécution des analyses sous la responsabilité d'un biologiste (GBEA chapitre III.- 3.)

Le compte-rendu doit être signé par le biologiste du laboratoire ayant pris en charge le prélèvement (laboratoire préleveur), avec mention du ou des laboratoires ayant exécuté les analyses (laboratoire exécutant) (GBEA chapitre III. - 4.2.).

Le journal légal doit contenir les analyses effectuées ou transmises par le laboratoire (GBEA chapitre VI. -1.1.)

Les résultats nominatifs des analyses effectuées par le laboratoire doivent être conservés au moins 5 ans (GBEA chapitre VI. -1.1)"

Ces règles s'appliquent de la même façon aux laboratoires échangeant des analyses dans le cadre de contrats de collaboration, aux SEL à lieux multiples ainsi qu'aux laboratoires hospitaliers répondant au même type d'organisation.

XIV - 2 . Règles de validation.

Les règles de validation suivantes doivent être appliquées :

- au laboratoire exécutant : validation bio-technique des analyses effectuées, et validation biologique (portant sur l'ensemble des analyses effectuées localement pour un dossier patient).

- au laboratoire préleveur : validation biologique sur la totalité du dossier patient (analyses effectuées localement et analyses sous-traitées).

Le laboratoire préleveur doit impérativement connaitre les règles de validation technique telles qu'elles sont appliquées au laboratoire exécutant.

Si les systèmes informatiques des deux laboratoires le permettent, l'accès au contrôle de qualité doit être ouvert au laboratoire préleveur pour les dossiers le concernant. A défaut, il est conseillé de mentionner les examens ayant fait l'objet d'un contrôle.

XIV - 3 . Organisation informatique.

La nécessité de conserver les résultats d'analyses au niveau du laboratoire "exécutant", et la possibilité de les éditer au niveau du laboratoire "préleveur", conjuguées à des critères évidents de fiabilité, sécurité, confidentialité et productivité conduisent à l'utilisation d'outils de communication entre les systèmes informatiques des laboratoires, ou à la mise en place de systèmes informatiques partagés.

Deux modes d'organisation informatique sont possibles :

- systèmes informatiques indépendants, avec échanges télématiques d'informations.
- système informatique commun, avec périphériques déportés ou ordinateurs en réseau. Que la base de données des patients soit propre à chaque laboratoire, ou commune à plusieurs laboratoires, il est conseillé, lorsqu'un patient a fait l'objet d'analyses dans plusieurs laboratoires, de disposer des antériorités quel qu'en soit le laboratoire d'origine.

1 ) Echange de demandes et de résultats d'analyses entre systèmes informatiques indépendants.

Dans ce contexte, il est obligatoire :

- de crypter les informations lors de leur passage au niveau d'un support de communication public.

- d'utiliser des outils de contrôle de communications, ainsi que de mettre en place des procèdures de substitution en cas de problème durable.

il est recommandé :

- de mettre en place l'étiquetage à la source des prélèvements (par le laboratoire "préleveur"), avec utilisation du code à barres pour un traitement automatisé au laboratoire exécutant. La gestion des numérotations (tubes, dossiers) devant être univoque.

il est conseillé :

- d'utiliser un protocole de communication standard ou normalisé pour pérenniser l'investissement et faciliter la mise en oeuvre du projet.

- d'homogénéiser :

. les codifications d'analyses (via tables de transcodage), en utilisant si possible des codifications "standard"

. les codifications de certains résultats

. les bornes de normalité

. les unités

- d'automatiser les transferts en adéquation avec les supports de communication utilisés (liaison permanente, transfert au coup par coup ou par seuil de déclenchement). En ce qui concerne le transfert de demandes d'analyses, le mode de fonctionnement doit pouvoir être différent pendant les gardes ou pour les urgences.

2 ) Système informatique commun (ou réseau) utilisé par plusieurs laboratoires.

Dans ce contexte, il est obligatoire :

- de gérer de manière indépendante les journaux légaux et bottins d'archives de chaque laboratoire

- de mentionner sur l'édition des résultats les coordonnées du laboratoire ayant exécuté les analyses

il est conseillé :

- la possibilité de suivre le circuit des échantillons, de l'enregistrement de la demande au rendu du résultat, par le laboratoire préleveur et par le laboratoire exécutant (localisation du tube, visualisation des niveaux de validation).

- l'utilisation d'étiquettes code barres identifiant notamment (et de manière précise et lisible):

. le laboratoire préleveur

. le laboratoire exécutant et le poste de travail destinataire.