Entre hôpitaux, cabinets et applications, nos données de santé circulent, mais rarement de façon fluide et traçable. La blockchain promet un registre partagé, infalsifiable et piloté par le patient. Est-ce une solution miracle ou une piste sérieuse pour édifier un « dossier médical universel » ? Voici un décryptage pragmatique.
Pourquoi viser un dossier médical universel ?
La fragmentation des systèmes d’information entre l’hôpital, la ville, la télésanté et le médico-social freine la coordination des soins. Des comptes rendus se perdent, des examens sont répétés et, au moment critique, l’historique du patient reste incomplet. Un dossier universel, interopérable et sécurisé améliorerait la continuité des soins en donnant au professionnel autorisé la bonne information au bon moment. Il renforcerait la qualité en réduisant les erreurs et redondances, tout en offrant au patient une expérience plus simple et mieux maîtrisée. La traçabilité des accès, enfin, deviendrait un standard opposable et lisible par tous.
Ce que la blockchain peut apporter
La blockchain n’est pas une base magique, mais un registre distribué où chaque écriture est horodatée, signée et extrêmement difficile à falsifier. Appliquée à la santé, elle peut d’abord fournir un journal d’accès inviolable : chaque consultation d’un élément du dossier laisse une preuve datée, auditable par les autorités et consultable par le patient. Elle peut ensuite automatiser la gestion du consentement grâce à des smart contracts qui encadrent la durée, la finalité et l’étendue de l’accès, tout en conservant la preuve du consentement et de son retrait. Elle peut, enfin, faciliter l’identité et la portabilité via des identités décentralisées et des attestations vérifiables, de sorte que le patient et les professionnels puissent prouver qui ils sont et transporter leurs clés d’accès d’un établissement à l’autre.
Limites et malentendus à éviter
L’enthousiasme technologique ne doit pas masquer plusieurs points de vigilance. Les données de santé ne doivent jamais être publiées en clair sur une chaîne : on enregistre uniquement des empreintes cryptographiques et des références chiffrées vers des stockages off-chain hébergés chez des prestataires certifiés HDS. Le RGPD impose, entre autres, la possibilité d’effacement ; en pratique, on supprime les données off-chain ou on en révoque l’accès, tandis que la chaîne ne conserve que des éléments non identifiants. Les questions de scalabilité et de coût rendent les réseaux permissionnés opérés par un consortium d’acteurs de santé plus pertinents qu’une chaîne publique générale. La gouvernance demeure centrale : qui opère le réseau, qui agrège de nouveaux nœuds, qui définit les politiques d’accès ? Enfin, l’empreinte environnementale incite à privilégier des mécanismes de consensus sobres et une chaîne limitée à l’enregistrement d’événements plutôt qu’au stockage massif.
Un cadre juridique et éthique exigeant
Le RGPD encadre le traitement des données de santé avec des bases légales précises (soin, intérêt public, consentement), le principe de minimisation, des mesures de sécurité (chiffrement, pseudonymisation) et des droits individuels renforcés. Tout projet sérieux doit conduire une analyse d’impact (AIPD) dès la conception, documenter sa finalité (soin, coordination, recherche) et prévoir la preuve du consentement comme ses modalités de retrait. La portabilité des données et l’interopérabilité doivent être garanties, notamment via les profils HL7 FHIR, afin d’éviter les silos et la dépendance à un seul éditeur.
À quoi pourrait ressembler une architecture réaliste ?
Dans une approche sobre, les données cliniques demeurent off-chain, chiffrées et stockées chez des hébergeurs certifiés. La blockchain, permissionnée, enregistre les journaux d’accès, les empreintes de documents et l’état des consentements. Des couches d’identité décentralisée permettent aux patients et aux soignants d’utiliser des attestations vérifiables, en cohérence avec les dispositifs d’authentification existants (CPS/e-CPS). L’interopérabilité est assurée par des API conformes FHIR qui publient et consomment des ressources cliniques standard. Les smart contracts orchestrent les contrôles d’accès et produisent une preuve d’usage opposable. Dans l’espace patient, un tableau de bord rend lisible l’historique des lectures et des partages, pour une traçabilité véritablement opérationnelle.
Cas d’usage concrets et utiles à court terme
La traçabilité des accès au DMP ou à Mon Espace Santé constitue un premier levier évident : le patient visualise qui a consulté quoi et quand, et les auditeurs bénéficient d’un registre infalsifiable. Le consentement dynamique pour la recherche permet d’inclure un participant, de limiter la durée et le périmètre des jeux de données et de tracer le retrait de manière opposable. L’e-prescription et la chaîne du médicament profitent d’une meilleure authenticité des ordonnances et d’une prévention des falsifications. Le partage ville–hôpital peut s’automatiser après une hospitalisation : un accès de suivi est ouvert pour une durée déterminée, puis révoqué sans intervention humaine.
Feuille de route de mise en œuvre
Un pilote resserré sur six à neuf mois, avec un cas d’usage circonscrit et peu d’acteurs, permet de mesurer des indicateurs concrets tels que le temps d’accès, le taux d’erreur et la satisfaction patient. La sécurité doit être traitée dès le départ : gestion des clés, coffre-fort, séparation des rôles et approche zero trust. L’interopérabilité s’obtient en alignant les jeux de données sur FHIR et en testant les logiciels métiers en conditions réelles. La gouvernance s’incarne dans une charte du consortium, des règles d’onboarding et une politique d’évolution documentée. L’expérience utilisateur pour les soignants comme pour les patients mérite une attention particulière : interfaces claires, notifications d’accès, visualisation des consentements. Enfin, l’évaluation combine AIPD, audits, tests d’intrusion, revue éthique et mesure de la valeur clinique.
Conclusion
La blockchain n’ouvrira pas un passe-partout vers toutes les données et c’est heureux. Intégrée avec sobriété dans une architecture off-chain + registre permissionné, elle peut offrir traçabilité, preuve du consentement et interopérabilité au service d’un dossier médical réellement universel : accessible quand il le faut, à ceux qui en ont le droit, et sous le contrôle du patient. La réussite dépendra moins de la technologie que de la gouvernance, de l’interopérabilité et de la confiance bâtie avec les usagers.
Sources :
https://www.cnil.fr/fr/blockchain-et-rgpd-quel-cadre-juridique
https://esante.gouv.fr
https://www.has-sante.fr
https://hl7.org/fhir/overview.html
https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_en
