Design of a Secure Wearable Health Data Sharing Platform for Region Hovedstaden: A FHIR DK and GDPR-Compliant Service Architecture

Cet article propose une architecture de services microservices en cinq couches pour une plateforme sécurisée de partage de données de santé issues de wearables, conçue spécifiquement pour la Région Hovedstaden afin de garantir l'interopérabilité avec FHIR DK et la conformité au RGPD.

L'essentiel

🌟 Le Projet : Un "Pont Sécurisé" pour la Santé au Danemark

Imaginez que vous portez une montre connectée (comme une Apple Watch) ou un anneau intelligent (comme un Oura Ring). Ces appareils sont comme des petits détecteurs de super-héros : ils surveillent votre cœur, votre sommeil et votre activité 24h/24.

Actuellement, au Danemark (spécifiquement dans la région de Copenhague, appelée Region Hovedstaden), il y a un gros problème : ces données restent coincées dans votre montre.

Les médecins, eux, regardent dans un grand carnet de santé numérique national appelé Sundhed.dk. Mais ce carnet est un peu comme un vieux coffre-fort qui n'a pas de porte pour les données des montres connectées. Résultat : les médecins ne voient pas ces informations précieuses, et les patients ne peuvent pas les partager facilement.

C'est là que l'article propose une solution : construire un pont sécurisé et intelligent pour relier vos montres au dossier médical de l'hôpital.

---

🏗️ Comment ça marche ? (L'Analogie du Quartier Sécurisé)

Les auteurs ont imaginé une architecture en 5 couches, comme un immeuble très sécurisé où chaque étage a un rôle précis :

1. Le Rez-de-chaussée (Les Capteurs) : C'est votre montre ou votre anneau. Ils collectent les données (battements de cœur, pas, etc.) et les envoient vers le pont.
2. La Porte d'Entrée (L'Identité) : Avant d'entrer, il faut prouver qui vous êtes. Au Danemark, on utilise MitID (votre carte d'identité numérique). C'est comme un portier très strict qui vérifie votre badge avant de vous laisser passer. Personne ne peut entrer sans ça.
3. Le Hall de Contrôle (Le Consentement) : C'est le cœur du système. Imaginez un gardien de musée. Il ne laisse passer que les objets (vos données) que vous avez explicitement autorisés.
   • Exemple : Vous pouvez dire : "Autorisez le médecin à voir mon rythme cardiaque, mais pas mon employeur, et seulement pendant 3 jours."
   • Si vous changez d'avis, le gardien arrête tout instantanément. C'est ce qu'on appelle le consentement granulaire.
4. Le Traducteur (La Norme FHIR) : Les montres parlent un langage (Apple, Garmin, etc.) et les hôpitaux en parlent un autre. Ce étage agit comme un traducteur universel qui transforme vos données en un format standard (FHIR DK) que le dossier médical national comprend parfaitement.
5. Le Bureau des Médecins (L'Affichage) : Enfin, les données arrivent sur l'écran du médecin, prêtes à être utilisées pour vous soigner.

---

🛡️ Pourquoi est-ce si sécurisé ? (Le Concept "Zero Trust")

Le système utilise une philosophie appelée "Zero Trust" (Zéro Confiance).
Imaginez un château fort où, même si vous êtes à l'intérieur, on vous demande votre mot de passe à chaque fois que vous ouvrez une nouvelle porte.

• Même si le médecin est dans l'hôpital, il doit prouver son identité à chaque fois qu'il veut voir vos données.
• Tout est chiffré (comme un message écrit dans une langue secrète que seul le destinataire peut lire).
• La transparence totale : Vous avez un "journal de bord" (une liste de contrôle) où vous pouvez voir exactement qui a regardé vos données et quand. C'est comme avoir une caméra de surveillance dans votre propre maison, mais pour vos données de santé.

---

🗣️ Ce que les gens pensent (Les Résultats de l'enquête)

Les auteurs ont posé des questions à 47 citoyens danois. Voici ce qu'ils ont appris :

• La peur principale : Les gens ne sont pas contre partager leurs données, mais ils ont peur qu'elles soient utilisées à mauvais escient (par exemple, par une compagnie d'assurance pour augmenter vos primes, ou par un employeur).
• La condition pour accepter : 51 % des gens sont prêts à partager leurs données, MAIS seulement s'ils ont le contrôle total. Ils veulent pouvoir dire "Stop" à tout moment et voir qui a regardé.
• L'espoir : 80 % pensent que si ce système existait, la qualité des soins s'améliorerait. Imaginez un médecin qui voit que votre cœur bat trop vite la nuit et vous appelle avant même que vous ne fassiez une crise !

---

🚀 En résumé

Ce papier n'est pas encore un produit fini (c'est un plan de construction), mais c'est une feuille de route très claire.

Il propose de créer un système où :

1. Vous gardez le contrôle total de vos données (comme le propriétaire d'une maison).
2. Les médecins reçoivent les informations dont ils ont besoin en temps réel.
3. Tout est légal et sécurisé selon les règles strictes de l'Europe (GDPR).

L'idée centrale est simple : La technologie existe déjà, ce qui manquait, c'était la confiance. Ce projet vise à construire cette confiance pour que la santé numérique devienne une réalité pour tous les Danois.

Résumé technique

Titre : Conception d'une plateforme sécurisée de partage de données de santé portables pour la Région Hovedstaden : Une architecture de service conforme au FHIR DK et au RGPD

1. Problématique

La Région Hovedstaden (Région de la Capitale du Danemark), qui compte 1,8 million d'habitants, fait face à un manque critique de voie standardisée et sécurisée pour intégrer les données de santé continues générées par les wearables (montres connectées, bagues Oura, Garmin) dans le dossier médical électronique national, Sundhed.dk.

Trois obstacles structurels empêchent cette intégration :

• Absence de profils standards : Sundhed.dk ne dispose pas de profils FHIR DK v6.0.2 dédiés aux données de santé générées par les patients (PGHD) en continu.
• Défaut d'authentification : Il n'existe pas de voie permettant aux patients danois de partager leurs données via MitID (l'identifiant national), laissant les données enfermées dans des écosystèmes propriétaires (Apple HealthKit, Google Fit) incompatibles avec les normes d'interopérabilité de l'infrastructure nationale des services (NSI).
• Non-conformité au RGPD : Les solutions existantes ne satisfont pas pleinement les exigences de l'article 25 du RGPD (protection des données dès la conception), notamment en matière de consentement granulaire et de traçabilité des audits visible par le patient.

2. Méthodologie

Cette étude suit la méthodologie d'apprentissage par problèmes (PBL) de l'Université d'Aalborg, combinant trois sources de données :

• Revue systématique de la littérature : Analyse des spécifications FHIR DK, de la NSI v3.2, des cas d'application du RGPD par le Datatilsynet (autorité de protection des données danoise) et des guides d'intégration MitID.
• Étalonnage de plateformes (Benchmarking) : Comparaison de quatre plateformes (Sundhed.dk, Apple HealthKit, Google Fit, Epic MyChart) selon quatre critères : support FHIR DK, compatibilité MitID/NSI, granularité du consentement et faisabilité clinique.
• Enquête auprès des parties prenantes : Deux sondages (n=47 répondants vérifiés) menés auprès de citoyens, médecins et experts pour identifier les besoins et les freins à l'adoption.
• Ingénierie des exigences : Priorisation des exigences selon la méthode MoSCoW (Must, Should, Could, Won't) et établissement d'une matrice de traçabilité reliant les exigences aux composants architecturaux.

3. Contributions Clés

L'article propose deux contributions majeures :

1. Spécification des exigences : Une liste de 14 exigences (7 fonctionnelles et 7 non fonctionnelles) priorisées, incluant l'authentification via MitID, le consentement révocable, l'import/export FHIR DK, et la journalisation d'audit en temps réel.
2. Architecture de service conceptuelle en cinq couches : Une architecture microservices intégrant les données IoT des wearables avec Sundhed.dk. Les principes directeurs sont :
   • Séparation des préoccupations : Cinq couches distinctes (Périphérique, API Gateway, Logique métier, Données, Présentation).
   • Conformité aux normes : Utilisation de FHIR DK v6.0.2, NSI v3.2 et flux OIDC MitID.
   • Confiance Zéro (Zero Trust) : Authentification et autorisation continues via mTLS et contrôles basés sur les jetons.
   • Intégration pilotée par les événements : Utilisation d'Apache Kafka pour découpler l'ingestion des données de leur traitement clinique.
   • Protection dès la conception (Privacy by Design) : Application stricte de l'article 25 du RGPD avec minimisation des données et auditabilité.

Flux de données typique :
Les données des wearables (via BLE/MQTT) sont normalisées, publiées sur Kafka, vérifiées par un service de consentement, transformées en ressources FHIR DK "Observation", et stockées dans un référentiel sécurisé. L'accès des cliniciens est filtré par MitID et validé contre la portée du consentement actuel.

4. Résultats

• Benchmarking : Aucune plateforme actuelle ne satisfait simultanément tous les critères danois. La solution proposée vise un score de "Full" (Complet) sur les profils FHIR, l'intégration MitID/NSI et le consentement/audit.
• Acceptation des utilisateurs :
  • 51,1 % des répondants sont prêts à partager leurs données de wearables sous des conditions sécurisées.
  • 38,3 % sont conditionnellement prêts, dépendant fortement de la confiance dans l'authentification, le contrôle du consentement et la transparence des audits.
  • 80,9 % estiment que cette plateforme améliorerait la qualité des soins.
• Préoccupations principales : Les inquiétudes ne sont pas techniques mais liées à la gouvernance : 59,6 % craignent une utilisation non médicale (assureurs, employeurs) et 55,3 % manquent de contrôle sur l'accès aux données.
• Validation des exigences : Les résultats confirment que la transparence des audits (F4) et le contrôle granulaire du consentement (F2) sont les facteurs décisifs pour l'adoption, validant ainsi les choix de conception de l'architecture.

5. Signification et Perspectives

Cette étude fournit une maquette de conception traçable pour combler le fossé d'interopérabilité dans le système de santé public danois. Elle démontre que la barrière à l'adoption des wearables en santé n'est pas technologique, mais liée à la confiance et à la conformité réglementaire.

• Impact immédiat : L'architecture propose un modèle opérationnel pour une intégration sécurisée des wearables dans le système de santé danois, aligné sur la stratégie de santé numérique 2025–2028.
• Limites et travaux futurs : L'architecture reste conceptuelle. Les prochaines étapes incluent un projet pilote restreint (par exemple à l'hôpital Rigshospitalet) pour valider les performances (temps de réponse < 3s, 99,9 % de disponibilité) et la compatibilité des flux de travail cliniques avec un groupe de patients défini (ex: diabète, hypertension).

En conclusion, ce papier établit que l'opérationnalisation de l'article 25 du RGPD via une architecture Zero Trust et des mécanismes de consentement transparents est la clé pour transformer le potentiel des données de wearables en améliorations concrètes des soins de santé chroniques au Danemark.