A N N E X E S
RÉFÉRENTIEL DE CERTIFICATION PAR ESSAI DE TYPE DES LOGICIELS HOSPITALIERS
D'AIDE À LA PRESCRIPTION (VERSION DE JUIN 2012, CRITÈRES DE JUIN 2012)
La version électronique du référentiel est disponible sur le site internet de la Haute Autorité de santé et comprend des liens hypertextes qui renvoient à une définition des termes techniques utilisés.
1. Objectifs et domaine d'application
1.1. Cadre réglementaire
La certification des logiciels d'aide à la prescription est prévue par le code de la sécurité sociale l'article suivant :
Article L. 161-38 (modifié par la loi n° 2011-2012 du 29 décembre 2011 relative au renforcement de la sécurité sanitaire du médicament et des produits de santé) :
La Haute Autorité de santé établit « la procédure de certification des logiciels d'aide à la prescription médicale ayant respecté un ensemble de règles de bonne pratique. Elle veille à ce que les règles de bonne pratique spécifient que ces logiciels intègrent les recommandations et avis médico-économiques identifiés par la Haute Autorité de santé, permettent de prescrire directement en dénomination commune internationale, d'afficher les prix des produits au moment de la prescription et le montant total de la prescription, d'indiquer l'appartenance d'un produit au répertoire des génériques et comportent une information relative à leur concepteur et à la nature de leur financement.
Cette procédure de certification participe à l'amélioration des pratiques de prescription médicamenteuse. Elle garantit la conformité des logiciels à des exigences minimales en termes de sécurité, de conformité et d'efficience de la prescription ».
La certification est mise en œuvre et délivrée « par des organismes certificateurs accrédités par le Comité français d'accréditation ou par l'organisme compétent d'un autre Etat membre de l'Union européenne attestant du respect des règles de bonne pratique édictées par la Haute Autorité de santé ».
La certification est rendue obligatoire « [...] pour tout logiciel dont au moins une des fonctionnalités est de proposer une aide à l'édition des prescriptions médicales [...] dans des conditions prévues par décret en Conseil d'Etat et au plus tard le 1er janvier 2015 ».
1.2. Définition du logiciel d'aide à la prescription (LAP)
Un logiciel d'aide à la prescription (LAP) est un ensemble logiciel dont au moins une des fonctionnalités est l'aide à l'élaboration de prescriptions médicales.
La HAS a choisi d'élaborer deux dispositifs différents de certification, un pour les logiciels de médecine ambulatoire et un pour les logiciels hospitaliers. Le présent référentiel concerne les LAP utilisés dans les établissements de santé et permettant de limiter les choix de médicaments à des listes définies par l'établissement.
Dans un établissement, le LAP s'insère dans un système d'information hospitalier (SIH) et doit en pratique être rattaché à la situation administrative du patient (identification, localisation dans l'établissement, situation administrative, facturation), utiliser les données médicales et infirmières le concernant, exploiter les annuaires des professionnels exerçant dans l'établissement et les répertoires de médicaments disponibles localement et communiquer avec les outils informatiques de dispensation et d'administration.
Le bon fonctionnement de la prescription informatisée traitée dans ce référentiel dépend donc pour une part importante de la qualité des interfaces entre les différents éléments du SIH.
Dans ce document, la base de données sur les médicaments (BdM) n'est pas considérée comme partie intégrante du LAP, mais pour concourir à la certification, un LAP doit s'appuyer sur une BdM agréée par la HAS. En effet, la partie « contenu informationnel sur le médicament » n'est pas comprise dans la certification des LAP. La HAS demande aux éditeurs de BdM de s'engager sur un certain nombre d'exigences décrites dans une charte de qualité qui prend en considération les objectifs de la certification. L'agrément de la HAS est fonction de la déclaration d'engagement de l'éditeur de BdM et du respect de ces engagements. Cette charte vise ainsi à garantir le respect de certains critères de qualité par les BdM (exhaustivité, complétude, neutralité, exactitude, fraîcheur). La charte requiert un travail d'auteur des BdM pour permettre la prescription en DCI. Elle demande aux BdM de fournir à tous les éditeurs de LAP les mêmes facilités pour postuler à la certification des LAP.
1.3. Objectifs de la certification
La certification des LAP a pour objectif de promouvoir des fonctionnalités susceptibles :
― d'améliorer la sécurité de la prescription ;
― de faciliter le travail du prescripteur et de favoriser la conformité réglementaire de l'ordonnance ;
― de diminuer le coût du traitement à qualité égale.
1. Pour atteindre ces objectifs, le LAP doit être un outil de la politique de gestion du médicament établie par l'établissement. Il doit prendre en compte le paramétrage des modalités de prescription des médicaments en matière de règles de remplacement et d'association de conseils à la prescription.
2. Améliorer la sécurité de la prescription médicamenteuse consiste notamment à détecter les contre-indications, les interactions, les incompatibilités physico-chimiques, les allergies, les redondances de substances actives et les posologies journalières se trouvant en dehors des posologies habituellement prévues. La possibilité de prescrire en dénomination commune internationale (DCI) contribue aussi à améliorer la sécurité de la prescription médicamenteuse dans la mesure où elle favorise un langage commun au travers de la formation et des recommandations de bonne pratique. Elle facilite le suivi des traitements en France et à l'étranger.
D'une façon plus générale, la HAS s'attache à ce que l'identification des médicaments dans les outils métier soit le plus proche possible des concepts que manipulent les différents professionnels de santé. Historiquement, l'identification des médicaments s'est construite autour de la logistique, elle est aujourd'hui essentiellement représentée dans les systèmes d'information par des concepts attachés à cette finalité : UCD, voire présentations. Du point de vue des prescripteurs, si l'UCD est parfois à la base des raisonnements (le comprimé, l'ampoule à injecter en sous-cutané...) les groupes de travail ont aussi remarqué que les concepts logistiques interviennent peu dans d'autres situations (gouttes, cuillerées ou bouffées de produits, prescriptions de perfusion...) et que l'intention du prescripteur pouvait s'en détacher (« 1 mg de telle substance matin, midi et soir »). Du point de vue de l'administration, c'est la réalité des traitements administrés (traitements non pris, adaptation prescrite des posologies à la situation clinique, spécialités effectivement administrées et différentes de celles prescrites en raison de la disponibilité des stocks locaux) qu'il paraît important de pouvoir déclarer. Une traçabilité performante et, ultérieurement, des aides à la décision pour ces professionnels ne pourront se fonder que sur les concepts effectivement manipulées par eux. Les outils de l'informatique métier doivent donc permettre de convertir et de conserver les relations entre les concepts manipulés par les différents professionnels pour les aider à pratiquer leur métier. Ils doivent aussi permettre d'automatiser partiellement ou totalement certaines des décisions. Cette démarche peut sembler complexe au regard des modes les plus fréquents de communication des données du circuit du médicament, mais elle est une condition indispensable de l'évolution de l'informatique de santé en direction des besoins des métiers. Il s'agit donc aussi d'une condition de meilleure appropriation des outils informatiques. Dans ce référentiel, l'utilisation de la dénomination commune par les logiciels de prescription constitue une première étape de cette démarche.
La sécurité de la prescription passe souvent par l'émission d'une alerte ou d'un signal d'information pour attirer l'attention du prescripteur. Cependant une fréquence trop importante de ces signaux ou alertes peut gêner le prescripteur dans sa pratique et l'amener à s'en désintéresser ou à les désactiver, produisant ainsi l'effet inverse de celui attendu.
Dans ce référentiel, l'exigence d'alertes et de signaux se rapporte principalement aux interactions médicamenteuses signalées par l'ANSM, aux surdosages par rapport aux données disponibles dans les RCP, aux éléments physiopathologiques en relation avec le dossier du patient.
3. Le deuxième objectif de la certification est de faciliter le travail du prescripteur. La gestion d'un historique médicamenteux est demandée, afin de favoriser la conciliation des traitements à l'entrée et la sortie d'hospitalisation. La certification comporte également un certain nombre d'exigences minimales d'ergonomie.
4. Pour diminuer le coût du traitement à qualité égale, le référentiel développe plusieurs axes de critères :
Premier axe : la prescription dont l'exécution se fait à l'hôpital :
― paramétrage des modalités de prescription : livret thérapeutique, mécanismes de remplacement et de substitution ;
― information sur le médicament via les BdM : appartenance au répertoire des génériques, prix unitaire estimatif en ambulatoire des UCD ;
― pas de publicité dans le LAP.
Deuxième axe : la prescription dont l'exécution se fait en ville :
― une configuration spécifique pour la prescription hospitalière destinée à une exécution en ville est demandée, ne reproduisant pas automatiquement la configuration intrahospitalière ;
― information sur le médicament via les BdM : appartenance au répertoire des génériques, prix unitaire estimatif en ambulatoire des UCD ;
― ordonnance : nombre de médicaments, affichage possible du prix estimatif de l'ordonnance ;
― pas de publicité dans le LAP.
1.4. Ce dont ne traite pas cette certification
Même si cette certification est centrée sur la prescription de médicaments, elle ne traite pas, le plus souvent par absence des codifications de référence :
― des produits officinaux divisés ;
― des préparations magistrales ;
― des préparations hospitalières ;
― des produits de santé expérimentaux ;
― des produits sanguins labiles.
Certains aspects du LAP ne sont pas abordés. La disponibilité des postes informatiques, les temps de réponse, la charge des réseaux, la stabilité des serveurs et les autres facteurs de sécurité informatique, la traçabilité et son opposabilité juridique sont des préoccupations légitimes des établissements de santé mais qui ne peuvent être couverts par une certification de produit.
Il en est de même de l'intégration du LAP dans le SIH, en l'absence des normes de communication nécessaires. De ce fait, en particulier, les fonctionnalités propres à la dispensation et l'administration ne sont pas abordés, alors même que la sécurité des pratiques nécessite une collaboration entre les différents acteurs. En l'absence de normes, intégrer ces modules dans le référentiel de certification aurait privilégié sur le plan industriel les outils prenant en charge l'ensemble du circuit du médicament. Cela aurait amené à reconnaître des développements propriétaires, à l'encontre de la nécessité que soient menés les travaux nécessaires de normalisation dans les années à venir. Ces travaux sont en effet nécessaires pour transmettre entre différents acteurs l'histoire médicamenteuse des patients. Aujourd'hui, leur absence est préjudiciable à la traçabilité sur le long terme des documents électroniques générés. Elle expose les établissements de santé à des problèmes insolubles quand une restructuration ou une mutualisation les amène à envisager une fusion de leur système d'information.
Lorsque les normes d'interopérabilité entre les différents éléments du SIH auront été définies, les versions ultérieures de la certification pourront être étoffées afin d'intégrer les fonctions informatiques liées à l'avis pharmaceutique, à l'activité d'administration et au dossier médical. Ces normes requièrent parfois que le rôle informatique des acteurs soit précisément défini (par exemple, les rôles « prescripteur » et « dispensateur » en matière d'avis pharmaceutique : types d'avis, type de réaction possible à ces avis, droits des différents acteurs).
L'impact des LAP dépend encore d'autres dimensions : pratiques autour de la prescription (gestion des prescriptions initiées oralement, délégations de prescription), pratiques autour du livret thérapeutique... Il en est de même de la gestion du projet d'informatisation du circuit du médicament, de ses évolutions et de son schéma directeur, et de la démarche qualité qui devrait accompagner cette informatisation d'un processus critique : mise à jour des divers composants logiciels, reprise de fonctionnement, remontée des bogues, diffusion des alertes, interventions correctives...
La nature d'une certification impose par ailleurs qu'elle ne porte que sur des fonctionnalités « stabilisées » : fonctions déjà développées dans au moins un logiciel, recul sur l'intérêt de la fonction...
En parallèle à la certification, la HAS compte développer des outils d'aide à l'utilisation du LAP, en partenariat avec l'ANAP et les autres acteurs intéressés.
1.5. La procédure de certification
Certifier les LAP consiste à s'assurer à l'aide de tests et d'engagements de la part des éditeurs que les logiciels mettent les fonctions correspondant aux critères de ce référentiel à la disposition des prescripteurs.
La procédure retenue par la HAS est une certification par essai de type. Cette certification permet d'attester de la conformité d'un spécimen d'une version donnée de logiciel au référentiel de la HAS à une date précise. Elle ne prévoit pas d'audit de surveillance ou de renouvellement a posteriori.
Ce référentiel de certification présente :
― l'ensemble des critères qu'un logiciel d'aide à la prescription doit respecter pour être certifié ;
― la démarche de certification.
Ce référentiel est complété par un document intitulé « précisions concernant la certification des LAP de la HAS ». Ce document est en ligne sur le site de la HAS.
La HAS met aussi à disposition un scénario de tests sur son site internet. Les scénarios de tests utilisés pour les audits sont confidentiels, mais ils testent les mêmes exigences fonctionnelles que le scénario public, dans le même ordre, pour des situations cliniques différentes.
La certification est réalisée par des organismes certificateurs accrédités par le COFRAC. L'accréditation est délivrée selon la norme EN 45011 (ou sa version ultérieure), à laquelle sont ajoutées des exigences spécifiques d'accréditation propres à la certification des LAP.
Pour faire certifier un logiciel d'aide à la prescription hospitalier, chaque éditeur doit déposer une demande de certification auprès d'un organisme certificateur accrédité.
2. La démarche de certification
2.1. Conditions préalables à la candidature à la certification
Un éditeur souhaitant faire certifier un LAP dépose une demande auprès d'un organisme certificateur accrédité.
Le dossier de candidature comporte un engagement sur l'honneur de l'entreprise à prendre connaissance et à respecter les modalités de la certification.
Pour faire acte de candidature, l'éditeur doit :
― préciser la Base de données sur les Médicaments (BdM) sur laquelle son produit candidat est adossé. La BdM doit être agréée par la HAS. L'éditeur du LAP s'engage sur l'honneur à interfacer systématiquement le LAP avec la BdM spécifiée tant qu'il fait valoir un droit attaché au certificat ;
― s'engager sur l'honneur à respecter les critères 1, 9, 12, 13, 14, 17, 18, 19, 20, 21, 29, 34, 38, 43, 45, 102, 103, 104, 105, 106, 107 et 108 inclus du référentiel tant qu'il fait valoir un droit attaché au certificat. L'ensemble de ces critères sera appelé « critères d'engagement éditeur » dans la suite de ce document. L'engagement à respecter ces critères est un préalable à la certification. Aucun test prévu ne se rapporte spécifiquement à ces critères mais l'observation de leur non-respect durant l'audit est un motif de refus de la certification. Toute personne peut signaler à l'organisme certificateur un défaut de respect de cet engagement pour la version auditée et pour les versions ultérieures. L'absence de respect d'un de ces critères par l'éditeur peut entraîner le retrait du certificat (cf. 2.8) ;
― s'engager à mettre à disposition de l'organisme certificateur un opérateur et un environnement de test pour réaliser les tests pendant l'audit. L'opérateur doit avoir une bonne connaissance du LAP afin d'assurer que la manipulation du LAP est efficace et que les fonctionnalités sont correctement testées lors de l'essai de type. Les résultats obtenus seront ainsi révélateurs d'un usage correct du logiciel testé. L'éditeur ne peut mandater qu'un seul opérateur. Un, et un seul autre représentant de l'éditeur du LAP peut éventuellement assister à l'essai de type ;
― s'engager à laisser à disposition de l'organisme certificateur tous les moyens de reconstituer les conditions techniques de l'audit ;
― s'engager à fournir les moyens, permettant pendant l'audit, de :
― remplir l'annuaire des utilisateurs et des unités fonctionnelles d'un établissement fictif ;
― paramétrer les modalités de prescription des médicaments en fonction de la politique du médicament de l'établissement ;
― créer des patients fictifs porteurs de traits spécifiques (dont certains devront pouvoir être volontairement non renseignés : date de naissance, sexe...) et simuler plusieurs passages dans l'établissement ;
― fournir un environnement de test qui comporte les ordinateurs et logiciels nécessaires au fonctionnement du LAP tel que défini dans le dossier de candidature (cf. 2.2) et qui permette la réalisation de l'audit de certification (cf. 2.3). Ce paramétrage est qualifié de « paramétrage de certification du LAP version HAS 201 ». Tant qu'il fait valoir un droit attaché au certificat, ce paramétrage fait obligatoirement partie de l'offre commerciale de l'éditeur. Si d'autres paramétrages sont disponibles, la documentation technique de l'éditeur précise les différences avec le paramétrage de certification.
2.2. Le dossier de candidature
Le dossier de candidature de l'éditeur doit comporter les éléments suivants :
― les noms des logiciels et de la BdM agréée, accompagnés des numéros de version de la BdM et de tous les programmes qui composent le LAP ;
― le cas échéant, l'éditeur, le nom et le numéro de version du logiciel de dossier patient porteur des informations nécessaires à la certification ;
― l'éditeur, le nom et le numéro de version de tous les programmes nécessaires à l'environnement de test (cf. 2.3) ;
― la documentation technique et la documentation produit du LAP (et, éventuellement, du dossier patient) ;
― la documentation technique de la BdM ;
― l'engagement de l'éditeur du LAP (et, éventuellement, de l'éditeur du dossier patient) à interfacer les produits couverts par la certification avec la BdM spécifiée dans le dossier de candidature tant qu'il fait valoir un droit attaché au certificat ;
― l'engagement de l'éventuel éditeur du dossier patient à interfacer les composants couverts par la certification avec le LAP, tant que l'éditeur du LAP fait valoir un droit attaché au certificat ;
― le formulaire signé d'engagement de l'éditeur de LAP (et, éventuellement, l'éditeur du dossier patient) sur les « critères d'engagement éditeur ».
Avant de déclarer le dossier recevable, l'organisme certificateur doit vérifier sur le site de la HAS que la BdM est agréée.
L'éditeur est informé par l'organisme certificateur des modalités d'octroi du certificat avant toute contractualisation.
2.3. Conditions de l'essai de type
L'évaluation est réalisée par un essai de type, composé d'un audit au cours duquel des tests vérifient la satisfaction des critères de certification. Cette certification ne comporte pas d'audits de surveillance ou de renouvellement. Un éditeur désirant certifier à nouveau un LAP doit se soumettre à l'ensemble de la démarche.
L'essai de type porte sur les critères contrôlables par tests (la plupart des critères du référentiel). Les tests ne prétendent pas vérifier les critères concernant les « critères d'engagement éditeur » (cf. 2.1), cependant une non-conformité peut être constatée sur ces critères au cours de l'audit ; dans ce cas, le défaut doit être caractérisé et figurer dans le rapport d'audit. Une telle constatation entraîne un échec à l'audit et empêche la certification.
La durée de l'essai de type est fixée à 2 jours/homme pour chaque configuration du LAP testée (un même LAP pouvant être testé avec plusieurs BdM et plusieurs dossiers patients...). Le lieu de l'essai de type est choisi par l'éditeur du LAP. Avant l'essai de type, l'éditeur du LAP installe le spécimen à certifier, avec la BdM, sur un matériel informatique disposant :
― d'une imprimante ;
― du ou des logiciels permettant tous les paramétrages du LAP durant l'audit ;
― du ou des logiciels permettant la lecture des formats autonomes dont la certification demande l'export (critères 70, 71 et 100).
Les machines virtuelles correspondant à l'ensemble du système audité sont fournies en dépôt à l'organisme certificateur. En cas d'obtention de la certification, la publication de l'environnement technique de l'audit de certification est une exigence du présent référentiel (critère 104). Les éléments minimum de cette description sont donnés dans l'annexe 3.
L'essai de type est réalisé par un auditeur habilité par l'organisme certificateur assisté de l'opérateur délégué par l'éditeur du LAP. L'auditeur est un médecin ayant l'expérience d'une activité de prescription informatisée à l'hôpital pendant au moins de deux ans.
Il dispose des scénarios de tests et d'une grille d'audit lui permettant de noter pour chaque test si le résultat obtenu est conforme au résultat attendu. A tout moment, l'auditeur peut demander à manipuler lui-même l'ordinateur et à être guidé dans ses manipulations par l'opérateur. L'éditeur du LAP ne peut apporter d'actions correctives sur le code logiciel durant l'essai de type. Les modifications que l'éditeur peut apporter au paramétrage sont celles prévues par les scénarios de tests.
Lors de la réalisation de l'essai de type, il est conseillé d'empêcher la manifestation de tout autre programme (économiseur d'écran, antivirus, sauvegarde automatique, etc.) dont l'interférence pourrait nuire à l'interprétation des résultats des tests.
Pour obtenir un résultat satisfaisant aux tests (1), un certain nombre d'informations sont progressivement enregistrées dans les dossiers électroniques créés lors de l'essai de type. Il est de la responsabilité de l'opérateur mis à la disposition par l'éditeur de LAP de s'assurer que, lors des tests, ces informations sont saisies dans les champs appropriés et selon une codification appropriée pour que les signaux d'information démontrent l'automaticité et l'efficacité des fonctions de sécurité de la prescription. Lors des tests, toute prescription finie (telle que définie dans le glossaire) et toute ordonnance imprimée sont réputées avoir été effectivement prescrites au patient dans la situation simulée.
Au cours de l'essai de type, l'auditeur note les numéros de version de la BdM (cf. critère 44) et des différents programmes qui composent ou accompagnent le LAP (cf. critère 102). Tous les programmes composant le LAP doivent être conformes à ceux inscrits sur le dossier de candidature du LAP.
L'audit est réalisé avec des scénarios de tests qui sont différents du scénario publié sur le site de la HAS. Ces scénarios sont composés de séquences regroupant un certain nombre de tests. Tous les scénarios ont un nombre équivalent de séquences et de tests, qui ne diffèrent que par les caractéristiques des patients et des médicaments testés. Les modalités de fourniture de ces tests aux organismes certificateurs sont précisées sur le site de la HAS.
Au début de la procédure, l'auditeur tire au sort un premier scénario et commence les tests.
Les résultats obtenus aux tests conditionnent l'attribution du certificat. En cas d'échec à un test, l'auditeur fait procéder à une ou plusieurs saisies d'écran afin de documenter cet échec. Ces saisies d'écran seront intégrées au rapport de l'essai de type. Il fait ensuite reprendre l'essai de type au début de la séquence en cours mais dans le scénario de tests suivant selon la numérotation de la HAS (dans le cas où l'essai de type parcourrait le dernier scénario selon la numérotation de la HAS, l'essai de type reprend au début de la séquence en cours dans le premier scénario de tests). Dans le cas où un LAP n'est pas capable de franchir sans échec une séquence de tests spécifique dans trois scénarios, le certificat ne peut être délivré. Il n'est permis de changer de scénario de tests que dans le cas d'un échec.
La délivrance du certificat implique que le LAP a pu franchir sans aucun échec chacune des séquences de tests, même si ces séquences ont pour origine des scénarios différents. Les modalités précises d'audit et le scénario public de tests sont actualisés sur le site de la HAS.