La sécurité des systèmes d’information de santé au cœur des préoccupations !

Désormais tous les acteurs du secteur, GCS, établissements, URPS, professionnels de santé, éditeurs, mais aussi les assureurs et mutuelles se bousculent dans la course effrénée à la sécurisation de leur SI, de leurs process, de leurs données.

Les récentes attaques informatiques de grande ampleur telles que Wannacry et NotPetya, la menace des terribles sanctions administratives (jusqu’à 4% du CA mondial ou 20 millions d’€) prévues par le règlement général sur la protection des données (RGPD) applicable au 25 mai 2018, mais aussi l’inflation de textes réglementaires ont permis aux acteurs du secteur de la santé et du médico-social de changer de paradigme.

Le RGPD, qu’est-ce que c’est ?

Si le RGPD, adopté le 27 avril 2016 et publié au JO de l’Union européenne le 4 mai 2016, est déjà entré en vigueur, il n’entrera en application que le 25 mai prochain. Il porte en germe près de 400 obligations dont le contenu est précisé dans 99 articles, contextualisés par 173 considérants !
Tenant compte de l’évolution rapide des technologies, il a pour objectif d’offrir un cadre de la protection des données à caractère personnel plus solide et cohérent dans l’Union, et de l’assortir d’une application rigoureuse des règles afin de susciter la confiance des individus et le développement de l’économie numérique.

Chaque responsable de traitement doit désormais réfléchir « protection des données » tant au moment de la détermination des moyens de traitement (dès la conception) qu’au moment du traitement lui-même. Il doit s’assurer que, par défaut, les données sont gérées avec le niveau de sécurité physique et logique approprié au traitement, et être en mesure, à tout moment, de documenter les mesures prises (mécanismes et procédures internes) afin de respecter les exigences du RGPD en matière d’« accountability ».
Outre ce qui précède, le responsable de traitement devra tenir un registre des activités de traitement, et, en matière de santé, désigner un délégué à la protection des données (DPO), réaliser une étude d’impact et une consultation préalable s’agissant des traitements actuellement soumis à demande d’autorisation au titre de la Loi Informatique et libertés.

Le RGPD, ce sont également des responsabilités directes pour les sous-traitants, mais aussi pour les éditeurs, étant précisé que l’éditeur qui propose une solution « clé en main », devra désormais être considéré comme co-responsable du traitement mis en œuvre à l’aide de ladite solution, pour en avoir déterminé les moyens quand le responsable de traitement n’en aurait défini que les finalités. Enfin, les violations de données seront à notifier, non seulement à la CNIL, mais aussi, lorsqu’elles sont susceptibles de porter atteinte à leurs droits et libertés, aux personnes concernées par les violations.

La sécurisation du SI, par où commencer ?

Avant toute chose, il faut procéder à la cartographie des traitements, c’est-à-dire répertorier les traitements et leurs caractéristiques : applicatif utilisé, finalité, base légale du traitement / légitimité, direction ou service en charge du traitement, responsable de traitement, catégories de données traitées, personnes concernées, mentions d’information fournies et droits des personnes concernées, éventuel recueil de consentement, destinataires, sous-traitants et contrats, durée de conservation, éventuelles interconnexions, mesures de sécurité, éventuels flux transfrontières.
Ensuite, il faut confronter la cartographie réalisée au référentiel applicable, y incluant en premier lieu le RGPD mais aussi les réglementations sectorielles, afin d’identifier les écarts.
Et enfin, à partir de ces actions, reste à établir la feuille de route de mise en conformité.

Dans le secteur de la santé, quels référentiels, quelles obligations ?

En matière de traitements de données de santé, outre les obligations issues du RGPD, de nombreux textes encadrent les conditions et modalités des traitements de données. A titre principal, les dispositions relatives au secret médical et au régime de partage et d’échange des données, notamment dans le cadre d’une équipe de soins, la PGSSI-S de l’ASIP Santé, qu’elle soit rendue opposable par voie d’arrêté comme prévu par la loi ou en ce qu’elle constitue un référentiel de conformité à l’état de l’art, les dispositions relatives à l’hébergement de données de santé, mais aussi la circulaire d’octobre 2016 relative à la mise en œuvre du plan d’action SSI, la récente circulaire de juillet 2017 sur la sécurité des établissements et services médico-sociaux, et tous les textes plus spécifiques à des catégories d’acteurs ou de traitements…

A noter que l’activité d’hébergement de données de santé par un tiers au responsable de traitement voit son périmètre considérablement élargi par le projet de décret qui y inclut dorénavant « l’administration et l’exploitation du système d’information contenant les données de santé ».

Partager ce document sur les réseaux