article
done_all
workspace_premium
science
Actualité
Projet
Retour d'expérience
Parole d'expert
timer
11
minutes de lecture
SAnté
Retail & luxe
Énergie & environnement
Banque & assurance
Comité éditorial
-
5/7/24
Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, la notion de données de santé, jusque-là peu formalisée, a pu être définie avec davantage de précision.
Sont donc considérées comme données de santé les informations permettant de mettre en relation une personne et son état de santé.
Plusieurs types de données entrent dans cette catégorie :
Si leur utilisation est aujourd’hui très large, il n’en est pas moins vrai que les données de santé sont aujourd’hui hautement sensibles : elles permettent en effet de tirer des conclusions sur l’état de santé passé, présent ou futur d’un individu.
Cette caractéristique en fait des données critiques pour les organismes de santé, qui doivent impérativement assurer leur confidentialité.
D’autre part, les atteintes aux données de santé se multiplient : avec un nombre de cyberattaques multiplié par cinq entre 2015 et 2021, la protection des systèmes d’information de santé doit être une priorité.
En France, le traitement des données de santé est rigoureusement encadré.
En vertu du RGPD, le traitement des données de santé n’est en effet légal que lorsque le patient donne son consentement exprès. Une partie des organismes — ayant une finalité publique, de recherche ou d’étude — doivent quant à eux traiter les données de santé sous la supervision de la CNIL.
La loi française protège ces données de diverses manières, avec des directives et législations telles que :
A cela s’ajoutent des articles de loi sur le traitement administratif et informatique des données de santé, tels que :
A l’échelle internationale, on trouve un certain nombre de législations similaires. Dans des régions telles que l’Europe du Nord notamment, le système de santé est déjà largement numérisé et hautement sécurisé.
Dans le reste du monde, les disparités restent grandes. Le cadre législatif et technique, pas toujours suffisamment formalisé, favorise alors les failles de sécurité. Mais la cybercriminalité touchant indifféremment tous les pays, le besoin de protection des données s’impose dans tous les Etats.
La protection des données de santé est un enjeu pour tous les acteurs du secteur. Hôpitaux, organismes de recherche, laboratoires, assurances et mutuelles, industrie pharmaceutique : si les niveaux de responsabilité varient, les entreprises du secteur sont toutes appelées à évoluer.
Le défi est d’autant plus grand que les connexions se multiplient entre les établissements de santé, complexifiant les flux d’information. Pour les acteurs concernés, la protection des données se joue donc dans l’infrastructure informatique, mais aussi dans les processus. Ceux-ci doivent être adaptés afin de sécuriser la donnée de santé dès sa collecte.
Pour mettre en œuvre les bonnes mesures, les organismes de santé doivent au préalable effectuer un certain nombre de démarches :
Au quotidien, ce sont diverses bonnes pratiques qui doivent être adoptées : utilisation d’une messagerie électronique sécurisée, stockage limité de données personnelles sur les appareils mobiles, limitation des informations transmises aux prestataires (pour la prise de rendez-vous notamment) ou notification systématique de leurs droits aux patients.
Pour éviter de mettre en péril les données de santé, il est généralement nécessaire d’améliorer l’architecture des systèmes d’information : mieux structurés, les flux et applications seront ainsi moins exposés aux intrusions.
L’interopérabilité, notamment, est de plus en plus nécessaire. Transmettre efficacement les données (via un EAI, des appareils biomédicaux connectés…) et les centraliser, c’est améliorer la qualité des traitements et actualiser en temps réel le suivi des patients.
Cette interopérabilité peut être source de vulnérabilité : elle nécessite donc une architecture sécurisée. Des normes telles que l’ISO/IEC 27001:2013 encadrent la création d’un SI plus sûr et deviennent même indispensables pour attester du bon traitement des données de santé.
La DSI doit également créer des synergies avec le département des Affaires Réglementaires, organe clé pour le respect de toutes les législations en vigueur. En effet, les évolutions juridiques en France et à l’international doivent pouvoir être mises rapidement en application dans le SI, les différentes applications concernées et les pratiques quotidiennes.
Avec la multitude de logiciels utilisés et de données collectées se pose la question de leur stockage.
La conservation des données dans le Cloud est l’alternative privilégiée, mais génère encore des inquiétudes concernant la sécurité. La certification d’Hébergeur de Données de Santé ou HDS permet alors de s’orienter vers un prestataire qualifié. Celui-ci appliquera les mesures adaptées pour garantir la sécurité, l’intégrité et la disponibilité des données de santé.
Outre la certification elle-même, des audits réguliers valident le niveau de qualité continu du stockage dans le temps. S’appuyant sur la norme ISO 27002 et les bonnes pratiques ITIL, les HDS répondent au besoin de stockage de ces données particulièrement sensibles, tout en préservant la performance du SI.
La mise en place d’une gouvernance des données est intimement liée à l’évolution du SI. Les flux et l’architecture doivent être pensés pour une mise à disposition aussi rapide que sécurisée de la donnée. Trois facteurs doivent guider les organismes dans leur stratégie :
L’organisation des flux ainsi que des rôles et la cartographie des données garantissent un accès mieux maîtrisé à l’information de santé. Au-delà du simple respect du RGPD, la gouvernance simplifie la gestion des données et le suivi des patients. Le parcours de santé est alors plus cohérent et mieux encadré.
Les missions de protection des données de santé et de transformation du SI sont vastes et nécessitent d’agir avec méthode. L’accompagnement apporté par Infogene vous permet de respecter les critères de sécurité à chaque étape de vos projets, mais aussi de mettre les données de santé au service des traitements et de vos processus.
Experte dans le domaine de la data critique et sensible, Infogene est une ESN spécialisée dans le secteur de la santé. Nous connaissons parfaitement les besoins et les contraintes de cet univers. Notre approche globale nous permet de conjuguer les enjeux de Data Management et de conformité réglementaire. La protection des données de santé se joue également sur le plan humain : nous travaillons avec vos équipes pour une application des bonnes pratiques à tous les niveaux afin de faire entrer la sécurité des données dans votre culture d’entreprise.