Publicité en cours de chargement...
Confidentialité des données de santé : foison ou jachère ?
Comment s’assurer que les informations de santé circulent en toute sécurité et confidentialité ?
Les données personnelles de santé contiennent une partie de l’intimité de chacun et doivent rester confidentielles. La France a été pionnière dans la protection des données personnelles en promulgant la loi Informatique et Libertés du 8 janvier 1978 et en créant la CNIL. D’abord il faut protéger: c’est le vœu pieux, pas de mesures cohercitives réellement appliquées, seulement un cadre général soumis à interprétation. Seconde étape : le bâton avec notification, à l’autorité, aux personnes concernées, voire aux media des atteintes à la vie privée et à la clé amendes, sanctions financières proportionnelles, retrait d’agrément. Troisième étape : la carrotte par le lien entre subventions et satisfaction de prérequis de confidentialité.
Les réglementations : en pleine mutation
Le cadre réglementaire portant sur la sécurité des systèmes d’information de santé en France est une cible mouvante. Il y a eu un véritable effort de formalisation et de réglementation avec la publication en mai 2007 du décret relatif à la confidentialité des données de santé.
Le décret de mai 2007 sur la confidentialité des données de santé n’ayant pu finalement jouer son rôle, l’Agence des Systèmes d’Information Partagés de santé a alors vu le jour.
Initiée en avril 2009 avec l’annonce des grands axes de la relance opérationnelle du DMP et des systèmes d’information partagés de santé, la réforme de la gouvernance des systèmes d’Information partagés de santé vise à consolider la maîtrise d’ouvrage publique pour créer les conditions de leur émergence et de leur développement face aux enjeux croissants de santé publique. Elle a engendré la mise en place de l’ASIP Santé, qui intègre la concertation avec les acteurs de santé comme principe d’action. L’ASIP s’est alors dotée d’outils de gouvernance destinés à faciliter sa mise en œuvre.
L’évolution du cadre réglementaire en ce qui concerne la sécurité va dans deux directions
Les hébergeurs de données de santé à caractère personnel et les politiques de sécurité
L’ASIP a réussi à donner vie à un décret qui datait de 2006 sur des hébergeurs de données de santé et à définir les mesures de sécurité que doivent mettre en œuvre les hébergeurs pour protéger la confidentialité des données des patients. Les établissements de santé n’ont pas l’obligation d’être conformes au décret lorsqu’ils hébergent les données de leurs propres patients. Toutefois cette subtilité évolue puisque les grands établissements hébergent de plus en plus d’applications et donc des données pour d’autres établissements. Ainsi le CHU de Nice a été le 1er établissement à être agréé.
Le décret d’hébergeur de santé est un décret d’agrément, agrément donné par le Ministère de la Santé sur instruction du dossier par l’ASIP lequel comporte un important volet sur la confidentialité et la traçabilité. En matière de traçabilité, il faut pouvoir à la demande d’un patient ressortir l’historique d’une action ; pouvoir stocker les accès, les rechercher et les restituer facilement.
Une feuille de route pour les systèmes d’information hospitaliers
Le plan hôpital numérique est un plan sur 5 ans (de 2012 à 2016) mis en place par la direction générale de l’offre des soins.
Ce plan a notamment pour but d’être sûr que les investissements sont faits à bon escient. C’est tant un instrument pour favoriser des décisions politiques en matière de santé qu’un moyen de s’assurer que les subventions publiques accordées le sont sur des projets qui aboutissent. Un volet du plan est constitué de 5 pré-requis qui doivent être satisfaits par les groupements de santé et correspondants à des investissements sur des axes plus précis qu’auparavant.
Parmi ces pré-requis, des domaines concernent la confidentialité et la sauvegarde des informations. Concernant la confidentialité, une partie porte sur la traçabilité qui doit être assurée sur 100 % des applications. Il faut alors pouvoir implanter des outils qui intègrent facilement et à moindre coût des applications diverses qui ne sont pas forcément issues d’un même éditeur. D’où la nécessité de mettre en place une traçabilité dans un environnement hétérogène tant des applications que des structures informatiques.
Espérons qu’Hôpital Numérique et la Politique Générale de Sécurité des Systèmes d’Information de Santé de l’ASIP permettent d’aller dans le bon sens
Avez-vous apprécié ce contenu ?
A lire également.
Le futur de l’IA : Big Crunch, Big Freeze ou TVA ?
12 mai 2026 - 06:50,
Tribune
-C’est un fait : nous finirons tous cramés comme des merguez ou gelés comme des ours polaires.
Cyber-résilience hospitalière : renforcer détection et réponse sans surcharger ses ressources
11 mai 2026 - 11:24,
Actualité
- Fabrice Deblock, DSIHLe secteur de la santé n’est plus une cible secondaire, mais un objectif récurrent pour le cybercrime organisé. Entre les exigences de NIS2 et l’interconnexion croissante des systèmes, la seule détection ne suffit plus à contenir les risques. Les établissements doivent désormais renforcer leur capac...
Centre hospitalier de Moulins-Yzeure : conserver une capacité de coordination lorsque la crise survient
05 mai 2026 - 07:15,
Actualité
- Fabrice Deblock, DSIHPlan Blanc, cyberattaque, intoxication… Les établissements de santé doivent piloter des crises impliquant SAMU, services, direction de garde et partenaires extérieurs. Au CH de Moulins-Yzeure, les solutions CrisiSoft structurent l’alerte, le suivi des ressources et la coordination territoriale.
Fuites de données en France : inquiétant, désabusé…ou espoir ?
28 avril 2026 - 08:10,
Tribune
-En 2025, la France a détenu le record du nombre de fuites de données personnelles (ramené à la population), tout pays de l’OCDE confondu.
