Publicité en cours de chargement...
Accès au SNDS, quelques bizarreries
En substance, le SNDS est une base nationale centralisée, qui agrège les données de l’assurance maladie, des établissements de santé et (à partir de septembre) des causes médicales de décès. Nul doute que le nombre de sources va s’étendre à terme, et si les données sont protégées par des systèmes d’anonymisation pointus, tous les spécialistes du secteur s’accordent à penser qu’il est impossible de garantir qu’un jeu de données extrait du SNDS ne permettra jamais de remonter à quelque patient que ce soit : cet entrepôt de données est donc sensible, d’où la présentation en question supposée expliquer aux parties prenantes les conditions d’accès, assez draconiennes du reste.
Il existe deux façons d’accéder au SNDS : soit un accès à la base centrale, soit un export vers un système local à l’établissement usager (système fils), les utilisateurs travaillant ensuite sur cet export. Les conditions d’accès au système central sont complexes, celles qui permettent un export vers un système fils plus encore, ce qui est logique.
Pour l’accès au SNDS central, il faut en substance :
- Garantir l’accès au système par un processus formalisé de gestion des identités et des habilitations : circuit administratif comprenant une autorité d’enregistrement et une instance de certification, signature des documents contractuels internes, etc. ;
- Garantir la sensibilisation des utilisateurs : formation obligatoire, signature d’une charte, etc.
Pour l’utilisation d’un système fils, les conditions sont les mêmes que celles imposées à l’hébergeur du SNDS central, à savoir en plus des contraintes ci-dessus : audits réguliers, traçabilité des accès et exploitation des traces.
Dans les deux cas, le recours à un CIL est obligatoire, de même que le respect des principaux référentiels en vigueur (PSSI-MCAS, etc.).
Ce qui étonne le plus, dans toute cette armada de précautions, c’est que l’accès au SNDS central par les utilisateurs des organismes disposant d’un accès de droit se fait… par une simple authentification login/password, donc faible. Alors que le SNDS exige que le poste de travail soit conforme aux exigences de la PSSI-MCAS (en gros, PC maîtrisé par l’organisme), un simple login/password suffit à l’accès. D’une part, il est évident que les mots de passe vont se prêter (et celui qui prétend le contraire n’a clairement pas mis les pieds sur le terrain depuis la guerre du Péloponnèse) ; d’autre part, il est au moins aussi évident que les utilisateurs… vont accéder au système depuis chez eux (exit la maîtrise du PC). Sans parler des risques de fuite de données puisque les établissements ne maîtriseront pas ces accès non tracés.
L’ensemble des confrères RSSI présents à la réunion (le CHU Bouillabaisse, le CHU Canari, le CHU Promenade des Anglais, le CHU Crêpe normande et j’en oublie) ont unanimement fait part à la Drees, en séance, de leur inquiétude à ce sujet. Il leur a été promis de « remonter la question ».
Ça rassure drôlement.
Avez-vous apprécié ce contenu ?
A lire également.

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé
06 juin 2025 - 18:52,
Actualité
- DSIHL’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap
06 juin 2025 - 18:32,
Actualité
- DSIHFace aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé
04 juin 2025 - 13:10,
Communiqué
- Le Health Data HubÀ l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

MentalTech, vers un Observatoire français de la e-santé mentale
02 juin 2025 - 22:20,
Actualité
- Damien Dubois, DSIHLe 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.