Protéger les données personnelles et responsabiliser les acteurs

La sécurité des données de santé devient un enjeu stratégique du développement du numérique en santé, de la technologie, mais aussi de l’opinion, notamment pour ce qui est des problématiques de confiance dans le digital. Les données de santé font aujourd’hui l’objet d’une protection spécifique par les textes. Le RGPD vient ainsi renforcer les droits des personnes et vise à responsabiliser les acteurs dans un contexte où l’interconnexion, la multiplication des échanges et le partage des données multiplient les menaces et les risques (piratage, vols, détournements, blocage des systèmes).

Responsabilisation des acteurs

Les établissements de santé sont le plus souvent déjà engagés dans une démarche de gestion continue de la sécurité des SI le plus en amont possible (analyse de risques, acceptation des risques résiduels, audits de sécurité réguliers, gestion des incidents de sécurité…). Avec l’entrée en application en mai prochain du RGPD, les formalités auprès de la Cnil seront remplacées par un renforcement de la responsabilisation des organismes et de leurs sous-traitants (notamment dans le cadre d’un groupement). Ils devront par exemple être en mesure de démontrer et de documenter la protection des données en étayant leur conformité. Le RGPD s’applique à tous les acteurs qui traitent des données personnelles et porte sur l’ensemble des données personnelles issues des activités de l’établissement de santé, et pas uniquement sur les données de santé générées par la prise en charge des patients.

Le RGPD s’inscrit ainsi dans la démarche globale de gestion des risques des établissements, qui répond notamment aux procédures de conformité de la structure de soins ainsi qu’à la gestion des risques de sécurité de ses systèmes d’information. Tous les établissements de santé sont invités à respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité de même que respect des droits des personnes).

Obligations réglementaires

Dès la fin mai, les établissements devront mettre en place une série de procédures :

• Tenir une documentation interne décrivant les traitements mis en œuvre et les mesures de mise en conformité y afférentes ;
• Désigner un délégué à la protection des données (DPD ou DPO) pour tous les établissements publics, y compris ceux qui disposent déjà d’un correspondant Informatique et Libertés ;
• Assurer le respect des droits des personnes : le RGPD renforce les droits traditionnelsdes personnes concernées par un traitement qui sont spécifiquement adaptés au secteur de la santé par le code de santé publique ;
• Réaliser une analyse de l’impact du traitement de données portant tant sur les risques de sécurité et techniques que sur les risques juridiques pour les personnes ;
• Porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de services dont la prestation implique le traitement des données de santé ;
• Mettre en place des procédures permettant de garantir la sécurité et la confidentialité des données, dans le respect de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) ;
• Signaler à la Cnil les incidents de sécurité impliquant les données personnelles.

 Sur ce sujet des incidents, un dispositif national d’appui a été mis en place, fin 2017, par le ministère, les ARS, l’Asip Santé et le HFDS/FSSI(haut fonctionnaire de défense et de sécurité/fonctionnaire de sécurité des systèmes d’information). Les établissements déclarent leurs incidents de sécurité via le portail de signalement des événements sanitaires indésirables. Pour accompagner cette démarche, une cellule Accompagnement Cybersécurité des structures de santé a été mise en place par l’Asip Santé.