Publicité en cours de chargement...
Protéger les données personnelles et responsabiliser les acteurs
La sécurité des données de santé devient un enjeu stratégique du développement du numérique en santé, de la technologie, mais aussi de l’opinion, notamment pour ce qui est des problématiques de confiance dans le digital. Les données de santé font aujourd’hui l’objet d’une protection spécifique par les textes. Le RGPD vient ainsi renforcer les droits des personnes et vise à responsabiliser les acteurs dans un contexte où l’interconnexion, la multiplication des échanges et le partage des données multiplient les menaces et les risques (piratage, vols, détournements, blocage des systèmes).
Responsabilisation des acteurs
Les établissements de santé sont le plus souvent déjà engagés dans une démarche de gestion continue de la sécurité des SI le plus en amont possible (analyse de risques, acceptation des risques résiduels, audits de sécurité réguliers, gestion des incidents de sécurité…). Avec l’entrée en application en mai prochain du RGPD, les formalités auprès de la Cnil seront remplacées par un renforcement de la responsabilisation des organismes et de leurs sous-traitants (notamment dans le cadre d’un groupement). Ils devront par exemple être en mesure de démontrer et de documenter la protection des données en étayant leur conformité. Le RGPD s’applique à tous les acteurs qui traitent des données personnelles et porte sur l’ensemble des données personnelles issues des activités de l’établissement de santé, et pas uniquement sur les données de santé générées par la prise en charge des patients.
Le RGPD s’inscrit ainsi dans la démarche globale de gestion des risques des établissements, qui répond notamment aux procédures de conformité de la structure de soins ainsi qu’à la gestion des risques de sécurité de ses systèmes d’information. Tous les établissements de santé sont invités à respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité de même que respect des droits des personnes).
Obligations réglementaires
Dès la fin mai, les établissements devront mettre en place une série de procédures :
- Tenir une documentation interne décrivant les traitements mis en œuvre et les mesures de mise en conformité y afférentes ;
- Désigner un délégué à la protection des données (DPD ou DPO) pour tous les établissements publics, y compris ceux qui disposent déjà d’un correspondant Informatique et Libertés ;
- Assurer le respect des droits des personnes : le RGPD renforce les droits traditionnelsdes personnes concernées par un traitement qui sont spécifiquement adaptés au secteur de la santé par le code de santé publique ;
- Réaliser une analyse de l’impact du traitement de données portant tant sur les risques de sécurité et techniques que sur les risques juridiques pour les personnes ;
- Porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de services dont la prestation implique le traitement des données de santé ;
- Mettre en place des procédures permettant de garantir la sécurité et la confidentialité des données, dans le respect de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) ;
- Signaler à la Cnil les incidents de sécurité impliquant les données personnelles.
Sur ce sujet des incidents, un dispositif national d’appui a été mis en place, fin 2017, par le ministère, les ARS, l’Asip Santé et le HFDS/FSSI(haut fonctionnaire de défense et de sécurité/fonctionnaire de sécurité des systèmes d’information). Les établissements déclarent leurs incidents de sécurité via le portail de signalement des événements sanitaires indésirables. Pour accompagner cette démarche, une cellule Accompagnement Cybersécurité des structures de santé a été mise en place par l’Asip Santé.
Avez-vous apprécié ce contenu ?
A lire également.

Satelia® et Withings s’associent pour réinventer le suivi à distance des patients insuffisants cardiaques
11 juin 2025 - 17:22,
Communiqué
- Satelia® et WithingsSatelia®, leader de la télésurveillance de l’insuffisance cardiaque, et Withings, pionnier des objets connectés de santé, unissent leurs expertises pour améliorer le suivi à distance des patients insuffisants cardiaques. En intégrant la balance connectée Withings Body Pro dans le programme Satelia® ...

APinnov 2025 : une édition placée sous le signe l’intelligence artificielle
10 juin 2025 - 17:47,
Communiqué
- l’AP-HPLa 21e édition d'APinnov, journée emblématique autour des technologies de l’AP-HP, s’est tenue aujourd’hui sous le thème « Soigner, innover, transférer : la science et la technologie au service du patient ». Près de 480 participants, porteurs de projets, industriels, incubateurs d’entreprises, pépin...

Vu à SantExpo 2025 : Automatiser et revaloriser le codage des séjours hospitaliers grâce à l’interaction du PMSI Dedalus et de l’IA SANCARE
10 juin 2025 - 10:27,
Actualité
- DSIH, Pauline NicolasOptimiser le codage PMSI par l’innovation et l’intelligence artificielle, tel est le message clé de la dernière conférence qui s’est tenue au sein de l’auditorium Dedalus en clôture de cette 59ème édition de SantExpo. Dedalus, leader des solutions PMSI en France, et SANCARE, spécialiste de l’intelli...

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...