Publicité en cours de chargement...

Publicité en cours de chargement...

Protéger les données personnelles et responsabiliser les acteurs

02 mai 2018 - 11:16,
Actualité - DSIH & Asip Santé
Le règlement général européen sur la protection des données personnelles (RGPD), applicable dès le 25 mai, sera le nouveau garant du respect de la vie privée, notamment en ce qui concerne les données de santé.

La sécurité des données de santé devient un enjeu stratégique du développement du numérique en santé, de la technologie, mais aussi de l’opinion, notamment pour ce qui est des problématiques de confiance dans le digital. Les données de santé font aujourd’hui l’objet d’une protection spécifique par les textes. Le RGPD vient ainsi renforcer les droits des personnes et vise à responsabiliser les acteurs dans un contexte où l’interconnexion, la multiplication des échanges et le partage des données multiplient les menaces et les risques (piratage, vols, détournements, blocage des systèmes).

Responsabilisation des acteurs

Les établissements de santé sont le plus souvent déjà engagés dans une démarche de gestion continue de la sécurité des SI le plus en amont possible (analyse de risques, acceptation des risques résiduels, audits de sécurité réguliers, gestion des incidents de sécurité…). Avec l’entrée en application en mai prochain du RGPD, les formalités auprès de la Cnil seront remplacées par un renforcement de la responsabilisation des organismes et de leurs sous-traitants (notamment dans le cadre d’un groupement). Ils devront par exemple être en mesure de démontrer et de documenter la protection des données en étayant leur conformité. Le RGPD s’applique à tous les acteurs qui traitent des données personnelles et porte sur l’ensemble des données personnelles issues des activités de l’établissement de santé, et pas uniquement sur les données de santé générées par la prise en charge des patients.

Le RGPD s’inscrit ainsi dans la démarche globale de gestion des risques des établissements, qui répond notamment aux procédures de conformité de la structure de soins ainsi qu’à la gestion des risques de sécurité de ses systèmes d’information. Tous les établissements de santé sont invités à respecter les principes de protection des données de santé (finalité, pertinence et proportionnalité, conservation limitée, sécurité et confidentialité de même que respect des droits des personnes).

Obligations réglementaires

Dès la fin mai, les établissements devront mettre en place une série de procédures :

  • Tenir une documentation interne décrivant les traitements mis en œuvre et les mesures de mise en conformité y afférentes ;
  • Désigner un délégué à la protection des données (DPD ou DPO) pour tous les établissements publics, y compris ceux qui disposent déjà d’un correspondant Informatique et Libertés ;
  • Assurer le respect des droits des personnes le RGPD renforce les droits traditionnelsdes personnes concernées par un traitement qui sont spécifiquement adaptés au secteur de la santé par le code de santé publique ;
  • Réaliser une analyse de l’impact du traitement de données portant tant sur les risques de sécurité et techniques que sur les risques juridiques pour les personnes ;
  • Porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de services dont la prestation implique le traitement des données de santé ;
  • Mettre en place des procédures permettant de garantir la sécurité et la confidentialité des donnéesdans le respect de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S) ;
  • Signaler à la Cnil les incidents de sécurité impliquant les données personnelles.

 Sur ce sujet des incidents, un dispositif national d’appui a été mis en place, fin 2017, par le ministère, les ARS, l’Asip Santé et le HFDS/FSSI(haut fonctionnaire de défense et de sécurité/fonctionnaire de sécurité des systèmes d’information). Les établissements déclarent leurs incidents de sécurité via le portail de signalement des événements sanitaires indésirables. Pour accompagner cette démarche, une cellule Accompagnement Cybersécurité des structures de santé a été mise en place par l’Asip Santé.

Avez-vous apprécié ce contenu ?

A lire également.

ethicovigilance-numerique-premiers-signaux-dalerte-dans-la-sante-connectee

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

contourner-les-regles-faille-cyber-eternelle-et-consubstantielle-a-lespece-humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

larnaque-a-larret-de-travail-comme-source-de-reflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

panorama-forcement-non-exhaustif-du-fleau-des-arnaques-en-ligne-en-ce-debut-2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.