Hébergement des données de santé : le défi majeur de la sécurité

Fin 2019, le MiPih a démarré son tour de France dédié à l’innovation dans la e-santé. Avec l’ouverture de l’hôpital sur le territoire impulsée par Ma Santé 2022, la sécurité des données de santé est un enjeu majeur pour les établissements. Conscient de cet enjeu, le MiPih a invité Géraldine Salord, avocate spécialisée en droit des nouvelles technologies et fondateur du cabinet Metalaw, pour échanger avec ses adhérents. Interview de Géraldine Salord 

– Que retenez-vous de vos échanges pendant les rencontres du MiPih ? 

De nombreux adhérents ont exprimé leur inquiétude face à la transition numérique des établissements de santé. Outre les questions de budget, qui ne sont pas négligeables, ils s’interrogent sur l’importance des transformations à mener tant au niveau du management de leur personnel que d’un point de vue de la sécurité informatique. À ce sujet, ils ont d’ailleurs conscience d’encourir un véritable risque au titre des mesures de sécurité des données de santé qu’ils collectent et traitent. Ils se projettent difficilement dans « l’Hôpital du futur » et aspirent à plus de soutien et d’accompagnement dans leur transformation numérique. 

– Pourquoi la sécurité des données santé est un enjeu majeur avec Ma Santé 2022 ? 

Le gouvernement souhaite replacer le patient au centre de son parcours de santé. De ce fait, la réorganisation de l’offre de soins va se structurer autour de la collaboration entre les différents professionnels de santé dans l’intérêt du patient sur un même territoire. Le décloisonnement des soins induit l'ouverture des données de santé et leur partage entre les professionnels qui interviennent dans le parcours du patient. Or, dans le cadre de l’entrée en vigueur de la nouvelle règlementation sur les données personnelles, il relève de la responsabilité de l’établissement de soins, en tant que responsable de traitement, de mettre en œuvre ou de s’assurer que les mesures techniques visant à garantir l’intégrité et la confidentialité des données sont adaptées au niveau de risque représenté par le traitement de données de santé. L’augmentation des échanges de données de santé entre plusieurs professionnels, qui sont des données très sensibles, induite par Ma Santé 2022 s’accompagne nécessairement d’une augmentation du risque de faille de sécurité sur les traitements de données. Dans ce cadre, la sécurisation des données de santé devient un enjeu majeur pour tout établissement de santé. Mais comment garantir la mise en œuvre de mesures adéquates lorsque l’on ne dispose pas en interne de compétences techniques en matière de sécurité informatique et de cybersécurité ? C’est ici que l’idée de collaboration prend tout son sens : chaque acteur intervenant sur un même traitement doit assumer des obligations dans la mesure de ses moyens. Le gouvernement est d’ailleurs clair à ce sujet : Ma Santé 2022 vise à redonner aux médecins le temps de soigner les patients et par conséquent aux établissements l’opportunité de se recentrer sur leur métier, en s’appuyant sur des prestataires compétents.

– Que risque-t-on en cas d’exploitation frauduleuse de ces données ?

En cas de faille de sécurité entraînant une violation des données personnelles des patients (fuite, destruction de données, accès non autorisé) un établissement de santé, en sa qualité de responsable du traitement, verra sa responsabilité engagée au titre de la faille s’il s’avère que celle-ci découle de mesures de sécurité inadaptées au regard de l’état de l’art. Il a en effet l’obligation de mettre en place lui-même ces mesures ou de choisir un prestataire présentant des garanties suffisantes. En cas de manquement de ce dernier, sa responsabilité sera engagée. La sanction est potentiellement assez lourde. En effet, la CNIL dispose de plusieurs types de sanction, allant de la simple injonction de mettre un terme à la faille, à la sanction financière, pour un montant maximum représentant 4% du chiffre d’affaires du responsable du traitement. Il est important de souligner que la sanction est proportionnée à la gravité de la faille. Dans le domaine de la santé, toute faille portant sur des données de santé dites sensibles pourra en conséquence entraîner directement une sanction financière élevée.

– Avoir recours à un hébergeur externe est-il gage de sécurité ?  

Recourir à un hébergeur externe implique un transfert de données mais également de déléguer à un tiers la mise en œuvre de mesures de sécurité adéquates. Peu d’établissements de santé ont en effet la capacité interne de mettre en œuvre des mesures satisfaisantes et surtout, de les maintenir au niveau des règles de l’art. De ce fait, recourir à un prestataire dont c’est le métier constitue un atout réel. Néanmoins, comme précédemment rappelé, la première obligation du responsable du traitement, dans le cadre de la collaboration souhaitée par le législateur européen, est de choisir un prestataire présentant des garanties suffisantes. Dans le domaine de la santé, les bonnes pratiques au regard de la sécurité informatique font d’ores et déjà l’objet de plusieurs normes et certifications permettant de garantir à l’établissement de santé un niveau de protection suffisant. 

La CNIL prévoit en outre de mettre en place courant 2020 une certification dédiée à la protection des données personnelles. Par conséquent, il est vivement conseiller de recourir à un prestataire externe disposant des certifications les plus pertinentes dans le secteur de la santé. En effet, en cas de faille de sécurité, si le prestataire défaillant disposait d’une telle certification, la responsabilité du centre de santé ne sera pas mise en jeu, dès lors qu’elle aura pris toute mesure utile au regard des garanties qui lui auront été fournies. A l’inverse, un établissement qui n’aura pas eu la diligence de sélectionner un hébergeur certifié, sera solidairement responsable de la faille avec son prestataire. Compte tenu du niveau de sanction encourue, choisir un hébergeur externe certifié est un véritable gage de sécurité.

---

Le MiPih : un acteur majeur de la sécurité des données de santé

Le MiPih propose des solutions d’hébergement et d’infogérance des données de santé hautement sécurisées et agréées. Afin de garantir la confidentialité des données à caractère personnelle en toutes circonstances, le GIP MiPih a investi dans des infrastructures adaptées aux exigences de Ma Santé 2022. Deux datacenters hébergent aujourd’hui les données de plus de 330 établissements de santé, sur les sites de Toulouse et d’Amiens. Le MiPih dispose par ailleurs de 3 RSSI et d’un DPO pour répondre à la réglementation et accompagner ses clients face à des enjeux de sécurité complexes, avec l’ambition de construire un environnement de confiance autour de l’e-santé et du suivi des patients. A partir de janvier 2020, le MiPih poursuivra son tour de France avec deux nouvelles dates ouvertes aux acteurs de la santé.