Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Hébergement des données de santé : le défi majeur de la sécurité

25 nov. 2019 - 12:11,
Communiqué - DSIH
    

herbergement-donnees-de-sante
Fin 2019, le MiPih a démarré son tour de France dédié à l’innovation dans la e-santé. Avec l’ouverture de l’hôpital sur le territoire impulsée par Ma Santé 2022, la sécurité des données de santé est un enjeu majeur pour les établissements. Conscient de cet enjeu, le MiPih a invité Géraldine Salord, avocate spécialisée en droit des nouvelles technologies et fondateur du cabinet Metalaw, pour échanger avec ses adhérents. Interview de Géraldine Salord 

– Que retenez-vous de vos échanges pendant les rencontres du MiPih ? 

Geraldine-SalordDe nombreux adhérents ont exprimé leur inquiétude face à la transition numérique des établissements de santé. Outre les questions de budget, qui ne sont pas négligeables, ils s’interrogent sur l’importance des transformations à mener tant au niveau du management de leur personnel que d’un point de vue de la sécurité informatique. À ce sujet, ils ont d’ailleurs conscience d’encourir un véritable risque au titre des mesures de sécurité des données de santé qu’ils collectent et traitent. Ils se projettent difficilement dans « l’Hôpital du futur » et aspirent à plus de soutien et d’accompagnement dans leur transformation numérique. 

– Pourquoi la sécurité des données santé est un enjeu majeur avec Ma Santé 2022 ? 

Le gouvernement souhaite replacer le patient au centre de son parcours de santé. De ce fait, la réorganisation de l’offre de soins va se structurer autour de la collaboration entre les différents professionnels de santé dans l’intérêt du patient sur un même territoire. Le décloisonnement des soins induit l'ouverture des données de santé et leur partage entre les professionnels qui interviennent dans le parcours du patient. Or, dans le cadre de l’entrée en vigueur de la nouvelle règlementation sur les données personnelles, il relève de la responsabilité de l’établissement de soins, en tant que responsable de traitement, de mettre en œuvre ou de s’assurer que les mesures techniques visant à garantir l’intégrité et la confidentialité des données sont adaptées au niveau de risque représenté par le traitement de données de santé. L’augmentation des échanges de données de santé entre plusieurs professionnels, qui sont des données très sensibles, induite par Ma Santé 2022 s’accompagne nécessairement d’une augmentation du risque de faille de sécurité sur les traitements de données. Dans ce cadre, la sécurisation des données de santé devient un enjeu majeur pour tout établissement de santé. Mais comment garantir la mise en œuvre de mesures adéquates lorsque l’on ne dispose pas en interne de compétences techniques en matière de sécurité informatique et de cybersécurité ? C’est ici que l’idée de collaboration prend tout son sens : chaque acteur intervenant sur un même traitement doit assumer des obligations dans la mesure de ses moyens. Le gouvernement est d’ailleurs clair à ce sujet : Ma Santé 2022 vise à redonner aux médecins le temps de soigner les patients et par conséquent aux établissements l’opportunité de se recentrer sur leur métier, en s’appuyant sur des prestataires compétents.

– Que risque-t-on en cas d’exploitation frauduleuse de ces données ?

En cas de faille de sécurité entraînant une violation des données personnelles des patients (fuite, destruction de données, accès non autorisé) un établissement de santé, en sa qualité de responsable du traitement, verra sa responsabilité engagée au titre de la faille s’il s’avère que celle-ci découle de mesures de sécurité inadaptées au regard de l’état de l’art. Il a en effet l’obligation de mettre en place lui-même ces mesures ou de choisir un prestataire présentant des garanties suffisantes. En cas de manquement de ce dernier, sa responsabilité sera engagée. La sanction est potentiellement assez lourde. En effet, la CNIL dispose de plusieurs types de sanction, allant de la simple injonction de mettre un terme à la faille, à la sanction financière, pour un montant maximum représentant 4% du chiffre d’affaires du responsable du traitement. Il est important de souligner que la sanction est proportionnée à la gravité de la faille. Dans le domaine de la santé, toute faille portant sur des données de santé dites sensibles pourra en conséquence entraîner directement une sanction financière élevée.

– Avoir recours à un hébergeur externe est-il gage de sécurité ?  

Recourir à un hébergeur externe implique un transfert de données mais également de déléguer à un tiers la mise en œuvre de mesures de sécurité adéquates. Peu d’établissements de santé ont en effet la capacité interne de mettre en œuvre des mesures satisfaisantes et surtout, de les maintenir au niveau des règles de l’art. De ce fait, recourir à un prestataire dont c’est le métier constitue un atout réel. Néanmoins, comme précédemment rappelé, la première obligation du responsable du traitement, dans le cadre de la collaboration souhaitée par le législateur européen, est de choisir un prestataire présentant des garanties suffisantes. Dans le domaine de la santé, les bonnes pratiques au regard de la sécurité informatique font d’ores et déjà l’objet de plusieurs normes et certifications permettant de garantir à l’établissement de santé un niveau de protection suffisant. 

La CNIL prévoit en outre de mettre en place courant 2020 une certification dédiée à la protection des données personnelles. Par conséquent, il est vivement conseiller de recourir à un prestataire externe disposant des certifications les plus pertinentes dans le secteur de la santé. En effet, en cas de faille de sécurité, si le prestataire défaillant disposait d’une telle certification, la responsabilité du centre de santé ne sera pas mise en jeu, dès lors qu’elle aura pris toute mesure utile au regard des garanties qui lui auront été fournies. A l’inverse, un établissement qui n’aura pas eu la diligence de sélectionner un hébergeur certifié, sera solidairement responsable de la faille avec son prestataire. Compte tenu du niveau de sanction encourue, choisir un hébergeur externe certifié est un véritable gage de sécurité.


Le MiPih : un acteur majeur de la sécurité des données de santé

Le MiPih propose des solutions d’hébergement et d’infogérance des données de santé hautement sécurisées et agréées. Afin de garantir la confidentialité des données à caractère personnelle en toutes circonstances, le GIP MiPih a investi dans des infrastructures adaptées aux exigences de Ma Santé 2022. Deux datacenters hébergent aujourd’hui les données de plus de 330 établissements de santé, sur les sites de Toulouse et d’Amiens. Le MiPih dispose par ailleurs de 3 RSSI et d’un DPO pour répondre à la réglementation et accompagner ses clients face à des enjeux de sécurité complexes, avec l’ambition de construire un environnement de confiance autour de l’e-santé et du suivi des patients. A partir de janvier 2020, le MiPih poursuivra son tour de France avec deux nouvelles dates ouvertes aux acteurs de la santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.