Confiance numérique : comment le MiPih assure la gestion et la sécurité des données sensibles

Si les hôpitaux et les établissements de santé ont toujours eu des obligations vis-à-vis des documents et données qu'ils détenaient et qu'ils devaient conserver, depuis l'entrée en vigueur du RGPD, le cadre légal s'est resserré et les possibilités de sanctions se sont multipliées. En octobre 2018, le CNPD (équivalent de la CNIL au Portugal) a par exemple condamné l'hôpital de Barreiro à 400 000 euros d'amende pour de multiples défauts dans la gestion de données personnelles. En décembre 2019, un hôpital du land Rheinland-Palinate, en Allemagne, s'est vu infliger une amende de 105 000 euros par le Commissaire à la protection des données et à la liberté de l'information du land. Même chose aux Pays-Bas l'an dernier où un hôpital a écopé d'une amende de 460 000 euros pour violation de l'article 32 du RGPD, relatif aux mesures de sécurité techniques et organisationnelles. Et toujours l'an dernier, un hôpital chypriote a reçu une amende de 5 000 euros pour violation de l'article 15 du RGPD, relatif au droit d'accès des personnes concernées à leurs données personnelles. Les exemples sont nombreux partout en Europe. D'où la nécessité pour eux d'être accompagnés et conseillés, notamment dans la prise en compte, au sein de leurs pratiques quotidiennes, de la réglementation liée aux archives.

Composer avec une conformité évolutive

Outre le RGPD, les établissements de santé doivent désormais se mettre en conformité avec les obligations nées du Ségur de la Santé qui fait du numérique un enjeu majeur pour la santé en France. Ainsi, dès janvier prochain, ils auront par exemple l'obligation d'utiliser le numéro d'inscription au répertoire d'identification des personnes physiques (dit "NIR" qui correspond au numéro de sécurité sociale) comme identifiant national de santé (INS). Un décret d'application de mars 2017 a détaillé les modalités d'utilisation de cet INS afin de "référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d'un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d'autonomie, ou d'interventions nécessaires à la coordination de plusieurs de ces actes". Ce décret renforce également les règles de sécurité dans la prise en charge et la protection des données.

MiPih : des gages de confiance

Les établissements de santé doivent donc désormais composer avec ce nouvel environnement réglementaire. Sans oublier le risque cyber. Plusieurs d'entre eux en France ont été victimes ces derniers mois de cyberattaques au ransomware par exemple. D'où l'importance d'assurer une gestion et une sécurité optimales de tous les documents et les données conservées. Les solutions proposées par MiPih s'inscrivent dans cet objectif. Elles sont éprouvées, sécurisées, hébergées au sein de datacenters implantés en France et garantissent une sécurité maximale. MiPih a également obtenu la certification ISO 27001 et la certification Hébergeur de données de santé (HDS) en 2018 (le 1er en France), ainsi que l'agrément "tiers-archiveur" en 2020 avec la solution Spark Archives, pour la conservation d'archives publiques courantes et intermédiaires sur support numérique.

MiPih : rendre l'expertise "santé" profitable à tous

Rappelons par ailleurs que si les établissements de santé sont en pleine transformation numérique, ils gèrent encore aujourd'hui un important volume de données papier. L'objectif étant évidemment de réduire son utilisation et de digitaliser un maximum d'opérations afin de gagner en efficacité, de fluidifier la circulation de l'information, d'optimiser sa traçabilité et sa sécurité, et d'assurer la conformité à la réglementation aux normes en vigueur. MiPih fait justement partie des structures spécialisées pour assurer cette mission et porte aujourd'hui son offre d'archivage électronique et de coffre-fort numérique (baptisée monCFN) auprès de tout type de structure.

Une offre combinée pour la pérennité et la sécurité de l'information

MiPih a construit cette offre de confiance numérique, combinant SAE et coffre-fort, pour répondre aux enjeux stratégiques du secteur, à savoir la confidentialité, la traçabilité, la pérennité, l'intégrité, la disponibilité, la fiabilité et la sécurité de l'information. MiPih a également sollicité l'avis, l'accompagnement et la validation d'experts et d'autorités (SIAF, Archives départementales de la Somme notamment) et participé aux avancées réglementaires, notamment sur le Référentiel force probante des documents de santé de l'Agence du Numérique en Santé, ou encore aux groupes de travail de la FNTC [1].

Un SAE à vocation probatoire en mode SaaS

Proposé en mode SaaS, le Système d'archivage électronique (SAE) du MiPih garantit la valeur probante de l'ensemble des documents produits ou reçus par le SI de l'organisation et assure leur conservation légale tout au long de leur cycle de vie. Le SaaS rend l'offre attrayante sur le plan économique, car il n'y a aucun investissement matériel ou logiciel préalable. Il facilite également l'intégration aux systèmes existants grâce à des API et contribue à réduire les coûts liés à l'archivage papier.

Des avantages fonctionnels et sécuritaires

Le SaaS offre par ailleurs un accès immédiat aux informations via un simple navigateur Web (client léger) ou via des web services, avec des fonctionnalités classiques de versement, de recherche et de consultation des documents archivés, en fonction des droits associés. Cette facilité d'accès et d'usage contribue largement à la réduction des délais de réponse et à l'amélioration de la qualité de service. Sans oublier, les avantages d'un tel système en matière de sécurité, puisqu'un SAE en mode SaaS élimine les risques accidentels de perte, de destruction, de modification ou de falsification des documents, et fournit l'assurance d'une confidentialité totale.

Une chaîne de confiance globale

Cette offre de dématérialisation et d'archivage est complétée par une offre de coffres-forts numériques. Ce qui permet par exemple aux salariés de tout type d'organisations de recevoir leur bulletin de paie sur support électronique et de pouvoir les conserver en toute sécurité. La valeur probatoire du document est ainsi assurée sur l'ensemble de la chaîne, depuis l'engagement jusqu'à la fin de sa durée de conservation.

[1] Fédération Nationale des Tiers de Confiance