Résumé
Le RGPD (Règlement Général sur la Protection des Données) les définit comme les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne, révélant des informations sur son état de santé.
Des qualifications pour bien choisir votre partenaire cloud : le cloud souverain et HDS (Hébergeur de Données de Santé) sont des prérequis indispensables pour sécuriser les données de santé, en maintenant les plus hauts standards de sécurité. Le référentiel HDS se base notamment sur la norme ISO27001.
Pour tout traitement des données de santé, il convient donc de se poser les bonnes questions, avec deux axes principaux : la collecte des données, et leur échange et leur partage.
Précieuses et convoitées par les cyber attaquants, les données de santé des patients générées au cours des parcours de soin comptent parmi les plus sensibles et nécessitent une protection particulièrement renforcée. Et dans la mesure où elles croissent à vitesse grand V (multiplication par 50 attendue du volume généré d’ici 2050), les français attendent désormais qu’elles soient protégées comme il se doit.
Ils en sont d’ailleurs bien conscients, puisque 86% des Français considèrent leurs données de santé comme particulièrement sensibles selon l’étude récente de la Délégation au numérique en santé (DSN).
Qu’est-ce qu’une donnée de santé ?
Le RGPD (Règlement Européen sur la Protection des Données) est un texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’Union européenne entré en application dès 2018 pour établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Il procède à une définition large des données de santé regroupant : « Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »
Exemples de traitements de données de santé :
Les bases de données PMSI de l’établissement de santé
Tout dispositif de télé-expertise
Le dossier d’un patient (informatisé ou papier)
La collecte d’échantillon pour effectuer des recherches…
L’imagerie médicale
Personnes et entités concernées par le traitement de ces données
Les professionnels de santé libéraux
Les pharmacies
Les cabinets médicaux et paramédicaux
Les laboratoires d’analyse médicale
Les établissements de santé
Les services de santé au travail…
Les fabricants de dispositifs médicaux
Pour quels usages ?
Pour tout traitement des données de santé, il convient de se poser les bonnes questions, avec deux axes principaux :
La collecte des données :
Quel est l’objectif (finalité) de mon traitement ?
Les données collectées sont-elles exactes et mises à jour ?
Cette finalité est-elle déterminée, explicite et légitime ?
Quelle est la base légale du traitement ?
Les données collectées sont-elles adéquates, pertinentes et nécessaires au regard de la finalité du traitement ?
Le patient est-il informé au moment de la collecte et peut-il exercer ses droits ?
A quel titre puis-je déroger au principe d’interdiction de la collecte des données de santé ?
Le traitement est-il dans le périmètre de la section 3 de la LIL ?
La durée de conservation des données est-elle adaptée à la finalité du traitement ?
Si je souhaite mener un projet de recherche, quelle est la qualification de mon étude ? S’il s’agit d’une recherche n’impliquant pas la personne humaine, je vérifie qu’il ne s’agit pas d’une étude interne.
Des mesures de sécurité sont-elles mises en place pour garantir l’intégrité et la confidentialité des données ?
Mon traitement est-il conforme à un référentiel homologué par la CNIL ?
L’échange et le partage de celles-ci :
Le patient est-il bien informé en amont du partage/de l’échange de ses données ?
Une procédure de gestion des habilitations et des accès est-elle mise en place ?
Ce partage intervient-il dans le cadre de l’équipe de soins ou en dehors de celle-ci ?
Les professionnels de santé utilisent-ils la messagerie sécurisée pour échanger entre eux ?
Le partage/l’échange des données est-il licite ?
Les personnes sont-elles bien autorisées à accéder aux données de santé du patient ?
Quelles garanties offertes pour leur protection ?
Le cloud souverain, de confiance qualifié SecNumCloud et la certification HDS garantissent les plus hauts standards de sécurité pour assurer la protection des données de santé et la simplification des mises en conformité des exigences règlementaires.
Souveraineté
Le critère de la souveraineté en matière de cloud garantit aux données sensibles et stratégiques d’une organisation d’être hébergées dans des environnements cloud contrôlés par des entités souveraines : les données sont stockées sur des serveurs situés sur le territoire du pays ou dans des centres de données détenus et gérés par des entreprises nationales.
HDS
La certification HDS (Hébergeur de Données de Santé) est essentielle pour garantir la sécurité et la confidentialité des données de santé à caractère personnel et les organisations de santé concernées par celles-ci doivent se conformer à la norme ISO 27001 et à des exigences spécifiques pour l’obtenir.
Seuls les prestataires certifiés HDS peuvent héberger et traiter les données médicales. Toute structure publique ou privée souhaitant traiter des données médicales à caractère personnel doit faire appel à un prestataire labellisé afin de garantir le respect de la vie privée des patients.
Aller plus loin dans la sécurité des données de santé avec le SecNumCloud
SecNumCloud est une qualification de sécurité proposée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les prestataires de services cloud garantissant les plus hauts standards de sécurité pour les données stratégiques et sensibles dans le cloud.
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.