Protéger les données de santé : un prérequis essentiel au service des patients

Résumé

Le RGPD (Règlement Général sur la Protection des Données) les définit comme les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne, révélant des informations sur son état de santé.

Des qualifications pour bien choisir votre partenaire cloud : le cloud souverain et HDS (Hébergeur de Données de Santé) sont des prérequis indispensables pour sécuriser les données de santé, en maintenant les plus hauts standards de sécurité. Le référentiel HDS se base notamment sur la norme ISO27001.

Pour tout traitement des données de santé, il convient donc de se poser les bonnes questions, avec deux axes principaux : la collecte des données, et leur échange et leur partage.

Précieuses et convoitées par les cyber attaquants, les données de santé des patients générées au cours des parcours de soin comptent parmi les plus sensibles et nécessitent une protection particulièrement renforcée. Et dans la mesure où elles croissent à vitesse grand V (multiplication par 50 attendue du volume généré d’ici 2050), les français attendent désormais qu’elles soient protégées comme il se doit.

Ils en sont d’ailleurs bien conscients, puisque 86% des Français considèrent leurs données de santé comme particulièrement sensibles selon l’étude récente de la Délégation au numérique en santé (DSN).

Qu’est-ce qu’une donnée de santé ?

Le RGPD (Règlement Européen sur la Protection des Données) est un texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’Union européenne entré en application dès 2018 pour établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Il procède à une définition large des données de santé regroupant : « Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

Exemples de traitements de données de santé : 

Les bases de données PMSI de l’établissement de santé

Tout dispositif de télé-expertise

Le dossier d’un patient (informatisé ou papier)

La collecte d’échantillon pour effectuer des recherches…

L’imagerie médicale

Personnes et entités concernées par le traitement de ces données

Les professionnels de santé libéraux

Les pharmacies

Les cabinets médicaux et paramédicaux

Les laboratoires d’analyse médicale

Les établissements de santé

Les services de santé au travail…

Les fabricants de dispositifs médicaux

Pour quels usages ? 

Pour tout traitement des données de santé, il convient de se poser les bonnes questions, avec deux axes principaux :

La collecte des données : 

Quel est l’objectif (finalité) de mon traitement ?

Les données collectées sont-elles exactes et mises à jour ?

Cette finalité est-elle déterminée, explicite et légitime ?

Quelle est la base légale du traitement ?

Les données collectées sont-elles adéquates, pertinentes et nécessaires au regard de la finalité du traitement ?

Le patient est-il informé au moment de la collecte et peut-il exercer ses droits ?

A quel titre puis-je déroger au principe d’interdiction de la collecte des données de santé ?

Le traitement est-il dans le périmètre de la section 3 de la LIL ?

La durée de conservation des données est-elle adaptée à la finalité du traitement ?

Si je souhaite mener un projet de recherche, quelle est la qualification de mon étude ? S’il s’agit d’une recherche n’impliquant pas la personne humaine, je vérifie qu’il ne s’agit pas d’une étude interne.

Des mesures de sécurité sont-elles mises en place pour garantir l’intégrité et la confidentialité des données ?

Mon traitement est-il conforme à un référentiel homologué par la CNIL ?

L’échange et le partage de celles-ci : 

Le patient est-il bien informé en amont du partage/de l’échange de ses données ?

Une procédure de gestion des habilitations et des accès est-elle mise en place ?

Ce partage intervient-il dans le cadre de l’équipe de soins ou en dehors de celle-ci ?

Les professionnels de santé utilisent-ils la messagerie sécurisée pour échanger entre eux ?

Le partage/l’échange des données est-il licite ?

Les personnes sont-elles bien autorisées à accéder aux données de santé du patient ?

Quelles garanties offertes pour leur protection ?

Le cloud souverain, de confiance qualifié SecNumCloud et la certification HDS garantissent les plus hauts standards de sécurité pour assurer la protection des données de santé et la simplification des mises en conformité des exigences règlementaires.

Souveraineté

Le critère de la souveraineté en matière de cloud garantit aux données sensibles et stratégiques d’une organisation d’être hébergées dans des environnements cloud contrôlés par des entités souveraines : les données sont stockées sur des serveurs situés sur le territoire du pays ou dans des centres de données détenus et gérés par des entreprises nationales.

HDS

La certification HDS (Hébergeur de Données de Santé) est essentielle pour garantir la sécurité et la confidentialité des données de santé à caractère personnel et les organisations de santé concernées par celles-ci doivent se conformer à la norme ISO 27001 et à des exigences spécifiques pour l’obtenir.

Seuls les prestataires certifiés HDS peuvent héberger et traiter les données médicales. Toute structure publique ou privée souhaitant traiter des données médicales à caractère personnel doit faire appel à un prestataire labellisé afin de garantir le respect de la vie privée des patients.

Aller plus loin dans la sécurité des données de santé avec le SecNumCloud

SecNumCloud est une qualification de sécurité proposée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les prestataires de services cloud garantissant les plus hauts standards de sécurité pour les données stratégiques et sensibles dans le cloud.

A propos de NumSpot

NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens. 

Ça pourrait
vous intéresser

Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Téléchargez le guide NumSpot de la protection des données de santé et du cloud Les données de santé sont précieuses et convoitées car éminemment sensibles...

2 min de lecture
Établissements de santé et cloud computing : à vos marques, prêts, partez !" par Dominique Pon, Directeur Général La Poste Santé et Autonomie

Le SIH (Système d’Informations Hospitalier) est un élément fondamental et stratégique de l’établissement hospitalier, et ce à plusieurs titres : la gestion des processus administratifs...

7 min de lecture

Dans un contexte de développement massif de l’informatique en nuage dominé par une poignée d’acteurs hégémoniques proposant des offres de grande qualité, la question de...

5 min de lecture

Offres packagées

Découvrez les offres que nous avons bâties avec nos partenaires technologiques.

NumSpot partenaire de Sopra Steria
Offre de Sauvegarde des Données de Santé
Offres packagées NumSpot (Allonia)
Assistant IA
NumSpot partenaire d'Alter way
S.I.E.M.

Cas clients

Trouver

Un partenaire

Découvrez la liste des partenaires embarquant les technologies NumSpot (éditeurs,
intégrateurs, distributeurs, revendeurs, sociétés de conseil)

synodis-partenaire-numspot
Synodis
Denodo logo numspot
Denodo
Logo Adobis Group
Adobis Group
Logo CobolCloud
CobolCloud
Logo Allonia
ALLONIA
SCC
Softeam
Eviden
Docaposte
Cleyrop
Sopra Steria
IBM
LightOn
Alter Way
Illuin Technology
Energisme
OGO
OGO Security
Logo-Red_Hat
Red Hat
DEVOTEAM
Keltio
OCTO Technology
DuoKey
CEO-Vision SAS
Produits

Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Solutions

Secteur public
Santé
Services financiers et assurance
OSE et OIV

Cas clients

Découvrez la mise en oeuvre de nos technologies au travers de nos cas clients.

Perfecto Group
Secteur public
CNP Assurances
Services financiers et assurance
Docaposte
Santé
Gestion et opérations
Compute
Containers
Network
Storage
Database
Security and identity
Developers

Produits & disponibilités