Le RGPD (Règlement Général sur la Protection des Données) les définit comme les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne, révélant des informations sur son état de santé. Pour tout traitement des données de santé, il convient donc de se poser les bonnes questions, avec deux axes principaux : la collecte des données, et leur échange et leur partage.
Des qualifications pour bien choisir votre partenaire cloud : le cloud souverain et HDS (Hébergeur de Données de Santé) sont des prérequis indispensables pour sécuriser les données de santé, en maintenant les plus hauts standards de sécurité. Le référentiel HDS se base notamment sur la norme ISO27001.
Précieuses et convoitées par les cyber attaquants, les données de santé des patients générées au cours des parcours de soin comptent parmi les plus sensibles et nécessitent une protection particulièrement renforcée. Et dans la mesure où elles croissent à vitesse grand V (multiplication par 50 attendue du volume généré d’ici 2050), les français attendent désormais qu’elles soient protégées comme il se doit.
Ils en sont d’ailleurs bien conscients, puisque 86% des Français considèrent leurs données de santé comme particulièrement sensibles selon l’étude récente de la Délégation au numérique en santé (DSN).
Qu’est-ce qu’une donnée de santé ?
Le RGPD (Règlement Européen sur la Protection des Données) est un texte réglementaire européen qui encadre le traitement des données sur tout le territoire de l’Union européenne entré en application dès 2018 pour établir des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Il procède à une définition large des données de santé regroupant : « Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »
Exemples de traitements de données de santé :
- Les bases de données PMSI de l’établissement de santé
- Le dossier d’un patient (informatisé ou papier)
- L’imagerie médicale
- Tout dispositif de télé-expertise
- La collecte d’échantillon pour effectuer des recherches…
Personnes et entités concernées par le traitement de ces données
- Les professionnels de santé libéraux
- Les cabinets médicaux et paramédicaux
- Les établissements de santé
- Les fabricants de dispositifs médicaux
- Les pharmacies
- Les laboratoires d’analyse médicale
- Les services de santé au travail…
Pour quels usages ?
Pour tout traitement des données de santé, il convient de se poser les bonnes questions, avec deux axes principaux :
La collecte des données :
- Quel est l’objectif (finalité) de mon traitement ?
- Cette finalité est-elle déterminée, explicite et légitime ?
- Les données collectées sont-elles adéquates, pertinentes et nécessaires au regard de la finalité du traitement ?
- A quel titre puis-je déroger au principe d’interdiction de la collecte des données de santé ?
- La durée de conservation des données est-elle adaptée à la finalité du traitement ?
- Des mesures de sécurité sont-elles mises en place pour garantir l’intégrité et la confidentialité des données ?
- Les données collectées sont-elles exactes et mises à jour ?
- Quelle est la base légale du traitement ?
- Le patient est-il informé au moment de la collecte et peut-il exercer ses droits ?
- Le traitement est-il dans le périmètre de la section 3 de la LIL ?
- Si je souhaite mener un projet de recherche, quelle est la qualification de mon étude ? S’il s’agit d’une recherche n’impliquant pas la personne humaine, je vérifie qu’il ne s’agit pas d’une étude interne.
- Mon traitement est-il conforme à un référentiel homologué par la CNIL ?
L’échange et le partage de celles-ci :
- Le patient est-il bien informé en amont du partage/de l’échange de ses données ?
- Ce partage intervient-il dans le cadre de l’équipe de soins ou en dehors de celle-ci ?
- Le partage/l’échange des données est-il licite ?
- Une procédure de gestion des habilitations et des accès est-elle mise en place ?
- Les professionnels de santé utilisent-ils la messagerie sécurisée pour échanger entre eux ?
- Les personnes sont-elles bien autorisées à accéder aux données de santé du patient ?
Quelles garanties offertes pour leur protection ?
Le cloud souverain, de confiance qualifié SecNumCloud et la certification HDS garantissent les plus hauts standards de sécurité pour assurer la protection des données de santé et la simplification des mises en conformité des exigences règlementaires.
Souveraineté
Le critère de la souveraineté en matière de cloud garantit aux données sensibles et stratégiques d’une organisation d’être hébergées dans des environnements cloud contrôlés par des entités souveraines : les données sont stockées sur des serveurs situés sur le territoire du pays ou dans des centres de données détenus et gérés par des entreprises nationales.
HDS
La certification HDS (Hébergeur de Données de Santé) est essentielle pour garantir la sécurité et la confidentialité des données de santé à caractère personnel et les organisations de santé concernées par celles-ci doivent se conformer à la norme ISO 27001 et à des exigences spécifiques pour l’obtenir.
Seuls les prestataires certifiés HDS peuvent héberger et traiter les données médicales. Toute structure publique ou privée souhaitant traiter des données médicales à caractère personnel doit faire appel à un prestataire labellisé afin de garantir le respect de la vie privée des patients.
Aller plus loin dans la sécurité des données de santé avec le SecNumCloud
SecNumCloud est une qualification de sécurité proposée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) pour les prestataires de services cloud garantissant les plus hauts standards de sécurité pour les données stratégiques et sensibles dans le cloud.
Pour aller plus loin, téléchargez le baromètre de la souveraineté numérique pour accéder aux résultats complets de l’étude et découvrez :
- Des données exclusives sur les stratégies cloud mises en place par les organisations publiques
- Une analyse des priorités et critères de choix des décideurs en matière de cloud
- L’influence des incitations publiques et du contexte géopolitique dans le choix d’un cloud souverain
