Mois : février 2017

Sécurité, Service

La protection des données médicales

Une protection des données médicales encadrée en France

La France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé et les patients.

Un cadre juridique et réglementaire complet

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles en général. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de différents critères (identité, ethnie, sexe, état de santé …) justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales ou données de santé à caractère personnel.

Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé, par exemple une feuille de consultation ou une ordonnance médicale, ce dernier peut demander directement ou par le biais d’un professionnel de santé accès à ce document. Il est une fois de plus intéressant à noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale, l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de donnée.

Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé collectées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. Le décret n°2006-6 du 4 janvier 2006 définit, quant à lui, les conditions d’agrément des hébergeurs de données de santé sur support informatique. Ses dispositions ont été insérées aux articles R.1111-9 et suivants du code de la santé publique.

De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi Informatique et Libertés.

Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à travailler avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient ou d’une ordonnance sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi pratique dans le suivi des dites données.

Des recommandations pratiques de bon sens aux utilisateurs

La CNIL ou Commission Nationale de l’Informatique et des Libertés a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal.

De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données, ceci est bien évidement rappelé dans le Guide des bonnes pratiques de l’informatique de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). En effet, si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler ces points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur, par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe. De plus trois erreurs consécutives sur une accès par mot de passe doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, verrouiller le système suffisamment de temps pour freiner les intrus.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents, le risque étant que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers, sauf si les postes en question peuvent être verrouillés avec un système connu uniquement du professionnel de santé. De plus, les données médicales peuvent faire l’objet d’un chiffrement, parfois improprement appelé cryptage, c’est une recommandation forte pour les données personnelles lors d’une exposition sur les réseaux ou sur les appareils mobiles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de protection comme un pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux de transmission.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux responsables de structures traitant des données de santé de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de sensibilisation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel. Par exemple l’ANSSI diffuse un passeport de conseils présentant des règles simples à mettre en œuvre sur sont smartphone, tablette ou ordinateur portable lors des déplacements pour réduire les risques liés au nomadisme des données et des équipements. Ou la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter comme un bon un mot de passe changer régulièrement pour protéger l’accès aux données ou aux applications.

Conclusion

Au regard de tout ce qui précède, la France dispose sur son territoire d’assistance et de conseils pour les professionnels et d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales. Mais Internet n’a pas de frontières et certaines données peuvent être amenées à transiter dans des états étrangers, la protection des données médicales à l’international devient alors beaucoup plus incertaine selon le pays et sa réglementation.

Services de consulting

Notre accompagnement en conseils pour vous mettre en conformité avec la réglementation française sur la protection des données de santé peut porter sur :

  • Préparation à la certification d’hébergement de données de santé,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement certifiée HDS,
  • Sensibilisation des personnes aux risques liés aux données de santé et à une Politique de Sécurité (PSSI) adaptée,
  • Réalisation d’audit tierce partie de référentiel de management de la sécurité,
  • Audit de conformité aux exigences du référentiel HDS, aux déclarations CNIL,
  • Audit d’amélioration des processus de management de la sécurité des données de santé.