La protection des données médicales

Une protection des données médicales encadrée en France

La France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé et les patients.

Un cadre juridique et réglementaire complet

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles en général. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de différents critères (identité, ethnie, sexe, état de santé …) justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales ou données de santé à caractère personnel.

Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé, par exemple une feuille de consultation ou une ordonnance médicale, ce dernier peut demander directement ou par le biais d’un professionnel de santé accès à ce document. Il est une fois de plus intéressant à noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale, l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de donnée.

Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé collectées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. Le décret n°2006-6 du 4 janvier 2006 définit, quant à lui, les conditions d’agrément des hébergeurs de données de santé sur support informatique. Ses dispositions ont été insérées aux articles R.1111-9 et suivants du code de la santé publique.

De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi Informatique et Libertés.

Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à travailler avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient ou d’une ordonnance sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi pratique dans le suivi des dites données.

Des recommandations pratiques de bon sens aux utilisateurs

La CNIL ou Commission Nationale de l’Informatique et des Libertés a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal.

De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données, ceci est bien évidement rappelé dans le Guide des bonnes pratiques de l’informatique de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). En effet, si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler ces points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur, par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe. De plus trois erreurs consécutives sur une accès par mot de passe doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, verrouiller le système suffisamment de temps pour freiner les intrus.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents, le risque étant que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers, sauf si les postes en question peuvent être verrouillés avec un système connu uniquement du professionnel de santé. De plus, les données médicales peuvent faire l’objet d’un chiffrement, parfois improprement appelé cryptage, c’est une recommandation forte pour les données personnelles lors d’une exposition sur les réseaux ou sur les appareils mobiles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de protection comme un pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux de transmission.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux responsables de structures traitant des données de santé de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de sensibilisation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel. Par exemple l’ANSSI diffuse un passeport de conseils présentant des règles simples à mettre en œuvre sur sont smartphone, tablette ou ordinateur portable lors des déplacements pour réduire les risques liés au nomadisme des données et des équipements. Ou la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter comme un bon un mot de passe changer régulièrement pour protéger l’accès aux données ou aux applications.

Conclusion

Au regard de tout ce qui précède, la France dispose sur son territoire d’assistance et de conseils pour les professionnels et d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales. Mais Internet n’a pas de frontières et certaines données peuvent être amenées à transiter dans des états étrangers, la protection des données médicales à l’international devient alors beaucoup plus incertaine selon le pays et sa réglementation.

Services de consulting

Notre accompagnement en conseils pour vous mettre en conformité avec la réglementation française sur la protection des données de santé peut porter sur :

• Préparation à la certification d’hébergement de données de santé,
• Assistance à maîtrise d’ouvrage pour le choix d’un hébergement certifiée HDS,
• Sensibilisation des personnes aux risques liés aux données de santé et à une Politique de Sécurité (PSSI) adaptée,
• Réalisation d’audit tierce partie de référentiel de management de la sécurité,
• Audit de conformité aux exigences du référentiel HDS, aux déclarations CNIL,
• Audit d’amélioration des processus de management de la sécurité des données de santé.

Conformité pour l’hébergement de données de santé à caractère personnel

Définition

Selon l’ASIP, l’Agence des Systèmes d’Information Partagés de santé devenue depuis l’Agence du Numérique en Santé :

« Une entité est soumise à l’obligation d’être hébergeur agréé ou certifiée dès lors qu’elle conserve des données de santé de personnes pour lesquelles elle n’intervient pas dans la prise en charge médicale. »

La CNIL nous donne aussi une définition de ce qu’est une donnée de santé selon le règlement européen (RGPD) :

« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »

La confidentialité des données de santé à caractère personnel : une exigence légale

Le système d’information de santé est un support indispensable dans l’amélioration de la prise en charge des patients, le développement de nouveaux services et des travaux de recherche. Parmi les prérequis essentiels à la mise en oeuvre de ce support, figurent des fondamentaux de sécurité de l’information de santé dont la garantie de protection des données des patients. Le législateur a donc encadré le stockage et la manipulation de ces données sensibles afin de garantir leur pérennité et leur intégrité.

Depuis la loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, l’hébergement des données de santé nécessite l’obtention de l’agrément HADS (Hébergeur Agréé de Données de Santé). Celui-ci est délivré par le Ministère de la Santé selon un processus défini par le décret du 4 janvier 2006, et sur la base du référentiel publié par l’ASIP santé.

L’article L1111-8 du Code de la Santé Publique prévoit que les professionnels de santé, les établissements de santé ou la personne concernée ne peuvent externaliser le dépôt de données de santé qu’auprès d’un hébergeur agréé ou certifié.

Le processus d’agrément

Pour obtenir l’agrément, la politique de confidentialité et de sécurité doit être particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne.

Pour prétendre à l’agrément, les hébergeurs ont à démontrer leurs ambitions et les processus mis en place pour atteindre les exigences de sécurité nécessaires à la protection des données de santé. Cette activité doit répondre aux contraintes de redondance, d’authentification et bien sûr de confidentialité des données personnelles de santé.

L’agrément est obtenu pour trois ans et doit être renouvelé ensuite. Il impose une démarche d’audit en auto-évaluation chaque année, de la réalisation d’un audit tierce partie pour obtenir le renouvellement et peut donner lieu à des contrôles par la CNIL et l’IGAS.

Les candidats à l’agrément doivent avoir à l’esprit que l’agrément prévu par la loi n’est pas une simple déclaration d’activité, mais une démarche importante, tant sur le plan du dossier de demande qu’une fois l’agrément obtenu. Le dispositif d’hébergement en projet doit être mis en cohérence avec les exigences du décret. La formalisation et la documentation de l’existant et la construction du dossier de demande d’agrément doivent être effectuées en conformité avec le référentiel publié par l’ASIP santé.

Depuis le 1er avril 2018 il n’est plus possible de déposer des demandes d’agrément, il faut dorénavant se faire certifier avec l’aide d’un organisme de certification accrédité par le COFRAC. Les hébergeurs agréés avant cette date ont un délais poussé jusqu’à la fin de leur agrément pour se faire certifier.

La certification des Hébergeurs de Données de Santé

Depuis le 1er avril 2018, la législation encadrant l’hébergement des données de santé (HDS) impose à tout hébergeur d’être titulaire d’une certification, délivrée par un organisme accrédité, en remplacement de l’ancienne procédure d’agrément.

Le nouveau dispositif de certification du système de management de la sécurité des systèmes d’information des hébergeurs de données de santé à caractère personnel a été prévu par la loi du 26 janvier 2016 sur la modernisation du système de santé.

Le changement de procédure, une certification en remplacement de l’agrément, vise à instaurer une meilleure évaluation de la conformité, sur la base d’un référentiel, à accroître la fiabilité du contrôle des exigences grâce à des audits menés sur site, là où il se limitait auparavant à une analyse documentaire du dossier de demande d’agrément.

Toutes les données de santé à caractère personnel ne sont pas concernées par ce dispositif de certification. Seules celles hébergées par un tiers sur un support numérique et recueillies à l’occasion d’une prise en charge sanitaire ou médico-sociale, à l’occasion de consultations médicales par exemple, sont couvertes par cette obligation. Les autres données de santé relèvent quant à elles de la surveillance de la CNIL ou d’un agrément ministériel.

Ce dispositif s’applique à tout hébergeur de données de santé qui propose des services à des responsables de traitements localisés en France ou à des patients pris en charge en France. Néanmoins, il peut arriver que les données de santé soient stockées sur des serveurs localisés à l’étranger. Pour dépasser les frontières et s’aligner sur des standards partagés dans le monde entier, le référentiel de certification HDS s’appuie sur des normes internationales :

• La norme ISO 27001 complète pour le « système de gestion de la sécurité des systèmes d’information – SMSI» ;
• Des exigences de la norme ISO 20000-1 pour le « système de gestion de la qualité des services informatiques » ;
• Des exigences de la norme ISO 27018 portant sur la « protection des données à caractère personnel ;
• Et des exigences spécifiques à l’hébergement de données de santé.

Un processus de certification peut conduire à un certificat par niveaux proposés aux hébergeurs en fonction de leur activité :

• Deux niveaux « hébergeur d’infrastructure physique », pour la mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle, habituellement nommé salle blanche ou hébergement sec :

• Quatre niveaux « hébergeur infogéreur », pour la mise à disposition d’infrastructure virtuelle, de plateforme logicielle, d’infogérance et de sauvegarde externalisée :

L’hébergeur peut demander une certification sur un ou plusieurs niveaux de ces échelles de certification. Le certificat est valable trois ans, il est délivré par un organisme certificateur accrédité qui certifie le système de management de la sécurité des systèmes d’information de l’hébergeur de données de santé.

L’ASIP Santé a publié un article sur les nouveaux horizons pour les hébergeurs de données de santé qui permet de mieux comprendre ce changement en 2018.

Services de consulting

• Assistance à la conception d’une organisation visant la certification HDS,
• Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé ou certifié,
• Conseil pour l’analyse de risque (EBIOS RM) avant la définition d’une Politique de Sécurité (PSSI),
• Conseil sur a mise en oeuvre du système de management de la sécurité (SMSI),
• Formation à la réalisation des audits d’auto-évaluation HDS,
• Réalisation d’audit tierce partie de renouvellement HDS,
• Audit blanc de conformité aux exigences du référentiel de certification ou de la PGSSI-S,
• Audit d’amélioration des processus opérationnels, support de l’hébergement,
• Exercice sur table de préparation à la continuité d’activité en cas de crise.

Exemple de prestation d’évaluation d’un référentiel HADS.

L’hébergement agréé de données de santé

Le métier d’hébergeur de données de santé est de construire, en tant que responsable de traitement ou en support essentiel de celui-ci, les conditions de la sécurité et de la licéité des traitements de données de santé à caractère personnel.

Il faut pour cela appréhender l’application de gestion des données de santé, les conditions d’usage, les types d’utilisateurs, imaginer des solutions techniques, organisationnelles, contractuelles permettant de faciliter le travail coopératif des professionnels de santé au bénéfice du patient, sans jamais transiger sur les droits et la protection de ce dernier. La matérialisation par des ressources n’est que le fruit de ce processus dans lequel réside la véritable valeur ajoutée de l’hébergeur agréé.

La régulation est en ce domaine essentielle, car la protection des données personnelles de santé est un impératif et on ne peut admettre que l’essor des nouveaux services et usages du numérique, en particulier du Cloud ou du Quantified-Self, se fasse au détriment du respect de l’intimité de la vie privée de chacun.

Les Hébergeurs Agréés de Données de Santé (HADS) sont des industriels des TIC acceptant des ambitions de sécurité et de confidentialité spécifiques aux données de santé et s’inscrivant dans une démarche structurante d’agrément par le ministère de la Santé.

L’hébergement de données de santé à caractère personnel relève d’un régime spécifique exigeant, précisé par un décret du 4 janvier 2006. Ce décret s’impose à toute personne physique ou morale souhaitant assurer l’hébergement de données de santé à caractère personnel mentionné à l’article L. 1111-8 du Code de la Santé. Le décret précise les conditions à remplir pour obtenir cet agrément.

La politique de confidentialité et de sécurité (PSSI) de l’hébergeur sera particulièrement rigoureuse sur les sujets suivants : le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations, la pérennité des données hébergées, l’organisation et les procédures de contrôle interne. L’hébergeur de données de santé relève d’un agrément du ministre de la Santé.

Cette présentation est extraite du livre blanc de l’AFHADS auquel j’ai contribué et qui est publié sur le site de la revue DSIH.

Si vous souhaitez consulter un exemple de PSSI à mettre en oeuvre pour ce type d’hébergement, voici un document que j’ai publié avec l’AFCDP pour montrer le périmètre d’une politique de sécurité opérationnelle dans ce cadre.

Afficher ce document sur Scribd

Si vous souhaitez avoir une présentation plus détaillée sur le référentiel d’agrément et les contraintes réglementaires, ou sur la structure de gouvernance et de processus à mettre en place, n’hésitez pas à me contacter via le formulaire de contact.

Les récentes évolutions légales de l’hébergement agréé des données de santé ont étendu les domaines de santé couverts et le champs d'application de cet agrément. L'association des hébergeurs agréés (AFHADS) a d'ailleurs affiché une position "critique" sur l'évolution du cadre légal de l'HADS.

AFHADS – Hébergement de données de santé

L’Association Française des Hébergeurs Agréés de Données de Santé AFHADS veille aux garanties professionnelles et à l’amélioration de la sécurité des données personnelles de santé. Elle assure la promotion de l’agrément, établit une doctrine commune entre tous les hébergeurs agréés et représente ses membres auprès des agences nationales comme l’ASIP au sein du Ministère de la Santé ou la CNIL.

J’ai pris le rôle de Trésorier fondateur de l’association à sa création en 2010 et j’ai été membre actif des groupes de réflexion, en particulier sur la standardisation de la sécurité et de la protection des données de santé au sein des groupes de travail de l’ASIP, plus particulièrement sur la Politique Générale de Sécurité des Systèmes d’Information de Santé PGSSI-S.

Dans le cadre de mes missions professionnelles, j’ai coordonné plusieurs projets d’agrément d’hébergement de données de santé (HDS) au sein du groupe Cegedim qui ont abouti à l’un des premiers agréments hébergeurs en France en février 2010. Cette coordination portait sur l’ensemble du périmètre opérationnel d’hébergement, que ce soit au niveau des rôles et responsabilités, des processus IT et du management de la sécurité du SI.

Protéger les données de santé

Le Quantified-Self

Pour présenter simplement cette discipline, le Quantified-Self est la pratique qui consiste à se mesurer soi-même et à partager ses données en utilisant la technologie.

Cette « mesure de soi », qui consiste à quantifier son propre quotidien en mesurant toute sorte de paramètres personnels afin d’en suivre l’évolution dans le temps, s’applique à tous les domaines de la vie quotidienne et personnelle, les deux principaux sont : la santé et la performance physique.

Pour la santé, il s’agit par exemple de mieux vivre avec une maladie chronique grâce à une auto-surveillance de son état de santé, une amélioration de sa nutrition, de son sommeil et une surveillance accrue de ses données vitales, à commencer par son poids. Tandis que, pour la performance physique, il s’agit de se comparer à d’autres et de s’améliorer en se fixant des objectifs et en s’imposant des programmes pour les atteindre.

Le groupe de travail

Le groupe « Quantified-Self » de L’Association Française des Correspondants à la protection des Données à caractère Personnel AFCDP, actif depuis septembre 2012, a produit un rapport intitulé « Quantified Self et Informatique et libertés » auquel j’ai contribué activement.

L’AFCDP est l’association représentative des Correspondants Informatique et Libertés (CIL), elle regroupe plus largement toutes les personnes intéressées par la protection des données de santé à caractère personnel, aux profils divers : avocats, spécialistes RH, informaticiens, responsables de la sécurité des systèmes d’information (RSSI), professionnels du marketing… l’AFCDP encourage la discussion et les échanges en matière de protection des données personnelles en vue notamment de promouvoir de meilleures pratiques.

Ce rapport présente la synthèse des travaux accomplis depuis un an par les onze experts en protection des données de santé dont je faisais partie dans le domaine des nouvelles technologies et des systèmes de santé connectés.

Quantified Self connecté et Informatique & Libertés

Après avoir présenté le contexte « technique » du Quantified Self connecté, avec son dispositif type, ses acteurs, les flux de données, les services associés, ce rapport aborde la question du traitement des données à caractère personnel et des réglementations applicables y compris dans le domaine de la santé.

Il propose notamment un arbre de décision qui vise à aider les personnes en charge de la conformité Informatique et Libertés dans leurs réflexions. Le sujet de l’hébergement agréé des données de santé à caractère personnel y est aussi abordé.

Enfin, une bibliographie succincte est jointe en annexe.

Téléchargement

Le rapport est disponible en téléchargement gratuit sur le site de l’ASIP (Agence des Systèmes d’Information Partagés de santé)