Pour sécuriser comme il se doit vos données médicales qui sont extrêmement sensibles, deux options s’offrent à vous : passer par un prestataire externe ou jouer la carte de l’internalisation.
Les données médicales sont extrêmement sensibles, et pourtant elles s’exposent à une multitude de risques. On cite entre autres leur disparition, l’accès illégitime à ces informations ainsi que leur modification non souhaitée. Ces risques s’expliquent par les systèmes utilisés par les professionnels de santé qui s’ouvrent davantage sur l’extérieur. En effet, ils sont de plus en plus connectés et interconnectés. À cela s’ajoute la téléconsultation qui s’est démocratisée dans tout l’Hexagone.
Ainsi, la sécurité des données médicales constitue plus que jamais un enjeu majeur pour tout professionnel de santé. Si vous en faites partie, cet article passe en revue les différentes solutions que vous devez privilégier dans le cadre de la protection des données de santé.
Sommaire :
Un rappel sur la notion de données de santé
Une donnée de santé est avant tout une donnée à caractère personnel, c’est-à-dire qu’elle se rapporte à une personne en particulier tout en permettant de l’identifier indirectement ou directement. Elle fait partie de la catégorie des données personnelles dites « sensibles », au même titre que l’origine raciale, l’orientation sexuelle, l’origine ethnique, les données d’infraction…
Ce genre d’information permet plus précisément de déduire l’état de santé d’une personne physique. Selon la Commission nationale de l’informatique et des libertés (CNIL), il peut s’agir :
- d’une donnée recueillie lors d’une inscription pour un soin de santé,
- d’une donnée collectée lors d’un test ou d’un examen médical,
- d’une donnée portant sur une maladie, des antécédents médicaux, un handicap, une prestation de soin…
Les informations obtenues hors contexte médical et celles ne renseignant pas directement l’état de santé d’un individu peuvent être considérées comme médicales à partir du moment où elles sont croisées avec des données directes de santé.
Ainsi, si vous êtes un professionnel de santé, vous êtes tenu par le Règlement général sur la protection des données (RGPD) de garantir la sécurité de l’ensemble des données de santé que vous traitez. Cela doit se faire conformément à ses dispositions sous peine de lourdes sanctions.
Optez pour un hébergeur de données médicales certifié
Les données médicales étant des informations critiques, leur traitement (stockage, gestion, échange…) est rigoureusement encadré par des réglementations spécifiques. Pour les sécuriser efficacement, il est pertinent d’en déléguer le traitement à un hébergeur français de données de santé certifié HDS (Hébergeur de Données de Santé).
On parle en l’occurrence d’une certification délivrée par le ministère de la Santé qui vise à garantir la qualité des prestations proposées par les prestataires d’hébergement de données médicales. Elle atteste que les activités de ces enseignes respectent la disposition de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Au-delà de l’agrément HDS, un hébergeur de confiance doit être certifié :
- ISO 27001 (norme pour les systèmes de management de sécurité des informations),
- ISO 9001 (norme pour les systèmes de management de la qualité),
Il doit de surcroît être conforme aux exigences RGPD puisqu’il est amené à traiter l’ensemble de vos données médicales. En confiant l’hébergement de vos données médicales à un hébergeur français ayant obtenu les certifications citées précédemment, vous profitez d’une solution aussi fiable que sécurisée.
L’ensemble de vos fichiers sont centralisés au sein d’une infrastructure cloud 100 % dédiée. Cela signifie qu’ils sont isolés et cloisonnés tout en étant chiffrés afin de garantir une sécurité maximale. L’architecture de stockage dont vous bénéficiez est sur mesure et peut évoluer au fur et à mesure que le volume de vos données augmente.
Le prestataire se charge de surcroît de sauvegarder en temps réel vos données santé sur au moins deux serveurs géographiquement distants. Vous êtes dans ce cas à l’abri des risques de pertes de données dont les conséquences peuvent être catastrophiques.
L’hébergeur veille aussi à ce que le partage des données hébergées entre les services internes et vers l’extérieur s’effectue aisément (grâce à des liens de téléchargement), en temps réel et en toute confidentialité. Cela se fait sans limitation de taille ni de format et surtout conformément à la norme HDS. À la clé, la collaboration se fluidifie et le télétravail peut s’opérer dans les meilleures conditions. Notons que la plateforme offre à chaque intervenant qui y a accès la possibilité de signer ou de faire signer les documents avec une signature électronique à valeur légale conforme à la réglementation eIDAS.
Le prestataire vous permet en plus de sécuriser au maximum l’accès à la plateforme ainsi qu’aux fichiers médicaux qui y sont centralisés ou qui transitent par elle grâce à la gestion avancée de droits d’accès. Vous pouvez créer des comptes sécurisés par une authentification forte pour vos différents collaborateurs et les intervenants qui doivent accéder aux différents espaces de votre plateforme. Cette dernière vous autorise à créer différents niveaux d’accès pour chaque utilisateur ou groupe d’utilisateurs. Si nécessaire, vous pouvez programmer un compte avec une date d’expiration, mais également augmenter ou restreindre un droit.
À savoir qu’il est possible de retracer chaque action qui s’opère sur votre plateforme et que l’ensemble des échanges d’information est chiffré.
Un hébergeur certifié vous fait profiter d’une infrastructure sur mesure et extensible au gré de vos besoins. Il met en plus à votre disposition une plateforme intuitive et collaborative facilitant le partage de données. De plus, il vous permet de renforcer la sécurité de vos données médicales, conformément aux préconisations de la CNIL (Commission nationale de l’informatique et des libertés).
Internalisation de la protection des données de santé : comment procéder ?
Pour vous prémunir des risques majeurs inhérents au traitement de données médicales, il faut sensibiliser toute votre équipe en mettant en place une charte informatique. Il s’agit ensuite d’apporter plus de rigueur à la façon dont vous gérez les accès informatiques. Ensuite, pensez à toujours mettre à jour les machines informatiques que vous utilisez, de même que les antivirus, logiciels et applications. Ayez toujours le réflexe de sauvegarder aussi régulièrement que possible vos données de santé tout en multipliant si possible les points de sauvegarde. Ces derniers doivent idéalement se trouver en dehors de votre établissement pour des raisons évidentes de sécurité.
Vous avez intérêt à sécuriser l’accès à vos données médicales par le chiffrement afin de les garder confidentielles et les mettre à l’abri des cyberattaques, tant externes qu’internes. Il vous faut également des mots de passe à la fois difficiles à chiffrer et faciles à retenir. En plus de tout cela, ne lésinez pas sur la sécurité de vos locaux. Vous pouvez par exemple miser sur la surveillance humaine ou mettre en place un système de vidéosurveillance. N’oubliez surtout pas d’anticiper les éventuelles attaques cybercriminelles en investissant dans un logiciel de récupération de données efficaces.
Si vous êtes soumis à l’obligation de désigner un DPO (délégué à la protection des données), c’est ce dernier qui veille à la conformité de votre établissement au RGPD. Il gère tout ce qui s’articule autour de la sécurisation de vos données médicales. En revanche, si vous n’êtes pas tenu par la loi d’en désigner un, la CNIL vous recommande fortement de le faire puisqu’il est le mieux placé pour vous conseiller et piloter votre conformité RGPD. Il a des compétences infaillibles en matière de protection des données personnelles. Sinon, vous pouvez faire le choix de vous faire accompagner par un expert en cybersécurité.