Épisode #2
Données de Santé et HDS, un enjeu clé de sécurité - Partie 1
Dans ce second épisode de MedInTech, Christophe Richard, Médecin Directeur et Expert en Santé Numérique et Bruno Hamelin, Directeur de Mission e-Santé chez Comarch nous expliquent ce qu'est une donnée de santé et les contraintes associées en termes d'hébergement et de sécurité.
En l’absence de définition légale unique, on considérait généralement qu’une donnée de santé à caractère personnel (DSCP) était une donnée susceptible de révéler une maladie de la personne ou une prédisposition à la maladie.
Avec l’arrivée du RGPD (2018) la définition contenue dans le règlement européen sur la protection des données est plus étendue :
« Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. »
Ainsi toute information permettant de déduire l’état de santé d’une personne devient une information de santé. Un commentaire saisi lors de la commande d’une ambulance peut devenir une donnée de santé. Autre exemple, dans le cadre d’un développement pour une mutuelle, il s’agissait de cocher la case « Handicapé moteur » Oui/Non pour savoir s’il fallait un dispositif particulier pour déplacer la personne. Il a finalement été décidé de supprimer cette donnée de la fiche patient, car elle faisait basculer à elle seule l’application sous les contraintes de l’HDS.
Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).
Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.
Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.
Depuis l’entrée en vigueur de la loi « Kouchner » de 2002, les prestataires hébergeurs de données de santé doivent être agréés.
La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément a été maintenue voire renforcée1.
La mise en œuvre du RGPD (et le nombre croissant de dossiers de demande d'agrément) a conduit à de nouvelles évolutions notamment la mise en place d’une procédure non plus déclarative mais une certification effective.
Au-delà de la certification HDS, il convient de savoir que Comarch prend en compte « La politique générale de sécurité des systèmes d'information de santé (PGSSI-S) ». Cette PG fixe les exigences de sécurité des services numériques en santé pour les « éditeurs ». Depuis 2012, la PGSSI-S rassemble des référentiels d’exigences, des guides de bonnes pratiques et propose un cadre commun de niveau de sécurité des SI du secteur de la santé. Pour les acteurs de la santé et du médico-social, elle permet de comprendre la réglementation qui leur incombe et d'être informé des bonnes pratiques.
Depuis le 1er avril 2018, toute personne hébergeant des données de santé à caractère personnel recueillies dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil des données, ou pour le patient, a pour obligation d’être certifié HDS. Cette certification n’est plus délivrée par le ministère des solidarités et de la santé comme l’était l’agrément, la procédure est confiée à des organismes certificateurs accrédités.
Les réglementations HDS et RGPD, distinctes mais compatibles, semblent se renforcer sur bien des points :
La réglementation HDS, elle, précise et renforce les mesures de sécurité à mettre en œuvre, et surtout, impose leur contrôle via un audit documentaire et sur site par un organisme tiers accrédité avant toute opération d’hébergement.
Du fait de ce recoupement, la mise en œuvre d’une certification HDS pourra ainsi servir, pour les acteurs de la santé, d’outil de conformité à la réglementation RGPD. Les deux éléments doivent contribuer à bâtir un écosystème de confiance autour de la santé numérique.
La PGSSI-S s’appuie sur des principes fondateurs qui fixent les grandes orientations en matière de sécurité des systèmes d’information de santé, donc RGPD et HDS. Elle entend permettre aux porteurs de projet d’améliorer progressivement la sécurité de leurs projets jusqu’au palier cible défini selon leur contexte. Tout en étant régulièrement mise à jour pour s’adapter aux évolutions industrielles et technologiques, aux usages et aux évolutions réglementaires.
La responsabilité conjointe du traitement et la responsabilité directe du sous-traitant
Une application territoriale plus large (notamment européenne)
L’instauration d’un « guichet unique » par pays (la CNIL en France)
La simplification des formalités (pour les transferts / traitement de données en Europe)
Les obligations en matière de documentation, de procédure et d’audit
La conformité dès la conception des solutions (« privacy by design »)
Le droit à l’oubli numérique
Des sanctions renforcées
Découvrez la 2ème partie de l'épisode
1. Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique
A propos de Med In Tech
Chez Comarch, nous accompagnons les acteurs de la santé dans leur transformation et les aidons à répondre aux enjeux économiques, sociétaux, médicaux et réglementaires tout en travaillant sur des solutions au service du bien-être et du bien vieillir. Avec Med In Tech, nous posons un regard nouveau sur la santé, le numérique, la place du patient dans le système de santé, la désertification médicale ou encore la télémédecine. Pour aborder ces sujets, nous avons décidé d'allons à la rencontre de ceux qui construisent la santé de demain, en binôme avec Christophe Richard, médecin spécialiste de la santé numérique.
Dites-nous vos besoins sur votre projet et nous vous trouverons la solution idéale.