Hébergeur agréé de données de santé
Comment protéger les données de santé à caractère personnel ?

On définit une donnée à caractère personnel comme toute information relative à une personne physique, qui peut être identifiée (directement ou indirectement) par référence à un ou plusieurs éléments qui lui sont propres.  

 

Données de santé à caractère personnel : des données sensibles à protéger

On parle donc ici de données telles que le nom, le prénom, le numéro de sécurité sociale, mais également l’adresse, le numéro de téléphone, l’adresse e-mail…

Le Règlement Général sur la Protection des Données (RGPD), plus spécifique au secteur, définit les données de santé comme étant « l’ensemble des données se rapportant à l’état de santé d’une personne et révélant des informations sur son état de santé physique ou mentale passé, présent ou futur ». Dans ce cas, les données personnelles incluent également le numéro du patient, son dossier médical, ses résultats d’analyse… Les éléments compris dans cette définition peuvent donc être particulièrement sensibles et nécessitent une protection élevée. 

La loi datant de 2002 dite « loi Kouchner » visait à l’époque à assurer la sécurité, la confidentialité et la disponibilité des données de santé à caractère personnel, soit les données « recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins » par les professionnels de santé ou les établissements de santé, avec le consentement explicite de la personne concernée. Une nouvelle loi datant de 2016, qui modifie substantiellement la précédente, précise alors que toute personne (physique ou morale) hébergeant des données de santé à caractère personnel doit désormais être agréée à cet effet, pour encore plus de sécurité. De plus, le consentement de la personne concernée par les données est dorénavant présumé.

 

Augmentation du nombre de données de santé, règlementation, cyberattaques : pourquoi faut-il protéger ces données ?

D’abord, la transformation numérique du secteur de la santé (et l’évolution des appareils portables et connectés tels que smartphone, smartwatch, bracelets, etc.), ainsi que le développement du haut-débit, a fait naître la e-santé, et ainsi de nouvelles pratiques qui n’existaient pas il y a encore quelques années : santé connectée, télémédecine, dossiers informatisés, digitalisation du parcours client… Le risque de voir des données personnelles et confidentielles volées ou altérées s’en trouvant multiplié.

 

Ensuite, les données de santé à caractère personnel étaient à l’origine collectées exclusivement par des professionnels ou organismes de santé et se trouvaient donc protégées par la loi. Mais avec l’apparition d’applications sur smartphones et objets connectés qui collectent rythme cardiaque, masse corporelle, qualité du sommeil, tension, suivi des patients, etc., ces informations ont été plus exposées et soumises à moins de contrôles, obligeant les entreprises à renforcer la sécurité.

 

Il est également indispensable pour les organismes de santé de protéger et sécuriser ces données pour se conformer au RGPD, qui contraint les entreprises à assurer la protection de toutes les informations qui relèvent de la vie privée des citoyens européens, sous peine de sanctions lourdes. Enfin, protéger les données de santé s’avère nécessaire (et de plus en plus difficile) dans le récent contexte des cyberattaques, qui ont fortement augmenté au cours de l’année 2017 : en effet, le secteur de la santé a été l’un des plus touchés (1/4 des incidents de sécurité au deuxième trimestre 2017 selon McAfee France).

 

De nouveaux outils, des critères à respecter et des archiveurs électroniques certifiés pour mieux protéger et sécuriser les données de santé

Le RGPD impose aux entreprises collectant des données de santé de répondre à certains critères et d’être capables de rendre anonymes les informations personnelles des patients. Elles seront également tenues de limiter la quantité de données enregistrées, ainsi que le nombre de personnes y ayant accès et le temps de conservation de ces données.

La CNIL indique quant à elle que pour garantir un haut niveau de protection des données, de nouveaux outils clairs, synthétiques et accessibles seront disponibles pour les professionnels de la santé, afin de les accompagner dans la mise en œuvre des traitements de données à caractère personnel.

Enfin, si les entreprises veulent externaliser ce traitement pour être sûres de protéger correctement les données de santé à caractère personnel qu’elles recueillent, elles peuvent bien sûr le faire mais en faisant appel uniquement à des prestataires agréés « Hébergeurs de Données de Santé » par le Ministère de la Santé, tels que certains archiveurs électroniques. Ceux-ci doivent, pour obtenir cet agrément, avoir mis en place des mesures visant à protéger les données gérées, traitées, stockées et archivées. Les certifications obtenues par ces prestataires externes assurent ainsi la sécurité et la protection des données conservées électroniquement, même lorsqu’elles ont un degré de sensibilité élevé comme les données de santé à caractère personnel.