Déjà importantes dans le domaine de la santé, les données prennent une place encore plus grande à mesure que le numérique étend son terrain. Cependant, d’après une étude Ipsos de décembre 2019, la sécurité des données de santé est considérée comme « très importante » pour moins d’un professionnel sur trois.
Un décalage et une sous-estimation très importants au regard du cadre légal, mais également de l’importance actuelle de ce sujet. En effet, pour 94 % des patients la sécurité des données personnelles de santé est importante.
Quelles sont donc les grandes étapes permettant de garantir la sécurité de vos données ? Décryptage.
Le cadre réglementaire des données de santé
Tout d’abord, le cadre réglementaire sur la protection des données comme leRGPD par exemple, ou la certification HDS (lien vers notre certification) composent un socle permettant de se repérer facilement sur ce terrain et de garantir la confidentialité de toutes les données de santé recueillies.En effet, il est ici utile de rappeler que d’après la CNIL « toute personne prise en charge par un professionnel, un établissement ou un réseau de santé a droit au respect de sa vie privée et au secret des informations la concernant ».
Concrètement, il vous faut dans un premier temps informer vos patients quant au traitement de leur données (via un document spécifique, une affiche… Plus d’informations sur la fiche dédiée de la CNIL). Il vous faut ensuite garantir la protection de ces données, c’est une obligation. Et cela passe par une offred’hébergement adapté.Au-delà du code de déontologie, il faut donc également respecter la loi « informatique et libertés » qui s’applique pour toutes les données concernant des personnes physiques.
Dans le cas où vous choisissez de passer par un prestataire externe, il vous faudra vérifier que le niveau de sécurité de l’hébergement qui vous convient est bien garanti avant de conclure un contrat (comme A2COM certifié HDS et ISO 27 00). Sans cela, les risques pour tout professionnels de santé en termes de sanctions disciplinaires, financières et pénales sont très lourdes.
Les données à sécuriser
La collecte de données non autorisée, non consentie, ou encore l’hébergement de données de santé réalisé par une structure non certifiée sont donc formellement interdits.Il est crucial de comprendre que les données appartiennent toujours aux patients et que le professionnel de santé en est seulement le dépositaire. Il doit donc garantir le respect de la vie privée et du cadre légal.
Il existe différents types de données de santé à sécuriser :
- Données d’identification : nom, prénom, adresse, numéro de téléphone…
- Données d’informations personnelles : enfants, assurance-maladie, mutuelle santé…
- Données directes de santé : maladies, prescriptions, historique de santé, contacts professionnels de prise en charge…
- Des données sensibles à caractère personnel : origine ethnique, opinion politique, religieuse, sexuelle…
Pour rappel, les principes clés de la gestion d’un fichier de données à caractère personnel sont les suivants :
La finalité : les informations relatives aux patients ne peuvent être recueillies et traitées que pour un usage déterminé et légitime.
La pertinence des données : seules les informations pertinentes et nécessaires à l’objectif poursuivi doivent être traitées.
Le droit à l’oubli : les données personnelles ont une date de péremption. Il revient au responsable du fichier de fixer une durée de conservation raisonnable en fonction de l’objectif du fichier.
La sécurité et la confidentialité : le professionnel de santé doit prendre toutes les mesures nécessaires pour garantir la confidentialité des informations et éviter leur divulgation à des tiers non autorisés.
Le respect des droits des personnes : information, droit d’accès et de rectification, droit d’opposition.
Toutes les données récoltées par un professionnel de santé rentrent donc dans ce cadre de données sensibles. Après les avoir recueillies, il est tout aussi important de mettre en place des outils adaptés afin de garantir leur sécurité.
Les moyens de garantir la sécurité des données de santé
En premier lieu, vous devez protéger celles-ci contre les accès non autorisés, la perte, la destruction ou tout autre dégât accidentel en mettant en place des mesures de sécurité adaptées. On pense par exemple ici à l’utilisation de la carte professionnelle de santé ou d’un système de chiffrement en cas d’utilisation d’Internet (notamment pour les e-mails ou la messagerie).
Si vos données de santé sont hébergées par un professionnel externe (comme A2COM RESADIA), celui-ci doit alors garantir une prestation avec un niveau de sécurité adapté. Dans ce cas, le conseil national de l’ordre des médecins a d’ailleurs préparé un contrat type pouvant servir de base avec votre hébergeur de données de santé. Malgré tout, comme expliqué dans l’introduction, et malgré la mise en place du cadre légal RGPD il y a un an et demi,les questions liées à la sécurité des données sensiblesne sont pas encore assez considérées par les professionnels de santé. Espérons que le développement du numérique global permettra une prise de conscience sur ce sujetà la fois en termes de politique de gestion des données et de matériel, car le cadre légal avancera vers toujours plus d’exigences.
La sécurité des données de santé n’est pas seulement liée exclusivement au recueillement de celles-ci ni à leur archivage, mais va également de la gestion des locaux des professionnels de santé ainsi qu’à lamaintenance des donnéeset leur sous-traitance.
Il faut donc avoir un œil sur la sécurité de leur stockage, de leurs consultations, de leurs échanges ou encore la gestion de leur externalisation. Lorsque l’on est professionnel de santé, l’hébergement est une science qui peut paraître complexe, c’est pour cette raison qu’il y a des experts de ce domaine à vos côtés pour vous guider de A à Z.