Skip to main content
Category

Cybersécurité

L’encadrement législatif de la cybersécurité dans les cabinets médicaux

By Cybersécurité, Etablissement de santé, Logiciel

Depuis plusieurs années, le domaine de la santé a pris un virage numérique assumé, et la crise du Covid-19 a confirmé le besoin d’améliorer la communication médicale. C’est pourquoi les différents acteurs du secteur de la santé cherchent à optimiser l’utilisation et le partage des données de santé des patients afin de rendre le parcours de soins plus fluide et pour améliorer la qualité des soins. Mais la circulation croissante des données de santé pose la problématique de leur gestion. En tant que professionnel de santé, il est obligatoire de protéger les données que vous traitez dans le cadre de votre activité. Dans cet article, on vous énumère les éléments essentiels et les obligations de cybersécurité à mettre en place.

SOMMAIRE

  1. Qu’est ce que la donnée de santé?
  2. La Messagerie Sécurisée de Santé (MSSanté)
  3. La Certification Hébergement des données de santé (HDS)
  4. Le Règlement général relatif à la protection des données personnes (RGPD)
  5. Quelques conseils pour protéger la sécurité des données de vos patients

Qu’est ce que la donnée de santé?

Selon la Commission nationale de l’informatique et des libertés (CNIL), les données de santé sont “des données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne”. Elles sont donc considérées comme des données “sensibles” et ne peuvent être partagées par n’importe qui ou diffusées sur un canal de communication non dédié. C’est pour cette raison que l’usage des données de santé des patients est strictement encadré par la loi. Pour éviter que la donnée de santé d’un patient soit utilisée à mauvais escient, le Code de la Santé Publique impose aux professionnels de santé le recours à trois éléments essentiels de cybersécurité:

  • Une messagerie sécurisée de santé (art. L1110-4 CSP)
  • La sauvegarde des données par un hébergeur certifié données de santé (art. L1111-8 CSP)
  • Le respect de la réglementation relative à la protection des données personnelles (art. 32 RGPD)

La Messagerie Sécurisée de Santé (MSSanté)

Les échanges de données médicales entre professionnels de santé sont courants. Ils doivent être en capacité d’échanger des informations entre confrères mais également avec leurs patients. Dans ce contexte, le partage d’informations fait l’objet d’une obligation juridique. Elle est inscrite à l’article 1110-4 du Code de la santé publique relatif au secret médical. Il impose aux professionnels de santé de posséder une Messagerie Sécurisée de Santé (MSSanté) afin de garantir la confidentialité des informations échangées. Mais en quoi sont-elles différentes des messageries classiques? La différence réside bien sûr dans le niveau de sécurité apporté. Les messageries sécurisées de santé proposent des systèmes avancées de protection de la donnée et sont garanties par la certification Hébergeur de Données de Santé délivrée par l’Etat (ASIP Santé). De manière globale, le système de messagerie sécurisée de santé répond à un triple enjeu: Celui de faciliter les échanges et améliorer la coordination des soins, notamment entre professionnels de ville et d’hôpital, de protéger la responsabilité des professionnels de santé et les données des patients, et enfin d’optimiser la prise en charge du patient en simplifiant et en accélérant l’échange d’informations. Il existe aujourd’hui plusieurs références de Messagerie Sécurisée de Santé: Lyfen, Mailiz, ou encore Apicrypt. Voici un guide pour vous aider à choisir une MSSanté certifiée Hébergement des données de santé.

La Certification Hébergement des données de santé (HDS)

Une deuxième composante de la cybersécurité en cabinet médical concerne la certification Hébergement des données de santé (HDS) pour la gestion et la sauvegarde des données. Elle est d’autant plus importante au vu des cyberattaques dont les établissements de santé font régulièrement l’objet. En effet, le gouvernement avait révélé en février 2021 l’existence de 27 cyberattaques dans le secteur de la santé au cours de l’année 2020. L’agence en charge de la cybersécurité en France, l’ANSSI, avait déclaré qu’elle recensait au moins une tentative d’attaque par semaine sur des infrastructures de la chaîne hospitalière. Parmi elles figurent principalement des cyberattaques de type “Ransomware” ou “rançongiciel”. Un ransomware est une technique d’attaque informatique consistant à infecter une victime avec un logiciel malveillant qui chiffre l’ensemble de ses données en lui réclamant ensuite une rançon en échange de la clé de déchiffrement. Pour les professionnels de santé, cela revient à leur verrouiller l’accès aux données des patients. Pour cette raison, la sécurisation de la sauvegarde des données des patients représente un enjeu important. Afin de se prémunir contre ce type d’attaque, il est conseillé d’opter pour la sauvegarde de ses données en ligne (et limiter les risques liés aux supports amovibles de stockages comme les clés USB ou disques durs externes). Pour cela, de nombreux prestataires informatiques proposent d’externaliser la sauvegarde des données de santé. Mais attention, le prestataire doit être certifié Hébergeur de Données de Santé (HDS). Cette certification HDS concerne tous les organismes publics ou privés qui hébergent, exploitent un système informatique de santé ou bien réalisent des sauvegardes pour un établissement de santé. Ainsi, les datacenter hébergeant des données de santé ainsi que les éditeurs de logiciels qui exploitent et maintiennent les systèmes d’information d’établissements de santé se doivent de posséder cette certification. En confiant la sauvegarde de vos données à un prestataire certifié Hébergeur de Données de Santé, vous vous conformez aux exigences de la réglementation relative à la protection des données personnelles et assurez à vos patients et à votre établissement un niveau de sécurité élevé.

Le Règlement Général relatif à la Protection des Données personnelles (RGPD)

Une troisième obligation juridique en termes de cybersécurité concerne le respect du Règlement Général relatif à la Protection des Données Personnelles (RGPD). Le RGPD a été voté au niveau européen et transposé en France en mai 2018 au sein de la Loi Informatique et Libertés. Il contient de nombreuses obligations pour le secteur de la santé et marque un réel tournant pour la protection des données de santé et des Systèmes d’Informations hospitaliers. En effet, avant l’arrivée du RGPD, le niveau de protection des données des patients n’était pas toujours le même d’un cabinet à un autre et dépendait parfois de la sensibilité des praticiens sur le sujet. Le RGPD a donc servi à harmoniser les pratiques afin de répondre aux évolutions des usages numériques. Aujourd’hui, les professionnels de santé doivent s’y conformer sous peine de sanctions par la CNIL. Bien sûr, les mesures de cybersécurité à mettre en place ne sont pas les mêmes selon le type d’établissement. Si les hôpitaux doivent par exemple désigner un DPO (Data Protection Officer) ou “Délégué à la protection des Données personnelles”, les professionnels de santé libéraux ne sont pas concernés par cette mesure. En revanche, il leur est obligatoire de posséder la fameuse messagerie sécurisée de santé citée précédemment, et de recourir à un hébergeur certifié pour le stockage des données de santé. Nous pouvons par ailleurs citer 3 mesures importantes de cybersécurité pour un cabinet médical. La première est assez simple mais fondamentale: il s’agit de sensibiliser l’ensemble du personnel du cabinet à la protection des données de santé et au respect du règlement RGPD. Ensuite, les postes de travail doivent être sécurisés au moyen d’antivirus régulièrement mis à jour. Il est aussi important de vérifier la certification HDS de vos prestataires ainsi que celle de vos sous-traitants. Si vous êtes un professionnel de santé exerçant en libéral, cette page rassemble tout ce que vous devez savoir sur le RGPD.

Quelques conseils pour protéger la sécurité des données de vos patients

Le RGPD offre un bon cadre de protection mais il ne fait pas tout en termes de cybersécurité. Pour limiter les situations problématiques, il faut déjà penser à la pertinence des informations recueillies à propos des patients. Elles doivent être limitées aux besoins de leur prise en charge médicale. De même, ces données doivent être accessibles uniquement par les professionnels de santé autorisés. Mais un élément très important concerne également le recueil du consentement des patients. Attention, ce consentement ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (Voir notre article à ce sujet). Ici, le recueil du consentement des personnes concerne l’autorisation de traitement et de stockage de leurs données. Et pour vous assurer qu’il soit valablement recueilli, le RGPD impose 4 critères. Premièrement, le consentement doit être libre. Cela signifie qu’il ne doit pas être contraint ni influencé. La CNIL précise que la personne “doit se voir offrir un choix réel, sans avoir à subir les conséquences négatives en cas de refus”. Ensuite, il doit être spécifique. Un consentement doit correspondre à un seul traitement, pour une finalité déterminée. Ici, cela correspond au recueil des données dans le cadre d’un acte médical. Par ailleurs, un consentement n’est valide que s’il est “éclairé”, à savoir qu’il est accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. La CNIL précise qu’un consentement est “éclairé” lorsque le patient est en possession des informations suivantes: identité du responsable du traitement des données, finalités de la collecte des données, catégories de données collectées, ainsi que l’existence d’un droit de retrait du consentement. Enfin, le consentement doit être donné de manière univoque, c’est -à -dire par une déclaration ou un acte clair. Certaines modalités de recueil du consentement comme les cases pré-cochées ou pré-activées ne peuvent être considérées comme univoques. Il est aussi important de rappeler que les patients ont des droits: ils peuvent s’opposer au recueil de leurs données, retirer leur consentement ou encore modifier leurs données. En effet, l’article 38 de la loi relative à l’informatique, aux fichiers et aux libertés précise que “Toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que les données à caractère personnel la concernant fassent l’objet d’un traitement”. Aussi, l’article 40 affirme que le patient peut exiger que ses données soient rectifiées, complétées, mises à jour, verrouillées ou effacées. Enfin, quelques mesures de sécurité doivent être mises en place afin de garantir la confidentialité et l’intégrité des données de santé de vos patients. Par exemple, les ordinateurs doivent rester à usage professionnel et doivent être sécurisés par des mots de passe à forte authentification (ainsi que tous vos logiciels). Pour en savoir plus, vous pouvez consulter ce guide de la cybersécurité pour les cabinets libéraux.