Skip to main content
Tag

logiciel

L’encadrement législatif de la cybersécurité dans les cabinets médicaux

By Cybersécurité, Etablissement de santé, Logiciel

Depuis plusieurs années, le domaine de la santé a pris un virage numérique assumé, et la crise du Covid-19 a confirmé le besoin d’améliorer la communication médicale. C’est pourquoi les différents acteurs du secteur de la santé cherchent à optimiser l’utilisation et le partage des données de santé des patients afin de rendre le parcours de soins plus fluide et pour améliorer la qualité des soins. Mais la circulation croissante des données de santé pose la problématique de leur gestion. En tant que professionnel de santé, il est obligatoire de protéger les données que vous traitez dans le cadre de votre activité. Dans cet article, on vous énumère les éléments essentiels et les obligations de cybersécurité à mettre en place.

SOMMAIRE

  1. Qu’est ce que la donnée de santé?
  2. La Messagerie Sécurisée de Santé (MSSanté)
  3. La Certification Hébergement des données de santé (HDS)
  4. Le Règlement général relatif à la protection des données personnes (RGPD)
  5. Quelques conseils pour protéger la sécurité des données de vos patients

Qu’est ce que la donnée de santé?

Selon la Commission nationale de l’informatique et des libertés (CNIL), les données de santé sont “des données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne”. Elles sont donc considérées comme des données “sensibles” et ne peuvent être partagées par n’importe qui ou diffusées sur un canal de communication non dédié. C’est pour cette raison que l’usage des données de santé des patients est strictement encadré par la loi. Pour éviter que la donnée de santé d’un patient soit utilisée à mauvais escient, le Code de la Santé Publique impose aux professionnels de santé le recours à trois éléments essentiels de cybersécurité:

  • Une messagerie sécurisée de santé (art. L1110-4 CSP)
  • La sauvegarde des données par un hébergeur certifié données de santé (art. L1111-8 CSP)
  • Le respect de la réglementation relative à la protection des données personnelles (art. 32 RGPD)

La Messagerie Sécurisée de Santé (MSSanté)

Les échanges de données médicales entre professionnels de santé sont courants. Ils doivent être en capacité d’échanger des informations entre confrères mais également avec leurs patients. Dans ce contexte, le partage d’informations fait l’objet d’une obligation juridique. Elle est inscrite à l’article 1110-4 du Code de la santé publique relatif au secret médical. Il impose aux professionnels de santé de posséder une Messagerie Sécurisée de Santé (MSSanté) afin de garantir la confidentialité des informations échangées. Mais en quoi sont-elles différentes des messageries classiques? La différence réside bien sûr dans le niveau de sécurité apporté. Les messageries sécurisées de santé proposent des systèmes avancées de protection de la donnée et sont garanties par la certification Hébergeur de Données de Santé délivrée par l’Etat (ASIP Santé). De manière globale, le système de messagerie sécurisée de santé répond à un triple enjeu: Celui de faciliter les échanges et améliorer la coordination des soins, notamment entre professionnels de ville et d’hôpital, de protéger la responsabilité des professionnels de santé et les données des patients, et enfin d’optimiser la prise en charge du patient en simplifiant et en accélérant l’échange d’informations. Il existe aujourd’hui plusieurs références de Messagerie Sécurisée de Santé: Lyfen, Mailiz, ou encore Apicrypt. Voici un guide pour vous aider à choisir une MSSanté certifiée Hébergement des données de santé.

La Certification Hébergement des données de santé (HDS)

Une deuxième composante de la cybersécurité en cabinet médical concerne la certification Hébergement des données de santé (HDS) pour la gestion et la sauvegarde des données. Elle est d’autant plus importante au vu des cyberattaques dont les établissements de santé font régulièrement l’objet. En effet, le gouvernement avait révélé en février 2021 l’existence de 27 cyberattaques dans le secteur de la santé au cours de l’année 2020. L’agence en charge de la cybersécurité en France, l’ANSSI, avait déclaré qu’elle recensait au moins une tentative d’attaque par semaine sur des infrastructures de la chaîne hospitalière. Parmi elles figurent principalement des cyberattaques de type “Ransomware” ou “rançongiciel”. Un ransomware est une technique d’attaque informatique consistant à infecter une victime avec un logiciel malveillant qui chiffre l’ensemble de ses données en lui réclamant ensuite une rançon en échange de la clé de déchiffrement. Pour les professionnels de santé, cela revient à leur verrouiller l’accès aux données des patients. Pour cette raison, la sécurisation de la sauvegarde des données des patients représente un enjeu important. Afin de se prémunir contre ce type d’attaque, il est conseillé d’opter pour la sauvegarde de ses données en ligne (et limiter les risques liés aux supports amovibles de stockages comme les clés USB ou disques durs externes). Pour cela, de nombreux prestataires informatiques proposent d’externaliser la sauvegarde des données de santé. Mais attention, le prestataire doit être certifié Hébergeur de Données de Santé (HDS). Cette certification HDS concerne tous les organismes publics ou privés qui hébergent, exploitent un système informatique de santé ou bien réalisent des sauvegardes pour un établissement de santé. Ainsi, les datacenter hébergeant des données de santé ainsi que les éditeurs de logiciels qui exploitent et maintiennent les systèmes d’information d’établissements de santé se doivent de posséder cette certification. En confiant la sauvegarde de vos données à un prestataire certifié Hébergeur de Données de Santé, vous vous conformez aux exigences de la réglementation relative à la protection des données personnelles et assurez à vos patients et à votre établissement un niveau de sécurité élevé.

Le Règlement Général relatif à la Protection des Données personnelles (RGPD)

Une troisième obligation juridique en termes de cybersécurité concerne le respect du Règlement Général relatif à la Protection des Données Personnelles (RGPD). Le RGPD a été voté au niveau européen et transposé en France en mai 2018 au sein de la Loi Informatique et Libertés. Il contient de nombreuses obligations pour le secteur de la santé et marque un réel tournant pour la protection des données de santé et des Systèmes d’Informations hospitaliers. En effet, avant l’arrivée du RGPD, le niveau de protection des données des patients n’était pas toujours le même d’un cabinet à un autre et dépendait parfois de la sensibilité des praticiens sur le sujet. Le RGPD a donc servi à harmoniser les pratiques afin de répondre aux évolutions des usages numériques. Aujourd’hui, les professionnels de santé doivent s’y conformer sous peine de sanctions par la CNIL. Bien sûr, les mesures de cybersécurité à mettre en place ne sont pas les mêmes selon le type d’établissement. Si les hôpitaux doivent par exemple désigner un DPO (Data Protection Officer) ou “Délégué à la protection des Données personnelles”, les professionnels de santé libéraux ne sont pas concernés par cette mesure. En revanche, il leur est obligatoire de posséder la fameuse messagerie sécurisée de santé citée précédemment, et de recourir à un hébergeur certifié pour le stockage des données de santé. Nous pouvons par ailleurs citer 3 mesures importantes de cybersécurité pour un cabinet médical. La première est assez simple mais fondamentale: il s’agit de sensibiliser l’ensemble du personnel du cabinet à la protection des données de santé et au respect du règlement RGPD. Ensuite, les postes de travail doivent être sécurisés au moyen d’antivirus régulièrement mis à jour. Il est aussi important de vérifier la certification HDS de vos prestataires ainsi que celle de vos sous-traitants. Si vous êtes un professionnel de santé exerçant en libéral, cette page rassemble tout ce que vous devez savoir sur le RGPD.

Quelques conseils pour protéger la sécurité des données de vos patients

Le RGPD offre un bon cadre de protection mais il ne fait pas tout en termes de cybersécurité. Pour limiter les situations problématiques, il faut déjà penser à la pertinence des informations recueillies à propos des patients. Elles doivent être limitées aux besoins de leur prise en charge médicale. De même, ces données doivent être accessibles uniquement par les professionnels de santé autorisés. Mais un élément très important concerne également le recueil du consentement des patients. Attention, ce consentement ne doit pas être confondu avec le consentement requis pour la réalisation de certains actes médicaux (Voir notre article à ce sujet). Ici, le recueil du consentement des personnes concerne l’autorisation de traitement et de stockage de leurs données. Et pour vous assurer qu’il soit valablement recueilli, le RGPD impose 4 critères. Premièrement, le consentement doit être libre. Cela signifie qu’il ne doit pas être contraint ni influencé. La CNIL précise que la personne “doit se voir offrir un choix réel, sans avoir à subir les conséquences négatives en cas de refus”. Ensuite, il doit être spécifique. Un consentement doit correspondre à un seul traitement, pour une finalité déterminée. Ici, cela correspond au recueil des données dans le cadre d’un acte médical. Par ailleurs, un consentement n’est valide que s’il est “éclairé”, à savoir qu’il est accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. La CNIL précise qu’un consentement est “éclairé” lorsque le patient est en possession des informations suivantes: identité du responsable du traitement des données, finalités de la collecte des données, catégories de données collectées, ainsi que l’existence d’un droit de retrait du consentement. Enfin, le consentement doit être donné de manière univoque, c’est -à -dire par une déclaration ou un acte clair. Certaines modalités de recueil du consentement comme les cases pré-cochées ou pré-activées ne peuvent être considérées comme univoques. Il est aussi important de rappeler que les patients ont des droits: ils peuvent s’opposer au recueil de leurs données, retirer leur consentement ou encore modifier leurs données. En effet, l’article 38 de la loi relative à l’informatique, aux fichiers et aux libertés précise que “Toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que les données à caractère personnel la concernant fassent l’objet d’un traitement”. Aussi, l’article 40 affirme que le patient peut exiger que ses données soient rectifiées, complétées, mises à jour, verrouillées ou effacées. Enfin, quelques mesures de sécurité doivent être mises en place afin de garantir la confidentialité et l’intégrité des données de santé de vos patients. Par exemple, les ordinateurs doivent rester à usage professionnel et doivent être sécurisés par des mots de passe à forte authentification (ainsi que tous vos logiciels). Pour en savoir plus, vous pouvez consulter ce guide de la cybersécurité pour les cabinets libéraux.

Les avantages de Doctolib, coût et protection des données

By Logiciel

En 2020, un français sur deux utilise Doctolib pour la prise et la gestion de ses rendez-vous médicaux. On vous présente le fonctionnement, les avantages de Doctolib, son coût et la politique protection des données.

Sommaire

  • Une plateforme de gestion des rendez-vous devenue incontournable

  • Les avantages de Doctolib: des outils pour améliorer la communication avec les patients et vous faire gagner du temps

  • Une baisse des rendez-vous non honorés

  • La téléconsultation : nouvel outil numérique en forte croissance

  • Le coût de Doctolib : un abonnement mensuel résiliable à tout moment

  • La protection des données de santé et le respect du secret médical

Une plateforme de gestion des rendez-vous devenue incontournable 

Le principe de Doctolib est simple: faciliter la prise et la gestion des rendez-vous. Si cela paraît évident d’un point de vue patient, qu’en est-il des avantages de Doctolib pour les praticiens ? Parmis les avantages de Doctolib, on retrouve l’agenda en ligne accessible sur n’importe quel support (ordinateur, tablette, smartphone), permettant ainsi de gérer les rendez-vous 24h/24,  selon ses besoins, et peu importe où vous vous trouvez. 

Les avantages de Doctolib: des outils pour améliorer la communication avec les patients et vous faire gagner du temps

Doctolib propose différents outils pour faciliter la communication avec vos patients et vous faire gagner du temps:

  • Des rappels automatiques de rendez-vous par emails et SMS; 
  • Une liste d’attente en ligne à proposer au patient; 
  • Un système d’alerte par SMS pour informer le patient en cas de retard ou d’annulation;
  • Pour informer le patient en cas de retard ou d’annulation, un système d’alerte par SMS;
  • Une fiche renseignant les informations administratives et médicales pouvant en être remplie par le patient en amont de la consultation;
  • Un partage sécurisé de documents avec les patients; 
  • Possibilité de recueillir l’avis des patients; 
  • Création d’un profil professionnel personnalisé sur le site (photos, localisation, tarifs,  description… etc.); 
  • Un outil de coordination des soins en adressant un patient à un confère en un clic; 
  • Communauté en ligne permettant d’échanger entre praticiens.

1 français sur 2 gère ses rendez-vous médicaux sur Doctolib

60 millions de patients visitent Doctolib.fr chaque mois

96% des patients recommandent Doctolib à leurs familles et amis

Une baisse des rendez-vous non honorés  

Doctolib annonce une division par trois des rendez-vous non honorés grâce à son outil de rappels automatiques de rendez-vous. La plateforme propose également de bloquer automatiquement ou manuellement la prise de rendez-vous en ligne pour les patients n’ayant pas honoré un ou plusieurs rendez-vous. Il est également possible de suivre l’activité de son cabinet en temps réel grâce à l’outil  statistique de Doctolib. Vous pouvez connaître, par exemple, le nombre de rendez-vous pris par motif de consultation, le taux de rendez-vous non honorés, le nombre de nouveaux patients etc.

La téléconsultation : nouvel outil numérique en forte croissance

Depuis janvier 2019, Doctolib propose aux professionnels de santé d’effectuer des rendez vous de téléconsultation directement via leur plateforme. Le principe est simple: le patient réserve une téléconsultation directement sur le site de Doctolib ou sur l’application mobile. Il renseigne ses informations ainsi que ses coordonnées bancaires. Le patient reçoit ensuite une notification l’invitant à se connecter à l’heure de la téléconsultation. De son côté, le praticien reçoit une notification et lance la téléconsultation lorsqu’il le souhaite, comme il le ferait pour  une consultation en présentiel. Si nécessaire, il peut également informer le patient qu’il a du retard. Une fois la consultation vidéo terminée, le paiement s’effectue automatiquement et l’ordonnance éventuelle est envoyée au patient via email.

3 millions de téléconsultations depuis mars 2020 (100 fois plus qu’avant le confinement)

33 000 praticiens équipés de la téléconsultation Doctolib 

80% des téléconsultations concernent des patients déjà suivis 

42% de l’activité des praticiens passée en téléconsultation en moyenne

La téléconsultation a ainsi permis aux praticiens de suivre et prendre en charge leurs patients sans avoir à se soucier des problématiques d’hygiène et de sécurité relatives au contexte épidémique. Ce type de consultation offre aussi un gain de temps considérable aux praticiens lorsqu’il s’agit de rendez-vous n’ayant pas nécessairement besoin d’une consultation en présentiel tels que le renouvellement d’une ordonnance ou l’interprétation d’un bilan sanguin. Autre avantage de la téléconsultation : permettre aux patients un accès aux  professionnels de santé dans les déserts médicaux.

Le coût de Doctolib : un abonnement mensuel résiliable à tout moment

Le prix est une composante importante à prendre en compte pour tout praticien désirant utiliser une plateforme de gestion de rendez-vous médicaux. Pour un médecin libéral, le coût mensuel de l’abonnement à Doctolib s’élève à 129 euros. 39 euros supplémentaires par mois viennent s’ajouter pour bénéficier du service de téléconsultation. Pour ce montant, Doctolib s’engage à installer, paramétrer et former les praticiens et leurs collaborateurs (assistants, secrétaires et remplaçants) à leur logiciel. L’abonnement est résiliable à tout moment. En outre, un centre d’aide en ligne est disponible 24h/24, 7j/7 et un  service client est joignable du lundi au vendredi.

La protection des données de santé et le respect du secret médical 

Sur son site internet, Doctolib assure protéger les données des patients et praticiens: « nous chiffrons ces données  de manière systématique et à plusieurs niveaux: les communications avec nos serveurs sont  chiffrées, les données les plus sensibles sont chiffrées, les espaces de stockage contenant ces  données chiffrées sont eux-mêmes chiffrés ». L’accès au compte du praticien ne peut se faire que par le praticien lui-même grâce à une politique de mot de passe d’authentification à deux facteurs.  

Les données personnelles sont confidentielles et seuls les praticiens et les patients y ont accès. Doctolib assure ne pas pouvoir les consulter: « Personne chez Doctolib ne peut accéder à ces données, à moins que vous en fassiez vous-même la  demande pour importer des informations issues de vos anciens logiciels ou pour des opérations de maintenance sur votre logiciel Doctolib »L’entreprise indique également que toutes les données sont stockées au sein  d’hébergeurs de données de santé validés par le Ministère de la Santé avec une permanence technique 24h/24 et 7j/7. Elle a également mis en place une protection anti Déni de Service Distribué (DDoS) pour se prémunir des attaques informatiques. 

D’autres articles sur des thématiques connexes: