La sécurisation des données de santé : enjeux et solutions

sécuriser les données de santé
À l'heure de la santé connectée, garantir la sécurité des données est un véritable enjeu pour tous les établissements médicaux. PROXIVAL fait le point ici.

Au printemps 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a condamné l’éditeur de logiciel Dedalus à payer une amende de 1,5 million d’euros après une fuite de données, qui a concerné près de 500.000 personnes. L’entreprise a été punie pour ne pas avoir assuré la sécurité de données personnelles, qui s’avéraient être principalement des informations médicales. Laboratoires, pharmacies, professionnels en libéral, fabricants de dispositifs médicaux… Les acteurs du milieu médical travaillent avec des outils toujours plus innovants. Résultat : le nombre de données relatives à la santé ne cessent d’augmenter. Cela pose de vrais défis de sécurité et de confidentialité pour les établissements de soins. Alors, comment protéger les données sensibles de ses patients ? Proxival vous dévoile tout ce qu’il y a à savoir sur les enjeux autour des données de santé dans cet article. 

Données de santé : une croissance exponentielle

Qu’est-ce qu’une donnée de santé ?

Avant d’aller plus loin, il convient d’expliquer précisément ce que sont les données de santé. Ces dernières font partie des données dites “à caractère personnel”. Selon la définition de la CNIL, il s’agit de “données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne”. 

On distingue trois types de données médicales : 

  • Les data considérées comme des données médicales par nature : maladies contractées, traitements pris, examens effectués… 
  • Les données collectées hors contexte médical mais qui, croisées avec d’autres, peuvent donner des indices sur l’état de santé d’une personne, comme le nombre de pas effectués par exemple.  
  • Les informations qui deviennent des données de santé de par leur usage et leur utilisation sur le plan médical.

Les acteurs du secteur de la santé connaissent depuis plusieurs années une véritable transformation numérique. De ce fait, la production des données de santé n’a jamais été aussi importante. Ces données s’avèrent être un véritable levier de transformation pour les structures médicales. En effet, l’adoption des nouvelles technologies permet aux équipes médicales de gagner du temps au quotidien, de personnaliser le parcours de soin, d’anticiper l’évolution des maladies, de préciser les diagnostics et de faire avancer la recherche. À la clé : une prise en charge de meilleure qualité. Ces progrès sont donc considérables en termes de santé publique. Mais ils comportent néanmoins un certain nombre de menaces au niveau de la sécurité des données de santé

Pourquoi les données de santé sont-elles si convoitées ?

Depuis quelques temps, les données de santé ont de plus en plus de valeur car elles sont facilement « monnayables » et convoitées pour :

  • de la recherche (laboratoires cliniques…) ;
  • de la publicité pour un marché très concurrentiel – exploité par les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) pour les entreprises du secteur pharmaceutique par exemple ;
  • la revente de ces données pour des objectifs malveillants : revente des données sur des markets place, fraude, faux documents administratifs etc.

Voilà pourquoi les cyberattaques envers les hôpitaux se multiplient, notamment depuis la pandémie de Covid-19. En tant qu’établissement de santé, il est plus urgent que jamais d’assurer la protection des données de santé. Le but ? Éviter à tout prix le vol, la modification non voulue, voire la suppression définitive des données.  

Quelle réglementation ?

Le règlement général sur la protection des données (RGPD)

Le RGPD est mis en place depuis 2018 afin d’encadrer l’utilisation des données personnelles en France et en Europe. Ce dernier stipule que pour recueillir et traiter une donnée de santé, il faut obtenir le consentement du patient. Le consentement doit être collecté de manière libre, spécifique, éclairé et univoque. Le RGPD repose également sur un principe de finalité, c’est-à-dire que les données doivent être recueillies dans un but précis et légitime. Autre spécificité : le RGPD interdit le transfert des données hors de l’Union européenne. 

La certification HDS

La certification HDS a pour but d’encadrer les pratiques en termes de sécurité et de protection des données hautement sensibles. Elle est obligatoire pour toutes les entreprises qui hébergent et exploitent des données de santé ou qui effectuent des sauvegardes pour le compte d’un établissement ou d’un tiers de santé. Cela signifie que seuls les organismes publics ou privés qui sont accrédités et certifiés HDS sont autorisés à stocker et traiter les données médicales. C’est le cas de PROXIVAL. Ce certificat est délivré par le Comité français d’accréditation (COFRAC) et reste valide pendant trois ans. Il préserve la disponibilité, l’intégrité, la confidentialité et la traçabilité de vos données.

Les solutions pour assurer la sécurité des données de santé

Un hébergement sûr

La quantité de données générées aujourd’hui par les professionnels de la santé est telle qu’il est nécessaire de trouver un moyen simple de stocker les données de santé en toute sécurité. Cela demande des compétences à la fois techniques et juridiques, que les structures ne possèdent pas toujours. La solution la plus simple est de confier cette tâche à un expert en son domaine. Notre conseil : veillez toujours à choisir un prestataire certifié HDS

Les bonnes pratiques à respecter

Afin de se conformer au RGDP et de disposer d’un outil de travail fiable, il est indispensable de : 

  • informer clairement les personnes dont les données de santé sont collectées ; 
  • fixer une durée de conservation des données et supprimer celles ayant dépassé la durée de conservation ; 
  • mettre en place un système d’authentification fiable pour accéder aux données ; 
  • tenir à jour un registre des traitements de données de santé pour permettre une traçabilité totale ; 
  • renseigner toutes les actions menées pour garantir la sécurité des données ; 
  • désigner un délégué à la protection des données (DPO) lorsque cela est obligatoire ou semble nécessaire. 

Vous l’aurez compris : l’e-santé est prometteuse, mais la gestion des données de santé ne doit pas être laissée au hasard. C’est pourquoi PROXIVAL a mis au point une solution d’hébergement cloud en France pour ses clients du domaine médical. Conforme à la norme ISO 27001 et au référentiel HDS, PROXISANTÉ assure un stockage sur mesure et ultrasécurisé de vos data. Intéressé ? N’hésitez pas à nous contacter pour en savoir plus. 

Partagez cet article

Abonnez vous à notre newsletter pour bénéficier de toutes les actualités et articles de Proxival

Les autres articles

Retour haut de page