samedi 14 décembre 2019

Une journée RGPD pour les établissements de santé

Ascodocpsy, Groupement d’Intérêt Public (GIP) organise une journée d’étude [1] au sujet du Règlement Général sur la Protection des Données (RGPD) et de son application dans les établissements de santé, le 30 janvier 2020 au Centre Hospitalier Saint Jean de Dieu à Lyon. Un sujet au cœur de toutes les questions sur la digitalisation de notre système de santé et nécessaire à la compréhension de ce règlement.

Les établissements de santé traitent chaque jour des milliers de données dites « sensibles » et doivent être en conformité avec le RGPD applicable depuis mai 2018. Ces données de santé sont à l’origine protégées par le code déontologique du secret médical applicable par tous les professionnels du secteur et interdisant leur transmission à une entité tierce. Le RGPD vient bousculer l’organisation des établissements de santé et de nouveaux comportements et usages doivent être mis en place dans le respect et toute la complexité de ce règlement à décrypter. Il en va de la responsabilité de l’établissement non exempt de failles de sécurité liées à ses propres technologies et qui peut être sanctionné par la Commission Nationale de l'Informatique et des Libertés (CNIL).

Des freins à l’application du RGPD

La mise en place du RGPD nécessite de nombreuses ressources (humaines, temporelles, budgétaires). Afin de pouvoir s’y appliquer, les établissements doivent libérer du temps médical ou autrement demander l’intervention d’un expert externe, dans la mesure où la santé des patients reste avant tout leur priorité. Dès lors, deux possibilités s’offrent à eux qu’il s’agit de bien étudier en terme de gouvernance d’information à caractère personnel.

La complexité de la législation fait également partie des freins à la mise en place du RGPD, au regard du secteur particulier de la santé, de ses limites et de certaines dérogations possibles liées par exemple à des motifs d’intérêt public général comme garantir la santé publique (RGPD, article 065) ou dans le cas d'une recherche interne. Une datavisualisation [2] sur le site de la CNIL propose une cartographie des articles du règlement structurés par thématique dont celle de la santé.

Prouver sa conformité par ailleurs nécessite d’être en mesure de fournir plusieurs documents à la CNIL, demandant une certaine expertise comme par exemple l’Analyse d’Impact relative à la Protection des Données (AIPD) afin d’évaluer les risques liés à d'éventuelles failles de sécurité.

Le « numérique est entrain de bouleverser la filière » selon le rapport sur "l'IA, Etat de l’art et perspective pour la France" publié par les ministères de la cohésion des territoires, de l’économie et des finances [3]. Le marché de l’e-santé en France en 2014 représentait 2,7 Mds d’euros. Le secteur est fortement impacté par les politiques de digitalisation (loi Santé en 2016) ; le Rapport Villani (2018), indique que la santé fait partie des secteurs prioritaires de l’Intelligence Artificielle (IA); la loi « Ma santé 2022 » (2019) appelle à « accélérer le virage numérique » dans le cadre de sa Stratégie de Transformation du Système de Santé (STSS).

Plusieurs projets numériques sont en cours (Dossier Médical Partagé, applications smartphones, plateforme de données de santé anonymisées Health Data Hub, programme HOP’EN…) et d’autres vont être mis en place à partir de 2020 (Espace Numérique de Santé, Identifiant Nationale de Santé, Lab Santé…).

Des risques liés au numérique

La digitalisation expose encore plus les données des patients aux cybermenaces : l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé) «  a recensé 693 incidents de sécurité déclarés par les structures de santé [4]. Les actes de cybermalveillance représentent 43% des signalements (hameçonnage, rançongiciel, intrusion, etc…). » Le Ministère des Solidarités et de la Santé alerte face à ces nouveaux services numériques en lançant une campagne de cybersécurité « tous cybervigilants » dans les établissements de santé. [5]

Dans son discours du jeudi 20 novembre 2019 [6] sur le Tour de France de la e-santé, Madame la Ministre Agnès Buzyn annonce très clairement le caractère prioritaire de lutte contre les cybermenaces :

« S’agissant de la cyber sécurité, […] l’actualité de ces dernières semaines nous montre qu’il nous faut la placer au sommet de nos priorités. […] «Face aux risques de cyberattaques du système de santé, la cybersécurité à l’échelle de chaque établissement de santé est donc devenue une priorité nationale. » […] « Récemment, chez nous, différentes attaques ont eu des répercussions sur un ensemble de structures de santé d’un groupe privé et au mois de novembre, la presse l’a évoqué, un CHU a été particulièrement touché.» Il s’agit du CHU de Rouen, victime d’un cryptovirus en novembre dernier. Elle cite également la «cyberattaque qui a touché les anglais en juin 2017 et qui a paralysé une partie des établissements de santé de la NHS.»

L’existence des vols de données n’est plus à démontrer ou même le risque de perte de données mettant en danger les usagers (scandale Nightingale de Google, Facebook…) « les GAFA souhaitent récupérer des expertises disponibles en IA en France pour mettre au point leurs propres services ». [3]

Pour aider à combattre les risques liés au numérique, le Ministère de la Santé a mis en place de nombreuses mesures dont l’agrément HDS (Hébergeur de Données de Santé), la « déclaration des incidents de sécurité » [6], la création d’un service nationale de cybersurveillance en 2020 et de nombreuses structures (Délégation Numérique et Santé, Conseil du Numérique en Santé, Agence Nationale de la Sécurité des Systèmes d’Information…)

Des aides pour une "hygiène numérique

"Le RGPD répond à l’appel de la politique nationale de la e-santé". Il est fondamental de définir une procédure de mise en place de la protection des données. Pour cela, le site de la CNIL est une ressource à exploiter. La CNIL propose de se préparer au RGPD en 6 étapes.

La première consiste à désigner un Délégué à la Protection des Données (DPD); étape obligatoire pour les organismes publics et les entreprises intervenant sur des données dites « sensibles ». Le Club de la Sécurité de l’Information Français (CLUSIF) propose également un dossier technique [7] d’aide spécifique au traitement des données de santé.

Pour en savoir plus sur le RGPD, la CNIL propose des actions d’aide via des logiciels, des MOOC, des fiches pratiques, des méthodes, des guides, des références aux articles du règlement, des modèles à suivre accessibles sur son site.

Aujourd’hui « 70% des Français se disent plus sensibles aux problématiques de protection des données. » La mise en oeuvre du RGPD devrait donner confiance aux usagers dans l’utilisation de leurs données personnelles de santé. Mais ces données sont la proie de cyberattaques dont  la menace bien réelle se trouve être la conséquence du virtuel. Pourtant la nécessité de la digitalisation du secteur est inéluctable car l’IA, au service de la recherche pourrait « sauver des vies ».

Au même titre que la plateforme Health Data Hub partage des données de santé anonymisées, dans un contexte maîtrisé et éthique, les établissements de santé doivent faire preuve de rigueur dans l’application du RGPD, se justifiant de surcroit comme un des leviers permettant l’accès à une digitalisation saine du secteur afin de permettre la continuité des politiques e-santé en faveur des services octroyés à chaque patient et de la recherche sur la santé publique. Madame la Ministre Agnès Buzyn parle d’«  hygiène numérique ». [6]

Les établissements de santé se consacrent désormais à une double mission sur la vie de leur patient : protéger à la fois leur santé mais aussi leurs données.

Sources

[1] Le RGPD dans les établissements sanitaires et médico-sociaux – Journée d’étude du 30 janvier 2020. Ascodocpsy. Mise à jour le 13 décembre 2020.

Consulté le 7 décembre 2019 sur



[2] Datavisulation du RGPD. CNIL. Consulté le 7 décembre 2019 sur https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz

[3] Atawo Consulting.Intelligence artificielle - État de l’art et perspectives pour la France. Minsitère de la cohésion des territoires, Ministère de l'économie et des finances. Paru en février 2019. ISBN : 978-2-11-152634-1. ISSN : 2491-0058. Consulté le 7 décembre 2019 sur

[4] Portail d'Accompagnement Cybersécurité des Structures de Santé. Consulté le 7 décembre 2019 sur

[5] Ministère des Solidarités et de la Santé. Campagne national d'information sur la sécurité en santé. Publiée le 28 novembre 2019. Consulté le 7 décembre 2019 sur

[6] Buzin, Agnès. Discours sur le Tour de France de la e-santé du 28 novembre 2019. Consulté le 7 décembre 2019 sur

[7] Club de la sécurité de l'Information Français (CLUSIF). Le traitement des données de santé. Publié en avril 2019. Consulté le 7 décembre 2019 sur


Aucun commentaire:

Enregistrer un commentaire