La confiance dans les échanges et le partage : l’indispensable sécurité des données de santé

Dans le secteur de la santé, la dynamique de transformation numérique repose sur la confiance 

Confiance dans la robustesse des systèmes d’information de santé, mais aussi confiance dans la ca­pacité des acteurs à anticiper les risques (le risque zéro n’existant pas) et dans l’aptitude du régulateur à accompagner les changements.

Cette dynamique s’est accélérée dans la santé : ce secteur a désormais le « privilège » – dont il se serait bien passé – d’être le plus touché au monde par la cybercriminalité. Pire : les observateurs prédisent que le risque va encore s’amplifier. Aux Etats-Unis, au Royaume-Uni, les exemples sont déjà nom­breux de ces demandes de rançons qui se traduisent par des blocages de l’activité médicale… et une image désastreuse pour les organisations qui en sont victimes.  En France, le ministère de la Santé a dénombré plus de 1300 attaques (déclarées) sur la seule année 2016.

 

Des dispositifs nécessaires pour garantir la sécurité des données

Un dispositif de signalement des incidents a été mis en place en octobre 2017 qui oblige les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie à re­layer à leur agence régionale de santé les incidents de sécurité « graves » et « si­gnificatifs » qui se produisent sur leurs systèmes d’information. Il permet non seulement de venir en appui des établissements attaqués (via une cellule d’accompagnement) mais aussi d’agir en prévention et de capitaliser sur les incidents pour réaliser des fiches d’informations et de bonnes pratiques.

Ce dispositif complète une politique générale de sécurité des systèmes d’in­formation de santé (PGSSI-S), déclinaison du référentiel général de sécurité de l’État, dont le corpus documentaire et réglementaire s’est largement étoffé ces cinq dernières années. Il compte une vingtaine de guides et des référentiels qui ont vocation à devenir opposables.

Sur le terrain, les prérequis associés au programme Hôpital numérique poussant à la formation et/ou au recrutement de référents en sécurité des systèmes d’in­formation hospitaliers, si ce n’est en responsables (RSSI) à part entière, on a pu observer une montée en compétences sur la même période.

Lire l’article : Les 3 priorités de l’e-santé en europe

 Autant de RSSI que de GHT ?

 A terme, la mutualisation de l’informatique au sein des groupements hos­pitaliers de territoire devrait constituer une « chance » pour les établisse­ments de réellement disposer d’un RSSI, analyse Vincent Trély, président de l’Association pour la promotion de la sécurité des systèmes d’informa­tion en santé (Apssis) : « En partant d’une réalité où, pour 1 200 établisse­ments on avait une quarantaine de RSSI, principalement positionnés dans les CHU, on ouvre la possibilité, avec 135 GHT, d’avoir autant de RSSI qui rayonnent depuis l’hôpital support et apportent un soutien aux établisse­ments faisant partie du GHT ».

Et n’oublions pas la mise en conformité du RGPD

Enfin, les établissements et organisations de santé n’échappent pas, comme l’en­semble des responsables de traitements de données, à la mise en conformité vis-à-vis-à-vis du RGPD, entré en vigueur le 25 mai 2018. Ils doivent s’appuyer sur l’ex­pertise d’un DPO (délégué à protection des données, successeur de l’ancien CIL, correspondant Informatique et libertés), pour piloter ce chantier de conformité, ce pour l’ensemble des traitements de données à caractère personnel, de la ges­tion médico-administrative du patient à la recherche médicale en passant par les plateformes de télémédecine, entrepôts de données, etc.).

Objectif : mettre en place des traitements de données de santé respectueux de la vie privée, dès la conception du traitement, et surtout être en mesure de le démon­trer à tout moment.

Lire l’article : Le RGPD dans le monde de la santé