En vue de la préparation de l’audit et de la certification de leurs comptes, certains établissements de santé (1) sont invités à procéder à la mise en place de mesures ayant trait à la sécurisation de leurs Systèmes d’Information (SI).
La Direction Générale de l’Offre de Soins (DGOS) a eu l’occasion de rappeler que ces mesures et bonnes pratiques concernaient l’ensemble des établissements de santé (2) soumis par ailleurs aux obligations générales de la loi « informatique et libertés » du 6 janvier 1978.
La récente médiatisation de la mise en demeure de la CNIL adressée à un établissement de Saint Malo (3) intervient alors que les Directions Informatiques de l’ensemble des acteurs de la Santé sont en pleine effervescence sur les questions de sécurité de leurs SI.
Certification des comptes, vérification de la fiabilité des SI, problématiques de gouvernance, politique de sécurité… autant de thèmes et problématiques renvoyant à l’indispensable réflexion à mener sur le volet « CNIL ».
Qu’en est-il exactement ?
1. CERTIFICATION DES COMPTES ET SÉCURITÉ DES SI
L’article 17 de la loi portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires du 21 juillet 2009 (Loi HPST) a inscrit dans le Code de la santé publique en son article L.6145-16, le principe de la certification des comptes de certains établissements publics de santé.
Les modalités de certification des comptes des établissements publics de santé « dont le total des produits du compte de résultat principal est égal ou supérieur à cent millions d’euros pendant trois exercices consécutifs » ont été fixées par Décret n°2013-1238 du 23 décembre 2013.
Dans le cadre du projet de fiabilisation des comptes et en préparation à la certification des comptes, certains établissements publics de santé doivent ainsi se préparer à répondre aux exigences de contrôle interne ou d’auditabilité des SI.
La mission du certificateur ne consistera pas en une vérification de l’ensemble des opérations comptabilisées. Sa mission s’appuiera sur l’analyse et l’évaluation des organisations, des méthodes, des SI et des processus qui ont permis d’élaborer les informations comptables.
En vue de la préparation de la certification des comptes, les Directeurs des Systèmes d’Information (DSI) des établissements de santé sont ainsi invités à définir :
• Les bonnes pratiques relatives au contrôle interne du système d’information,
• Les documents et éléments de preuve qui devront être produits et conservés en vue de faciliter la certification (cartographie du SI, guide utilisateur, référentiel sécurité…),
• Les niveaux de contrôle minimum requis pour les établissements qui développent et maintiennent les applications de leur SI.
Ces règles et bonnes pratiques sont donc directement orientées sur la sécurité des SI. Naturellement leur mise en œuvre devra être directement associée aux mesures prises par le responsable des traitements pour se conformer aux obligations de la loi informatique et libertés du 6 janvier 1978 modifiée (Loi IEL).
2. DÉMARCHE GLOBALE DE « MISE EN CONFORMITÉ – INFORMATIQUE ET LIBERTÉS »
Dans son « Guide méthodologique pour l’auditabilité des systèmes d’information », la DGOS rappelle clairement que l’ensemble des mesures prises par les Directions des établissements de santé quels qu’ils soient et plus particulièrement par leur DSI devront s’inscrire dans le cadre d’une démarche globale de mise en conformité à la loi informatique et libertés.
En effet, si le principe de sécurité des SI répond à de nombreuses exigences techniques et opérationnelles (4), celles-ci devront impérativement s’articuler dans le périmètre de conformité légal imposé par la loi IEL.
L’article 34 de la loi IEL prévoit que le « responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Cet article essentiel, qui donne un fondement légal général à la mise en place par les établissements de santé de dispositifs de sécurité des SI (5) , ne doit pas faire oublier aux DSI les implications de tels dispositifs au regard de la vie privée des utilisateurs et personnes concernés.
Ce point mérite quelques précisions.
Afin de répondre à l’impératif de sécurité et de confidentialité, il est notamment recommandé aux DSI de mettre en place un « Référentiel Sécurité » comportant notamment une Charte « Utilisateurs » des SI, une Charte « Administrateurs », une Politique de Gestion des Incidents, une politique d’habilitation, un plan de reprise d’activité etc.
Ces documents à la fois organisationnels et techniques ont tous des implications juridiques fortes et supposent un accompagnement spécifique aussi bien dans leur rédaction que dans leur mise en œuvre.
Ainsi, à titre d’exemple, les restrictions aux libertés des Utilisateurs des SI prévues dans la Charte devront être proportionnées aux finalités des traitements opérés, elles devront être mises en respectant le principe de transparence et faire l’objet de formalités préalables particulières. La Politique de Gestion des incidents, pour être opérationnelle devra comporter un détail des moyens de fixation de preuve des intrusions, une évaluation juridique des différentes procédures ouvertes au responsable de traitement, etc.
********
La mise à jour ou le renforcement de la sécurité des SI des établissements de santé implique donc une prise en compte des nombreux impératifs juridiques imposés par la loi informatique et libertés.
Ce texte général constitue en effet le socle des différents principes, règles de bonnes pratiques et autres dispositifs techniques et organisationnels permettant d’assurer la fiabilité des comptes et le maintien des certifications.
Dans ce cadre, les DSI pourront utilement envisager la mise en place d’un audit « informatique et libertés » ou encore la consolidation juridique du « Référentiel Sécurité » préalablement définis au sein de leur établissement.
Vous voulez en savoir plus ? Cliquez ICI
