Les professionnels de santé en exercice libéral sont invités à se conformer à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) actuellement discutée par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé).
Il s’agit, pour les professionnels de santé, de disposer des réflexes et principes à respecter afin d’assurer la protection des données personnelles et de santé des patients, ces dernières bénéficiant d’une protection étendue en raison de leur caractère sensible.
Les évolutions technologiques et la dématérialisation des données impliquent en effet une prise en compte de risques nouveaux pour permettre aux professionnels de la santé de respecter leurs obligations légales et déontologiques.
Des règles nouvelles s’imposent ainsi à tout acteur utilisant un poste informatique fixe ou mobile contenant des données professionnelles avec un accès internet, à toute utilisation de la carte du professionnel de santé (CPS) par exemple lors de l’accès au Dossier Médical Personnel (DMP) ou de l’envoi de la feuille de soins électronique, à la gestion d’un agenda électronique comportant le nom des patients, à l’utilisation d’une messagerie électronique où sont échangés des données de santé etc.
L’occasion de quelques rappels essentiels.
- (1) Les enjeux pour le professionnel de santé en exercice libéral
Une bonne prise en charge des patients implique, pour le professionnel de santé en exercice libéral de s’assurer de la disponibilité des données de ses patients impliquant la sécurité des moyens informatiques utilisés.
Le secret professionnel ainsi que les obligations légales applicables supposent également de préserver la confidentialité des données et de pouvoir justifier, en cas de contrôle, que toutes les mesures nécessaires ont été prises pour remplir cet objectif essentiel.
L’efficacité des soins suppose en outre que soit assurée l’exactitude des données, condition essentielle à un bon diagnostic.
De même, pour bénéficier des avancées technologiques et des apports de la pratique collaborative de la médecine du 21ème siècle, il sera nécessaire de garantir un partage maîtrisé des données de santé dans le cadre de la coordination des soins tout comme la traçabilité des actes médicaux et des prescriptions effectuées.
- (2) Des menaces croissantes
Ne pas protéger ses outils informatiques, c’est s’exposer à la destruction de ses données professionnelles (incluant les données de ses patients), c’est également laisser la porte ouverte à la diffusion sur internet des informations confidentielles du patient sanctionnée régulièrement par des poursuites pénales ainsi que par une médiatisation nocive pour l’ensemble du secteur de la santé.
Un virus, une faille de sécurité, le vol d’équipements non protégés sont autant de portes ouvertes à l’utilisation frauduleuse de données patients particulièrement recherchées et donc très monnayables (Cf. notamment pour des campagnes ciblées de courriels vantant tel ou tel médicament d’origine douteuse.)
Plus directement encore, la communication des mots de passe, l’absence de sauvegarde des données patients, la communication par internet d’éléments confidentiels sans aucune garantie de sécurité sont autant de pratiques régulièrement répandues source d’une forte insécurité juridique pour les patients, et, par voie de conséquence, pour le professionnel de santé en exercice libéral non informé de ses obligations.
Au regard des besoins croissants de sécurisation, l’ASIP Santé procède actuellement à la définition de référentiels de sécurité permettant une prise en compte de ces différentes menaces et incluant un rappel des obligations légales des différents acteurs du secteur de la santé.
- (3) Une multiplicité de principes à respecter
Parmi les différentes thématiques abordées par l’ASIP Santé dans son mémento du 5 juillet 2013 pour les professionnels en exercice libéral (Cf. ), citons par exemple :
– L’obligation d’information et de recueil du consentement du patient en vue de la collecte, du traitement, ou du transfert de ses données de santé
– Le respect des droits du patient tels que prévu par la loi IEL (accès, opposition, rectification)
– La limitation des accès aux données de santé des patients (stricts besoins liés à la prise en charge des soins)
– Le respect des principes de finalité, de proportionnalité, de conservation des données
– Le respect des formalités préalables auprès de la CNIL qui s’imposent tant pour les cabinets médicaux que pour les pharmacies, les laboratoires d’analyse médicale ou encore les centre d’optiques que pour les infirmières et infirmiers libéraux.
En matière de sécurité et de confidentialité, l’ASIP Santé rappelle la nécessité de sécuriser le lieu d’exercice (sécurité physique = protection des ouvertures, accès réservés, etc.) ainsi que les outils informatiques (sécurité logique = mots de passe suffisamment robustes, antivirus, firewall etc.).
Une maîtrise des risques supposera également d’assurer la traçabilité numérique des opérations effectuées sur les données, une politique d’archivage et de sauvegarde conforme aux prescriptions légales ainsi que l’existence de mesures propres à gérer les différents incidents pouvant intervenir.
A toutes fins utiles, il convient de rappeler enfin que ces différents principes sont directement issus de la loi Informatique et Libertés dont la violation est sanctionnée pénalement par des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300.000 euros d’amende.
********
Les acteurs de la santé en exercice libéral doivent s’attacher à respecter une série d’obligations légales essentielles à la préservation de la sécurité et de la confidentialité des données de santé qu’ils détiennent et utilisent dans le cadre de leur activité.
Une information adéquate des patients sera également gage de confiance et de sérieux, conditions essentielles d’une activité sereine.
Les professionnels du droit trouvent ici toute leur place pour intervenir aux côtés des acteurs de la santé en leur donnant les outils et conseils opérationnels pour une sécurisation juridique optimum.
Vous voulez en savoir plus ? Cliquez ICI