Par David GRANEL et Stéphane ASTIER

Les systèmes d’informations sont des outils de partage et d’échanges incontournables au bénéfice des patients, des professionnels et du système de santé. Il est donc crucial de garantir leur sécurité, leur disponibilité et leur confidentialité pour maintenir la confiance des patients dans le système de santé et celle des professionnels dans les outils qu’ils utilisent au quotidien.

L’ASIP Santé (Agence des Systèmes d’Information Partagés de Santé) a récemment soumis à concertation publique un guide relatif aux Mécanismes de protection de l’intégrité des données stockées. Ce guide intègre le corpus documentaire de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S).

L’objectif est ici de permettre aux responsables des établissements de santé de créer un lien de confiance entre les professionnels et les patients tout en renforçant le parcours de soin.

Le choix des mécanismes de sécurité ne doit être effectué que sur la base des résultats d’une analyse de risques portant sur le système d’information concerné, son contexte et les données qu’il traite.

De plus, tout système d’information d’une structure qui relève du secteur public devra faire l’objet d’une homologation préalablement à sa mise en en exploitation.

En pratique, le guide définit quatre paliers de protection de l’intégrité des données stockées qui permettent une préservation et une vérification de l’intégrité des données stockées de plus en plus poussée. Le choix du palier à atteindre découle de l’analyse de risque du SI et des contraintes règlementaires pour les données concernées.

Chaque palier présente les mesures à mettre en place en termes de :

• prérequis ;
• mécanismes de protection des données ;
• mécanismes de vérification de l’intégrité ;
• mécanismes assurant le retour de données corrompues à un état d’intégrité ;
• procédures associées. Les mesures sont cumulatives : sauf indication contraire, chaque palier doit également appliquer les mesures énoncées pour les paliers inférieurs.

L’ASIP Santé recommande ainsi que les structures des secteurs sanitaire et médico-social appliquent de nombreux mécanismes de protection de l’intégrité des données aux parties de leur SI qui stockent des données sensibles (données de santé à caractère personnel, autres données à caractères personnel, autres données sensibles ou essentielles à l’activité) – Cf. palier 3.

Dans tous les cas, la sélection du palier adéquat doit être l’aboutissement des exigences de sécurité identifiées par l’analyse de risque pour le SI et les données concernées.

La politique de sauvegarde devra ainsi par exemple fixer les durées de conservation en tenant compte du fait que des données corrompues peuvent être sauvegardées dans cet état si la corruption n’a pas été remarquée (notamment si les données n’ont pas été utilisées depuis).

La protection des données personnelles dans le secteur de la santé est plus que jamais une préoccupation et une priorité pour les responsables d’organismes privés comme publics amenés à gérer ce type de données.

Compte tenu de la nature même des données de santé et des risques pour la vie privée des personnes concernées, nul doute que de tels traitements seront directement concernés par le Règlement Européen du 14 avril 2016 pour la Protection des données qui imposera d’ici mi 2018 la réalisation systématique d’analyses d’impact sous le contrôle du Délégué à la Protection des données (Cf. sur ce point https://www.haas-avocats.com/data/vers-une-designation-obligatoire-des-dpo-dans-les-hopitaux/).

En d’autres termes, pour l’ensemble des Systèmes d’Information de Santé, les responsables de tels traitements devront non seulement :

• procéder à des analyses d’impact au sens du règlement Européen afin d’évaluer les risques desdits traitements sur la vie privée des patients ainsi que les garanties apportées
• associer à ces analyses d’impact la mise en place de mécanismes de protection suivant les recommandations de l’ASIP SANTE et de la PGSSI-S

Pour tout renseignement, contactez le cabinet Haas-avocats ici.