01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

L’ASIP Santé met à jour son référentiel sécurité « PGSSI-S »

pgssi guide haas avocats

Par Stéphane ASTIER et Jordan RHOUM

L’ASIP Santé, l’agence française de la santé numérique vient de publier deux nouveaux guides qui viennent compléter le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) dédié au sein du secteur sanitaire et médico-social.

La PGSSI-S définit les exigences de sécurité qui s’appliquent aux systèmes informatiques de santé des acteurs publics et privés (professionnels de santé, organismes publics, réseaux sociaux de santé…).

Les enjeux de la PGSSI-S, comme rappelé dans un précédent article, découlent du constat suivant : les données traitées par les structures des secteurs sont des données de santé à caractère personnel. Elles englobent informations médicales, informations de santé à caractère personnel ou relatives à la santé d’une personne, données médico-sociales à caractère personnel… Il s’agit de données sensibles qui doivent être particulièrement protégées.

Pour ce faire chaque acteur est invité à se doter d’une politique de Sécurité des Systèmes d’Information qui doit :

  • refléter la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI) et de gestion de risques SSI
  • décrire les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d’information.
  • informer les différents intervenants (maîtrise d’ouvrage, maîtrise d’œuvre) sur les enjeux de la sécurité des systèmes d’information tout en fixant les choix en termes de gestion des risques
  • susciter la confiance des utilisateurs et partenaires envers le système d’information.

Ainsi, l’ASIP Santé vient préciser le contenu de la PGSSI-S par le  guide des mécanismes de protection de l’intégrité des données stockées et le guide gestion des habilitations d’accès au SI.

1/ Le guide des mécanismes de protection de l’intégrité des données stockées

Ce guide définit les mécanismes, règles et recommandations de mise en œuvre relatifs à la protection de l’intégrité des données stockées au sein d’un Système d’Information (SI).

Il s’applique :

  • aux responsables de structures utilisatrices de SI ;
  • aux personnes agissant sous leur responsabilité, et en particulier celles impliquées dans :

– la définition de la politique de sécurité des SI et sa mise en œuvre au sein de la structure ;

– la définition des exigences et des mécanismes de sécurité dans les cahiers des charges de produits à acquérir ou de développements à réaliser par la structure ;

– la maintenance technique des systèmes informatiques ;

– l’exploitation des systèmes informatiques

  • aux fournisseurs de produits ou de services utilisés dans le cadre de systèmes d’information de santé. Les solutions proposées par ces fournisseurs doivent en effet mettre en œuvre les mécanismes identifiés dans le guide.

La finalité de ce guide est ainsi de sensibiliser les acteurs du secteur sanitaire et médico-social sur le caractère spécifique des données de santé et sur la nécessité d’assurer leur parfaite intégrité. En effet, si les conséquences peuvent paraitre anodines pour un document administratif stocké qui ne sera plus consulté, a contrario pour les données de santé les conséquences peuvent être graves. L’intégrité des données de santé est donc un point clé dont l’altération peut impacter très significativement la qualité du suivi des soins et des diagnostics.

L’ASIP Santé prévoit sur ce point des mécanismes de protection de l’intégrité des données.

Ainsi, pour illustrer ce mécanisme : dans le cas des données sensibles que sont les données de santé, le palier 3 est applicable et préconise une résistance renforcée des mécanismes de détection aux actions malveillantes.

Dans tous les cas, la sélection du palier adéquat doit découler des exigences de sécurité identifiées par l’analyse de risque pour le SI et les données concernées.

 

2/ Le guide de gestion des habilitations d’accès au SI

Ce guide présente les concepts, principes et modalités de gestion des habilitations qui conditionnent les accès au SI afin de répondre aux exigences de maîtrise des accès aux informations et aux traitements fixées par la politique de sécurité du système d’information (PSSI) de la structure.

La gestion des habilitations vise ainsi à protéger l’accès aux ressources du système d’information (SI) et à permettre de retrouver a posteriori qui était habilité à quoi.

Il s’applique :

  • aux responsables de structures utilisatrices de SI ;
  •  aux responsables de traitements informatiques assurés par le SI ;
  •  aux personnes agissant sous leur responsabilité, et en particulier celles impliquées dans :
    • la définition de la politique de sécurité des SI et sa mise en œuvre au sein de la structure,
    • la définition des politiques d’habilitation et de contrôle d’accès au SI,
    • la définition des exigences et des mécanismes de sécurité dans les cahiers des charges de produits à acquérir ou de développements à réaliser par la structure,
    • la mise en œuvre et le suivi opérationnel des contrôles d’accès au SI ;

 

Les vulnérabilités liées à la gestion des habilitations peuvent conduire à des incidents de sécurité aux conséquences parfois graves, comme par exemple la modification ou suppression, par une personne qui ne devrait pas y être autorisée, de données traitées ou stockées.

 

Le guide s’attache par conséquent à traiter des différentes manières de gérer les habilitations (unitaires ou par profils d’habilitation)  en retenant un tronc commun :

 

  • le principe du moindre privilège doit être appliqué : il faut donner à chaque acteur du SI (utilisateur ou composant technique du SI) les habilitations nécessaires à la réalisation des tâches qui lui sont confiées et uniquement celles-ci ;
  • l’attribution des habilitations doit toujours être réalisée sous la responsabilité des responsables de traitement qui sont garants des habilitations pour leurs traitements.

 

 

3/ Une mise à jour de la PGSSI-S à mettre en lien avec le RGPD

 

La PGSSI-S vise à encadrer strictement, au niveau de la sécurité et de la confidentialité, la collecte et le traitement des données à caractère personnel du patient.

Les référentiels proposés par l’ASIP Santé doivent ainsi être rapprochés du cadre légal général qui est également en pleine transformation avec l’entrée en vigueur prochaine du règlement général sur la protection des données (RGPD) du 27 avril 2016.

 

Ce règlement impose notamment à tous les hôpitaux de se doter d’un Data protect officer (DPO) avant mai 2018 (sous peine d’amendes administratives pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires). Un bouleversement radical qui touche non seulement les hôpitaux mais plus généralement tout le secteur public ainsi que tout le secteur privé dès lors que des traitements à risque ou de large ampleur sont mis en œuvre.

Ainsi, en matière de données de santé, que l’on soit dans le secteur public, semi-public ou privé, peu importe, la désignation d’un DPO est obligatoire et devra être opérationnelle au plus tard le 27 mai 2018.

Il est dès lors urgent de se préparer dès maintenant.

Pour mémoire, le DPO sera notamment tenu de vérifier la conformité des traitements au regard des principes de privacy by default et privacy by design, etc.

A ce titre, le DPO contrôlera notamment le nombre et la qualité des personnes habilitées au regard des finalités des traitements envisagés et du référentiel applicable, à savoir pour le secteur sanitaire et médico-social, la PGSSI-S de l’ASIP Santé.

Le contrôle du respect de ce référentiel sera en outre évalué au titre du principe d’accountability[1] via la réalisation d’Etude d’Impact sur la vie privée ou PIA (Privacy Impact Assessment), un document clé pour lequel le DPO assiste chaque responsable de traitement.

 

 

Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients dans la mise en conformité de leurs traitements dans le secteur de la santé.

Le cabinet HAAS propose à ce titre aux établissements privés comme publics, l’externalisation de la fonction CIL/DPO ainsi que la réalisation d’études d’impact (PIA).

Pour en savoir sur ces prestations : Cliquez ICI

 

 

[1] L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com