01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

La Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) en marche

pgssi s
  • Actualité juridique, CNIL, Confidentialité, Data, Données de santé, Droit de la santé, Loi Informatique et libertés

Par Stéphane ASTIER, Avocat à la Cour et David GRANEL, Juriste

L’ASIP Santé a récemment soumis trois nouveaux documents constitutifs du corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S).

Ces documents forment un ensemble conçu pour aider les structures du secteur sanitaire et médico-social à élaborer une Politique de Sécurité des Systèmes d’Information (PSSI) rapidement applicable.

Définition – enjeux de la PGSSI-S

Les données traitées par les structures des secteurs sanitaire et médico-social sont des données de santé à caractère personnel. Elles englobent informations médicales, informations de santé à caractère personnel ou relatives à la santé d’une personne, données médico-sociales à caractère personnel… Il s’agit de données sensibles qui doivent être particulièrement protégées.

Pour ce faire chaque acteur est invité à se doter d’une politique de Sécurité des Systèmes d’Information qui doit :

– refléter la vision stratégique de la direction de l’organisme (PME, PMI, industrie, administration…) en matière de sécurité des systèmes d’information (SSI) et de gestion de risques SSI

– décrire les éléments stratégiques (enjeux, référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la protection du système d’information.

– informer les différents intervenants (maîtrise d’ouvrage, maîtrise d’œuvre) sur les enjeux de la sécurité des systèmes d’information tout en fixant les choix en termes de gestion des risques

– susciter la confiance des utilisateurs et partenaires envers le système d’information.

Trois documents de sensibilisation et d’information

Afin de sensibiliser les acteurs aux enjeux et à l’importance de se doter d’une Politique de Sécurité des Systèmes d’Information (PSSI), l’ASIP Santé propose les trois documents suivants :

i. Un Guide d’élaboration et de mise en œuvre d’une PSSI, qui se présente comme une notice d’information pour compléter les documents qui suivent.

ii. Un Canevas de PSSI, trame servant à la réalisation de son propre document. Il constitue une PSSI générique, devant néanmoins être complétée pour s’adapter aux spécificités de chaque structure.

iii. Un « Modèle de Plan d’Action SSI » qui permet de séquencer la mise en œuvre de la PSSI et de fixer les objectifs du déploiement des mesures de sécurité échelonné dans le temps.

Un objectif de simplification pour une meilleure PGSSI-S

Ces documents sont avant tout destinés aux structures des secteurs sanitaires et médico-sociaux. Dans le domaine de la sécurité des systèmes d’information, quatre critères principaux sont en effet utilisés pour qualifier les besoins de sécurité :

1. La disponibilité des données ou des traitements : le fait que les données (annuaire des fournisseurs, dossier patient, inventaire de pharmacie…) ou les traitements (application, web service, composant logiciel…) soient accessibles au moment prévu pour leurs usages autorisés.

2. L’intégrité des données ou des traitements : le fait que les données ou les processus de traitement appliqués aux données ne puissent être modifiés que par les personnels habilités à le faire et qu’à défaut tout changement illégitime puisse être détecté.

3. La confidentialité des données : le fait que les données ne soient accessibles qu’aux utilisateurs habilités à les consulter.

4. La traçabilité : le fait d’être capable de savoir quelles actions (connexion d’un utilisateur, consultation ou modification de donnée sensible, mise à jour d’un logiciel…) ont été réalisées au sein du SI, quand et par quel utilisateur. »

Ce guide présente les différentes étapes qui ont pour but de fixer l’objet de la PSSI et son champ d’application afin de recenser les moyens du SI. Elles permettent d’identifier les principaux risques afin de mettre en place une stratégie de traitement de ces derniers.

• Identification des personnes en charge de l’application de chaque règle

• Estimation de l’effort nécessaire à la mise en œuvre de chaque règle

• Fixation des objectifs de déploiement des règles

• Validation de la PSSI et du Plan d’Actions SSI par la direction

• Prise en compte des parties externalisées du SI dans le plan d’action SSI

• Suivi et mise à jour du Plan d’Action SSI

La démarche proposée permet également la mise en œuvre de manière progressive dans le temps de cette PSSI, dans une optique d’amélioration continue de la sécurité.

L’objectif de la définition de la PSSI est ainsi de réduire à un niveau acceptable les risques liés au système d’information et de répondre dans le même temps à l’impératif légal fixé à l’article 34 de la loi n°78-17 du 6 janvier 1978 « Informatique et libertés » qui dispose que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

******

A l’instar de chaque responsable de traitements de données à caractère personnel, les acteurs des secteurs sanitaires et médico-sociaux doivent s’attacher à assurer la préservation de la sécurité et de la confidentialité des données de santé qu’ils détiennent et utilisent dans le cadre de leur activité.

En matière de e-santé, les données ont un caractère particulièrement sensible, ce qui tend à imposer un niveau de sécurité et de confidentialité supérieur. Les professionnels de la santé se voient ainsi quasiment imposer une obligation de résultat particulièrement délicate à tenir.

Dans ce contexte, les professionnels du droit trouvent toute leur place pour accompagner les acteurs de la santé et leurs Directions Informatiques pour élaborer une PSSI adéquate prenant en compte les contraintes techniques au regard des impératifs juridiques.

Vous voulez en savoir plus ? Cliquez ICI

Consultez nos précédents articles :

Une réponse juridique aux besoins de la sécurité : la politique de gestion des incidents

Professionnels de santé en exercice libéral et protection des données

Les nouvelles règles applicables aux fabricants d’équipements médicaux connectés

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com