01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Les nouvelles règles applicables aux fabricants d’équipements médicaux connectés

données medicales1

Les fabricants d’équipements médicaux connectés doivent repenser leurs offres au regard de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) actuellement discutée par l’Agence des Systèmes d’Information Partagés de Santé (ASIP Santé).

Les Fabricants d’équipements médicaux connectés ne sont pas les seuls concernés. La PGSSI-S vise en effet également les fournisseurs de produits en rapport avec les dispositifs connectés, mais également les intégrateurs assurant l’intégration du dispositif connecté au sein du Système d’Information de Santé (SIS) : tous devront intégrer ce nouveau corpus de règles et de contraintes lors des présentations prochaines de leurs offres.

Les acteurs de la santé, en leur qualité de responsable de traitement, devront en effet prendre en compte le respect des critères de sécurité par leurs prestataires dans le choix des équipements ou de leurs composantes et dans la mise en place de leur exploitation et de leur maintenance.

L’occasion d’un rapide tour d’horizon.

(1) Etendue de l’application et enjeux globaux de la PSSI-S

La PGSSI-S a vocation à s’imposer dans l’ensemble des domaines de la santé et du médico-social et concerne aussi bien les acteurs publics que privés de ce secteur.

Sur un plan pratique, la PGSSI-S implique donc :

– Pour le fabricant-fournisseur-éditeur-prestataire d’intégrer à son offre de produits et/ou de services un « référentiel-sécurité » renforcé.

– Pour le responsable de traitement chargé de l’acquisition de ces produits et services de vérifier l’impact des produits et services sur la sécurité de son SIS, notamment dans le cadre des procédures d’appel d’offres.

Sur un plan global, la PGSSI-S vise à répondre aux risques induits par la dématérialisation massive des données (dossier médical personnel, Messagerie sécurisée de Santé, télé-services de l’assurance maladie…) et de leurs usages dans le cadre de processus collaboratifs (prise en charge pluridisciplinaire des patients).

Ces risques qui peuvent entrainer des erreurs de diagnostics, des retards d’intervention chirurgicales ou encore des erreurs médicales sont notamment les suivants :

– Retard dans la transmission ou absence des données de santé

– Défaut d’intégrité des données de santé donnant lieu à une modification accidentelle ou illégitime de celle-ci

– Défaut de confidentialité donnant lieu à une divulgation illicite de la donnée de santé (à l’assureur, ou à l’employeur par exemple)

Plus spécifiquement, l’ASIP Santé identifie des menaces directement liées à l’intégration de dispositifs connectés à un SIS : « l’attaque logique de l’équipement, notamment par exploitation de vulnérabilités de ses logiciels ; l’introduction ou l’activation de codes malveillants dans l’équipement ; la perturbation de fonctionnement de l’équipement à partir du SIS ou de son réseau ; la capture ou la modification de données sur la liaison entre l’équipement et le SIS ; l’accès illicite à l’équipement, et l’introduction ou l’extraction de ses données ; le mésusage de l’équipement par une personne autorisée ; la modification non autorisée des logiciels de l’équipement. » (Cf. www.esante.gouv.fr)

(2) Fondements Juridiques

Pour définir un référentiel sécurité optimum et palier à ces risques, la PGSSI-S s’appuie sur le corpus législatif et règlementaire existant. Les principaux fondements juridiques sont ainsi les suivants :

– L’article 34 de la loi du 6 janvier 1978 dite « Loi informatique et libertés » prévoit en effet que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

– Les articles L.1110-1 et suivants du Code de la Santé Publique issus de la loi du 4 mars 2002 complètent ce dispositif par une série de règles destinées à assurer la confidentialité des données de santé et de garantir le respect des droits des patients (inclut l’agrément des hébergeurs de santé et l’obligation de recourir à la carte de professionnel de santé ou à un dispositif équivalent pour échanger des données).

– La loi du 30 janvier 2007 instaurant la création d’un identifiant INS pour chaque bénéficiaire de l’assurance maladie (identifiant distinct du numéro de sécurité sociale).

– La loi du 21 juillet 2009 dite loi HPST qui rappelle également les impératifs de protection de la vie privée des patients en donnant à l’ASIP Santé le soin de définir les référentiels sécurités et les modalités de mise en œuvre pratique.

Au regard des besoins croissants de sécurisation, ce dernier donne à l’ASIP Santé le soin de définir des référentiels de sécurité et d’interopérabilité permettant leur mise en œuvre pratique.

(3) Des exigences de sécurité renforcées et codifiées

Le référentiel en cours de finalisation par l’ASIP Santé propose ainsi une codification spécifique des exigences de sécurité couvrant les thématiques suivantes :

– Gestion des configurations (identification des matériels logiciels, spécifications, règles de configuration, etc.)

– Sécurité Physique (sécurité des locaux, clés de protection, contraintes d’environnement, câblages, etc.)

– Exploitation et communication (dispositifs de garantie de l’intégrité des logiciels et des données, modalités de mise à jour, gestion des bugs, protection contre les codes malveillants, dispositifs de sécurités des réseaux, de sécurité des données, gestion des supports amovibles, mesure de surveillance, journalisation, sauvegardes, règles de destructions des données, etc.)

 Maîtrise des accès (contrôle des accès, authentification des accès, droits d’accès, etc.)

– Développement et maintenance des logiciels (limitation des installations, adhérence entre brique standard et dispositifs connectés, suivi des incidents, télémaintenance, tests, principes de réversibilité, etc.)

– Conformité (gestion des licences, analyse des risques –couvert ou non, etc.)

Au-delà d’un standard applicable au choix des offres de produits et de services, ces exigences contribuent à identifier les responsabilités juridiques de chaque acteur dans l’usage qui sera fait des données de santé.

L’ASIP-Santé considère ainsi que « les offres conformes à ces référentiels et mises à disposition des acteurs de santé satisfont ainsi à leur « sécurisation juridique » dans leur usage « métier » des données de santé personnelles dématérialisées » (Cf. ASIP-Santé, PGSSI-S Principes Directeurs, 26/09/2013)

********

Les mesures fixées par l’ASIP Santé au travers de la PGSSI-S constituent une avancée substantielle participant à la protection de la vie privée des patients et à la clarification des règles applicables pour les acteurs de ce secteur.

L’intervention de professionnels du droit pour accompagner la mise en œuvre de ces règles trouvera toute son importance tant au niveau des responsables de traitements (centres hospitaliers, laboratoires, etc.) qu’au niveau des fabricants de matériels, éditeurs de logiciels et prestataires de maintenance.

Les responsables de traitements trouveront ainsi une opportunité dans la mise en œuvre d’un audit « Informatique et libertés » visant l’ensemble de ces traitements pour une sécurisation optimum. De cet audit et des différentes recommandations pourra être établi notamment un « référentiel-sécurité » conforme aux préconisations de la PGSSI-S et adapté aux spécificités de son SIS.

Les fabricants, éditeurs et prestataires pourront quant à eux s’appuyer utilement sur une expertise juridique afin de prévoir dans leurs contrats et leurs offres les garanties nécessaires et attendues par leurs prospects (garanties en termes de maintenance, plan de réversibilité, plan de contrôle en cas d’atteinte des SI etc.). Un audit « informatique et libertés » appliqué en amont à la solution préconisée ou aux produits connectés pourra donc constituer une arme commerciale efficace dans le cadre des procédures d’appel d’offres en sus d’une garantie de sécurité juridique d’exploitation.

Pour en savoir plus sur les enjeux des acteurs de la santé en matière de sécurité des systèmes d’information, consultez notre article sur les professionnels de la santé à l’épreuve de la protection informatique.

Si les problématiques liées à la gestion des données vous intéressent, lisez notre article L’offre Big Data : entre casse tête juridique et défi éthique ? qui traite le sujet de façon plus générale.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com