CompuGroup Medical
Synchronizing Healthcare

Découvrez tout sur la vision, la mission et les personnes qui façonnent CompuGroup Medical dans le monde. Vous trouverez également ici des informations, des documents et d'autres publications pour les investisseurs.

A propos de nous
CGM France
Carrière
Eine junge Frau telefoniert mit ihrem Smartphone, während sie einen Tablet-PC hält
Côté presse
Eine Person sitzt auf einem Sofa und tippt auf einem Laptop, vor ihr steht eine Tasse

La cybersécurité du cabinet médical : une obligation juridique

19 mai 2021 | Eloi Barbier
cybersécurité cabinet médical

Le secteur de la santé est particulièrement exposé aux risques « cyber », c'est-à-dire, aux menaces informatiques. Pour limiter ce risque, un certain nombre d'obligations ont été édictées et s'imposent aujourd’hui à tous les professionnels de santé. 

En tant que professionnel de santé, il vous revient de protéger les données que vous traitez dans le cadre de votre activité, que ces données soient sur un support papier ou sur un support informatique. Assurer la protection de vos données n'est donc pas qu'une mesure de bon sens, mais aussi une obligation juridique. L'usage d'outils informatiques permet de simplifier grandement le traitement des données de santé, c'est-à-dire, des informations que vous collectez relativement à la santé de vos patients, pour autant, il ne faut pas oublier que cet usage est lui aussi encadré par l'obligation juridique de protection des données.

Pour éclaircir cet arsenal juridique, nous avons dégagé ici trois éléments essentiels de la protection des données de santé :

  • le recours à une messagerie sécurisée de santé (art. L1110-4 CSP[1])
  • la sauvegarde par un hébergeur certifié données de santé (art. L1111-8 CSP[2])
  • le respect de la réglementation relative à protection des données personnelles (art. 32 RGPD[3])

 

Les Messageries Sécurisées de Santé (MSSanté)

Les échanges de données entre professionnels de santé sont courants. Ces échanges peuvent par exemple avoir lieu au sein de l'équipe de soin ou entre des professionnels de santé n'en faisant pas partie. Dans ces deux situations, le partage d'informations fait l'objet d'un encadrement juridique. Parmi les exigences légales communes à l'ensemble des partages d'informations entre professionnels de santé figure notamment l'usage d'une messagerie sécurisée. En effet, l'article 1110-4 du Code de la santé publique relatif au secret médical énonce que les échanges d'informations relatives à la santé d'un patient doivent être sécurisés, et ainsi assurer la confidentialité de celles-ci. De même, la CNIL (Commission Nationale de l'Informatique et des Libertés) recommande, pour respecter la réglementation relative à la protection des données personnelles (nous reviendrons sur cette réglementation dans la troisième partie de l'article), d'utiliser "une messagerie électronique sécurisée de santé pour les échanges entre professionnels de santé". Les messageries sécurisées de santé sont des messageries électroniques qui font partie de l'espace de confiance nommé "Messageries Sécurisées de Santé" (MSSanté). Pour intégrer cet espace, une messagerie électronique doit répondre aux exigences prévues par les référentiels de l'Agence du Numérique en Santé (ANS). Pour pouvoir utiliser une messagerie sécurisée de santé, l'ANS vous recommande de vous tourner vers votre fournisseur de logiciels. Avoir recours à une messagerie sécurisée de santé vous permettra de respecter les exigences de sécurité des données personnelles que vous traitez, et la confidentialité de ces données qu'il vous revient d'assurer dans le cadre du secret médical.

> Découvrez notre pack messagerie MSSanté

 

La certification Hébergement de Données de Santé (HDS)

Une deuxième obligation juridique importante pour les professionnels de santé est relative à la sauvegarde de vos données. La sauvegarde des données sous forme électronique est un enjeu essentiel pour les praticiens. Les cyberattaques sont monnaie courante dans le secteur de la santé, notamment les rançongiciels (ou ransomware) qui visent à bloquer l'accès aux données du professionnel afin de lui demander par la suite une rançon en échange du déchiffrage de ses données. Un des moyens permettant de se prémunir contre ce type d'attaque est de constituer une sauvegarde de ses données, de préférence en ligne pour limiter les risques intrinsèques aux supports amovibles de stockage tels que les clefs USB ou les disques durs externes. Les sauvegardes en ligne sont généralement réalisées en ayant recours à un prestataire informatique. Le droit encadre ce type de sauvegarde : en tant que professionnel de santé, vous ne pouvez (en vertu de l'article L1111-8 du Code de la santé publique) avoir recours qu'à des prestataires de sauvegarde certifiés Hébergeur de Données de Santé (HDS). Cette certification était anciennement un agrément, on parle donc aussi d'Hébergeur Agréé Données de Santé, HADS. L'obligation de recourir à un prestataire HDS est issue du Code de la santé publique mais, dans le même temps, elle s'inscrit aussi dans une logique de protection de données personnelles traitées par les professionnels de santé. Ainsi, sauvegarder ses données auprès d'un Hébergeur de Données de Santé certifié permet de se conformer aux exigences de la réglementation relative à la protection des données personnelles et de conférer à ses sauvegardes un niveau de sécurité élevé.

> Notre solution de sauvegarde en ligne est agréée HDS

 

Le Règlement Général relatif à la Protection des Données personnelles (RGPD)

La 3ème obligation juridique que nous vous présentons ici est issue du Règlement Général relatif à la Protection des Données personnelles (RGPD). Ce texte, en vigueur depuis mai 2018, contient un nombre important d'obligations juridiques concernant le secteur de la santé. Vous aurez peut-être entendu parler du DPO (Data Protection Officer, ou Délégué à la Protection des Données personnelles en français), une "nouveauté" du RGPD, qui est obligatoire pour certaines structures telles que les hôpitaux, mais pas pour la plupart des professionnels de santé exerçant à titre individuel. Ce texte juridique (le RGPD) est un texte européen, qui a été transposé en France au sein de la Loi Informatique et Libertés (LIL). L'institution qui est en charge de l'interprétation de ces textes et du contrôle de leur respect est la CNIL. Cette autorité de contrôle a mis au point un référentiel destiné aux professionnels de santé exerçant au sein d'un cabinet médical. Au sein de ce référentiel[4] (point 10), les mesures de sécurité devant être mises en place par les professionnels de santé ciblés sont détaillées. On y trouve notamment l'obligation d'utiliser une messagerie sécurisée pour la communication de données de santé, et la sauvegarde des données sur des "supports de sauvegarde dans un endroit sûr" (voir à ce sujet les deux premières parties de l'article). D'autres obligations sont décrites. La CNIL invite ainsi à prendre une quarantaine de mesures relatives à la protection de vos données. Nous avons ici dégagé trois d'entre elles qui nous semblent fondamentales. La première consiste à exiger des professionnels de santé que l'ensemble du personnel du cabinet qui accède aux données soit sensibilisé à la protection des données de santé. Ensuite, vient l'obligation de sécuriser son poste de travail : cela se fait notamment au moyen d'un antivirus régulièrement mis à jour. Enfin, la sécurité relative à la sous-traitance est mentionnée : si vous sous-traitez des traitements de données personnelles, il faut alors s'assurer, notamment au moyen de clauses contractuelles, que vos sous-traitants mettent en place des mesures de sécurité satisfaisantes.

Les mesures que nous vous présentons ici ne sont bien évidemment pas les seules. Cependant, elles nous paraissent constituer les fondamentaux du respect des obligations qui incombent aux professionnels de santé en matière de cybersécurité. Par ailleurs, le RGPD porte aussi sur d'autres sujets que la cybersécurité.

Si vous souhaitez en savoir plus à ce sujet, consultez notre article relatif à la mise en conformité au RGPD.

 

[1] https://www.legifrance.gouv.fr/codes/id/LEGIARTI000036515027/2021-04-27/?isSuggest=true

[2] https://www.legifrance.gouv.fr/codes/id/LEGIARTI000033862549/2021-04-27/?isSuggest=true

[3] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

[4] https://www.cnil.fr/sites/default/files/atoms/files/referentiel_-_cabinet.pdf


 

 

Ça pourrait aussi vous intéresser…
Mentions légales